昨日， 烏云平臺發(fā)布了2014年十大安全風(fēng)險： 互聯(lián)網(wǎng)泄密、不安全的第三方應用、 系統錯誤/邏輯錯誤帶來(lái)的暴力破解、SQL注入、 XSS等成為2014年最大的安全風(fēng)險。

No.1 互聯(lián)網(wǎng)泄密事件/撞庫攻擊

以大量的用戶(hù)數據為基礎，利用用戶(hù)相同的注冊習慣（相同的用戶(hù)名和密碼），嘗試登陸其它的網(wǎng)站。2011年，互聯(lián)網(wǎng)泄密事件引爆了整個(gè)信息安全界，導致傳統的用戶(hù)+密碼認證的方式已無(wú)法滿(mǎn)足現有安全需求。

泄露的數據包括：天涯：31,758,468條，CSDN：6,428,559條，微博：4,442,915條，人人網(wǎng)：4,445,047條，貓撲：2,644,726條，178：9,072,819條，嘟嘟牛：13,891,418條，7K7K：18,282,404條，共1.2億條。

經(jīng)典案例：CSDN數據庫泄露，大量用戶(hù)真實(shí)賬號密碼外泄：

CSDN社區網(wǎng)站被入侵，近600w用戶(hù)賬號密碼被泄露，黑客將連接公布到互聯(lián)網(wǎng)，導致任何人可以獲得該數據，數據真實(shí)有效。該事件可能對各大互聯(lián)網(wǎng)公司包括新浪微博，企業(yè)安全等造成嚴重威脅，嚴重建議用戶(hù)修改賬號密碼，禁止企業(yè)用戶(hù)使用內部辦公郵箱在外部注冊以及各處使用同一密碼。

No.2 引用不安全的第三方應用

第三方開(kāi)源應用、組件、庫、框架和其他軟件模塊。過(guò)去幾年中，安全領(lǐng)域在如何處理漏洞的評估方面取得了長(cháng)足的進(jìn)步，幾乎每一個(gè)業(yè)務(wù)系統都越來(lái)越多地使用了第三方應用，從而導致系統被入侵的威脅也隨之增加。由于第三方應用平行部署在業(yè)務(wù)系統之上，如果一個(gè)易受攻擊的第三方應用被利用，這種攻擊將導致嚴重的數據泄露或系統淪陷。

經(jīng)典案例：淘寶主站運維不當導致可以登錄隨機用戶(hù)并且獲取服務(wù)器敏感信息：

針對Openssl heartbeat漏洞的exp已經(jīng)流出，經(jīng)過(guò)測試可以dump出任何使用openssl庫進(jìn)程的內存數據，每次64kb，位置隨機，但是由于exp起來(lái)十分容易速度很快并且可以多線(xiàn)程，一會(huì )就獲得了幾千個(gè)用戶(hù)的cookie，隨機抽取了幾個(gè)發(fā)現可以任意登錄。經(jīng)過(guò)大量測試，該漏洞不但能獲取cookie等信息，還能獲取web應用的源碼，web服務(wù)器的配置，包括ssl 證書(shū)私鑰和加密私鑰的key。正在針對大量https服務(wù)器做測試，獲取私鑰只是時(shí)間問(wèn)題，建議淘寶全站更換SSL證書(shū)。

No.3 系統錯誤/邏輯缺陷帶來(lái)的暴力猜解

由于應用系統自身的業(yè)務(wù)特性，會(huì )開(kāi)放許多接口用于處理數據，如果接口或功能未進(jìn)行嚴謹的安全控制或判斷，將會(huì )促進(jìn)駭客加快攻擊應用程序的過(guò)程，大大降低了駭客發(fā)現威脅的人力成本。 隨著(zhù)模塊化的自動(dòng)化攻擊工具包越來(lái)越趨向完善，將給應用帶來(lái)最大的威脅。

經(jīng)典案例：大公司詬病系列#1 重置京東任意用戶(hù)密碼：

京東員工郵箱登陸外網(wǎng)可訪(fǎng)問(wèn)，結果導致暴力猜解出眾多員工郵箱弱密碼：大公司人員的習慣研究，公司做得越來(lái)越大的時(shí)候，總會(huì )出現那么幾個(gè)安全意識薄弱的人員（俗稱(chēng)豬一樣的隊友），他們往往會(huì )做出一些讓人無(wú)法理解的事情，比如：直接點(diǎn)擊郵件內的 EXE 附件，或者使用和用戶(hù)名一樣的密碼，或者用戶(hù)名+當前年份的密碼。

No.4 敏感信息/配置信息泄露

由于沒(méi)有一個(gè)通用標準的防御規則保護好中間件配置信息、DNS信息、信息、用戶(hù)信息、源碼備份文件、版本管理工具信息、系統錯誤信息和敏感地址信息（后臺或測試地址）的泄露，攻擊者可能會(huì )通過(guò)收集這些保護不足的數據，利用這些信息對系統實(shí)施進(jìn)一步的攻擊。

經(jīng)典案例：攜程安全支付日志可遍歷下載，導致大量用戶(hù)銀行卡信息泄露：

用戶(hù)敏感信息放在Web目錄，導致可以直接下載：攜程將用于處理用戶(hù)支付的服務(wù)接口開(kāi)啟了調試功能，使所有向銀行驗證持卡所有者接口傳輸的數據包均直接保存在本地服務(wù)器，類(lèi)似IIS或Apache的訪(fǎng)問(wèn)日志，記錄URL POST內容。同時(shí)因為保存支付日志的服務(wù)器未做校嚴格的基線(xiàn)安全配置，存在目錄遍歷漏洞，導致所有支付過(guò)程中的調試信息可被任意駭客讀取。其中泄露的信息包括用戶(hù)的：持卡人姓名、持卡人身份證、所持銀行卡類(lèi)別、所持銀行卡卡號、所持銀行卡CVV碼、所持銀行卡6位Bin（用于驗證支付信息的6位數字）。

No.5 應用錯誤配置/默認配置

數應用程序、中間件、服務(wù)端程序在部署前，未針對安全基線(xiàn)缺乏嚴格的安全配置定義和部署，將為攻擊者實(shí)施進(jìn)一步攻擊帶來(lái)便利。常見(jiàn)風(fēng)險：flash默認配置，Access數據庫默認地址，WebDav配置錯誤，Rsync錯誤配置，應用服務(wù)器、Web服務(wù)器、數據庫服務(wù)器自帶管理功能默認后臺和管理口令。

經(jīng)典案例：敏感信息泄露系列#6 服務(wù)端默認配置導致海量用戶(hù)信息泄露：

備份數據庫可以直接瀏覽到并下載：由于酷狗某臺服務(wù)器IIS配置錯誤，導致任意HTTP請求均可列出服務(wù)器上的WEB目錄，致使駭客可下載到任意數據或文件，駭客可以通過(guò)收集或挖掘這些保護不足的數據，利用這些信息對酷狗信息系統實(shí)施進(jìn)一步的攻擊。通過(guò)互聯(lián)網(wǎng)掃描，發(fā)現酷狗用戶(hù)數據庫備份文件可直接通過(guò)互聯(lián)網(wǎng)公開(kāi)下載，從而造成海量用戶(hù)信息泄露（目測酷狗有3.6億用戶(hù)）！

No.6 SQL注入漏洞

注入缺陷不僅僅局限于SQL，還包括命令、代碼、變量、HTTP響應頭、XML等注入。 程序員在編寫(xiě)代碼的時(shí)候，沒(méi)有對用戶(hù)輸入數據的合法性進(jìn)行判斷、審計，當不可信的數據作為命令或查詢(xún)的一部分被發(fā)送到解釋器時(shí)，注入就會(huì )發(fā)生。攻擊者的惡意數據欺騙解釋器，讓它執行意想不到的命令或者訪(fǎng)問(wèn)沒(méi)有準確授權的數據。

經(jīng)典案例：蝦米網(wǎng)SQL注入，1390萬(wàn)用戶(hù)數據…整個(gè)淪陷：

作為一個(gè)可以直接影響到核心數據的經(jīng)典漏洞，至今仍然頻繁出現在人們的視野中：1390萬(wàn)用戶(hù)數據、交易數據、主站數據，整個(gè)淪陷。

No.7 XSS跨站腳本攻擊/CSRF

屬于代碼注入的一種，XSS發(fā)生在當應用程序獲得不可信的數據并發(fā)送到瀏覽器或支持用戶(hù)端腳本語(yǔ)言容器時(shí)，沒(méi)有做適當的校驗或轉義。XSS能讓攻擊者在受害者的瀏覽器上執行腳本行，從而實(shí)現劫持用戶(hù)會(huì )話(huà)、破壞網(wǎng)站Dom結構或者將受害者重定向到惡意網(wǎng)站。

經(jīng)典案例：一個(gè)可大規模悄無(wú)聲息竊取淘寶/支付寶賬號與密碼的漏洞 （埋雷式攻擊附帶視頻演示）：

XSS攻擊最希望達到：隱蔽，長(cháng)期控制，此漏洞都達到了。有些漏洞，如果只是從技術(shù)層面來(lái)說(shuō)明問(wèn)題，廠(chǎng)商似乎感覺(jué)不到它的危害。整個(gè)漏洞利用過(guò)程也錄了個(gè)視頻，奉獻給普通網(wǎng)民，廠(chǎng)商努力修復，我們網(wǎng)民自己也得增強安全意識，那些抱著(zhù)“這么大公司不可能有大漏洞”之幻想的網(wǎng)民們該醒醒了。

No.8 未授權訪(fǎng)問(wèn)/權限繞過(guò)

多數業(yè)務(wù)系統應用程序僅僅只在用戶(hù)客戶(hù)端校驗授權信息，或者干脆不做授權使用的功能。

經(jīng)典案例：搜狗某重要后臺未授權訪(fǎng)問(wèn)（涉及重要功能及統計信息）：

重要功能的后臺一定要安全！

No.9 賬戶(hù)體系控制不嚴/越權操作

與認證和會(huì )話(huà)管理相關(guān)的應用程序功能常常會(huì )被攻擊者利用，攻擊者通過(guò)組建的社會(huì )工程數據庫，檢索用戶(hù)密碼，或者通過(guò)信息泄露獲得的密鑰、會(huì )話(huà)token、GSID和利用其它信息來(lái)繞過(guò)訪(fǎng)問(wèn)控制不屬于自己的數據。如果服務(wù)端未對來(lái)自客戶(hù)端的請求進(jìn)行身份屬主校驗，攻擊者可通過(guò)偽造請求，越權竊取所有業(yè)務(wù)系統的數據。

經(jīng)典案例：樂(lè )視網(wǎng)2200萬(wàn)用戶(hù)任意用戶(hù)登錄：

修改任意uid即可， 越權登陸任意用戶(hù)。

No.10 內部重要資料/文檔外泄

無(wú)論是企業(yè)還是個(gè)人，越來(lái)越依賴(lài)于對電子設備的存儲、處理和傳輸信息的能力。 企業(yè)重要的數據信息，都以文件的形式存儲在電子設備或數據中心上，企業(yè)雇員或程序員為了辦公便利，常常將涉密數據拷貝至移動(dòng)存儲介質(zhì)或上傳至網(wǎng)絡(luò )，一旦信息外泄，將直接加重企業(yè)安全隱患發(fā)生的概率。

經(jīng)典案例：淘寶敏感信息泄漏可進(jìn)入某重要后臺（使用大量敏感功能和控制內部服務(wù)器）：

后臺能干嘛：給支付寶賬號充值、任意支付寶賬號認證、任意支付寶淘寶綁定、為訂單付款、為訂單發(fā)貨、為訂單退款、解綁用戶(hù)支付寶、刪除支付寶賬號、修改訂單價(jià)格、給訂單包郵、升級店鋪等級、給寶貝添加評、價(jià)修改用戶(hù)密碼、修改用戶(hù)手機號、刪除用戶(hù)、修改用戶(hù)身份證號碼、刪除購物車(chē)、實(shí)時(shí)查詢(xún)、注冊手機的校驗碼、處罰會(huì )員、修改賣(mài)家好評率、品牌授權、創(chuàng )建天貓品牌等上百項重要功能。