网络安全常见隐患及防护措施

网络安全常见隐患及防护措施

作为从业8年的网安人，日常工作处理和应对各类网络安全问题，积累下一些经验和心得体会想借FB平台分享给大家，希望能帮助和启发到大家。

主要遇到的问题主要有弱口令、命令执行、文件上传、信息泄露，最后是自己处置这些问题的一些心得体会，讨论和构思如何去防护这些网络安全常见隐患。

1.弱口令

弱口令我们可以简单的理解为能让别人随意就猜到的密码，比如abc、111、123、123456、88888888等等诸如此类的密码。

　除此之外大家都能知道的密码称之为弱口令。还有以下的几点也如果不达到要求也可以称之为弱口令：

　　①空口令，没有设置密码

　　②口令小于8个字符且较为简单

　　③口令为连续的字母或者单纯数字

　　④口令为本人相关的名字字母，生日，易被发现的邮箱号，账号名昵称名，都可以称为弱口令，可以定义为针对你的弱口令，而不是普遍的弱口令。

　　弱口令一旦被破解将面临很严重的资产风险，在网络安全方面，我们的云主机，服务器一旦暴露了我们的登录密码则会导致我们的主机被入侵，导致我们网站，app，主机载体的内容受到损坏，可能导致不可逆的破坏和严重的经济损失。

　　同时不仅仅是主机、服务器，弱口令还涉及到我们日常的各类登录密码邮箱，微信、qq、web注册页面等等都是我们需要留意的，账号价值高的账户一定要设置安全复杂口令。

　　复杂口令建议：8字符以上且包含英文大小写+数字+符号的组合，同时一旦有暴露口令的风险一定要及时更换口令。

2.命令执行

命令执行就是黑客可以直接在Web应用中执行系统命令，从而获取敏感信息或者拿下shell权限

。命令执行漏洞可能造成的原因是Web服务器对用户输入命令安全检测不足，导致恶意代码被执行

最常见的命令执行漏洞是发生在各种Web组件，包括Web容器、Web框架、CMS软件、安全组件等。

     

命令执行漏洞定义

命令执行漏洞，就是指用户通过浏览器或其他辅助程序提交执行命令，由于服务器端没有针对执行函数做过滤，导致在没有指定绝对路径的情况下就执行命令。

通俗的讲：当应用需要调用一些外部程序去处理内容的情况下，就会用到一些执行系统命令的函数。如PHP中的system、exec、shell_exec等，当用户可以控制命令执行函数中的参数时，将可以住人恶意系统命令到正常的命令中，造成命令执行攻击。

 命令执行漏洞的危害有：

     ①  任意执行系统命令

     ②  恶意木马被种植

     ③  挂马、钓鱼

     ④  敏感信息泄露

防范命令执行漏洞有：

• 尽量不要使用系统执行命令

• 在进入执行命令函数之前，变量一定要做好过滤，对敏感字符进行转义

• 在使用动态函数之前，确保使用的函数是指定的函数之一

• 对PHP语言来说，不能完全控制的危险函数最好不要使用

解决该类问题，关键在于在代码未判断文件类型或者文件类型限制不完全，一般这种是黑名单或者没有限制，建议添加白名单限制参数数组，固定为图片或文本格式文件。

如果是使用WEB中间件存在上传，或者是CMS存在文件上传漏洞，根据官方建议安装补丁升级版本，或者使用官方推荐的临时修改策略来限制问题的产生和利用。

3.文件上传

漏洞简介

文件上传，顾名思义就是上传文件的功能行为，之所以会被发展为危害严重的漏洞，是程序没有对访客提交的数据进行检验或者过滤不严，可以直接提交修改过的数据绕过扩展名的检验。文件上传漏洞是漏洞中最为简单猖獗的利用形式，一般只要能上传获取地址，可执行文件被解析就可以获取系统WebShell。

漏洞原理

网站WEB应用都有一些文件上传功能，比如文档、图片、头像、视频上传，当上传功能的实现代码没有严格校验上传文件的后缀和文件类型时，就可以上传任意文件甚至是可执行文件后门。

漏洞危害

恶意文件传递给解释器去执行，之后就可以在服务器上执行恶意代码，进行数据库执行、服务器文件管理，服务器命令执行等恶意操作。根据网站使用及可解析的程序脚本不同，可以上传的恶意脚本可以是PHP、ASP、JSP、ASPX文件。

其实，上传漏洞与SQL注入或 XSS相比 , 其风险更大 ,获得服务器权限最快最直接，如果 Web应用程序存在上传漏洞 , 攻击方甚至可以直接上传一个webshell到服务器上 ，当然，技术更牛，开发能力强的客户，还是推荐以上三种方式，比如遍历文件，就可以检查系统内是否存在恶意文件、计算校验就是校验文件hash值、文件恢复就还原最初版本，还原之后文件就剩初始文件，防止找不到恶意文件。

4.信息泄露

我们常遇到的信息泄露包括:

1、攻击者可直接下载用户的相关信息，包括网站的绝对路径、用户的登录名、密码、真实姓名、身份ID号、电话号码、邮箱、QQ号等。

2、攻击者通过构造特殊URL地址，触发系统web应用程序报错，在回显内容中，获取网站敏感信息。

3、攻击者利用泄漏的敏感信息，获取网站服务器web路径，为进一步攻击提供帮助。

给出的防护措施建议如下:

1、敏感数据密文存储。

2、敏感数据脱敏传输。

3、关闭业务系统的错误回显。

4、控制url的访问路径。

5、使用SSL/IPSEC VPN

5.安全防护杂谈

之前遇到一些客户，总会在安全防护这陷入一些误区，比如：

1、重点系统专家级防护，旁站系统菜鸟级防护

2、疯狂堆砌安全产品

3、过分依赖安全产品

4、侥幸心理开放高危端口

这里我一般会向客户提及木桶原理，防护过程中只要一个短板就可能全盘皆输，这里的短板就是我们风险评估中常说的脆弱性，而如果疯狂堆砌安全产品，会对系统流量瓶颈，对可用性造成影响和损害；过分依赖安全产品，殊不知我们目前市面上在售的很多安全产品本身也有漏洞，也可以被绕过，所以可以等级保护强调全面的安全，每个层面都要求建立起有效的防护体系。关于高危端口，这是攻击者们乐此不疲的，喜闻乐见的，比如勒索病毒，挖矿病毒已经造成巨大经济损失，这些都是利用高危端口进行入侵和破坏的。

网安工作中，当涉及到个人信息保护工作，由于个人隐私保护与生活息息相关，客户一般较为感兴趣，我通常会给客户建议以下几点：

1、不要登入可疑网站，不要打开或滥发邮件中不可信赖来源或电邮所载的URL链接，以免被看似合法的恶意链接转往恶意网站。

2、不要从搜索引擎的结果连接到银行或其他金融机构的网址。

3、不要轻信手机短信、其它形式发来的涉及自身安全、财务的信息。

4、以手工方式输入URL位址或点击之前已加入书签的链接

5、使用免费WIFI的时候，不要输入敏感信息