信息泄露之配置不当

题目：

安全小课堂第6期——信息泄露之配置不当

一、    配置不当的分类；

二、    配置不当中最严重的类别（哪个类型导致的风险最大）、常见的类别。配置不当的危害。

三、    配置不当的防范措施，各公司是否有好的措施分享。流程方面：开发阶段（安全意识、自检）；预上线阶段（检查）；监控方面：上线之后（监控，安全模块等）。

四、    圈内是否有检测配置不当的好用的工具和模块方法。

 

一、配置不当的分类、危害及检查工具：

 

1、版本过低问题

1）反序列化漏洞：WebLogic、WebSphere、JBoss、Jenkins、OpenNMS 

危害：getshell

工具：http://www.freebuf.com/vuls/86566.html

2）解析漏洞：nginx、apache、IIS

危害：潜在getshell

工具：http://drops.wooyun.org/papers/539

3）其他各种已知漏洞：

比如说jboss的各种geshell漏洞、redis任意文件读取…

工具：https://github.com/ywolf/F-MiddlewareScan

 

2、弱口令问题：（webserver、NFS、Redis、Rsync、Memcache、mangodb…）

危害：数据泄露或者getshell

工具：https://github.com/ywolf/F-MiddlewareScan、hydra

 

3、Nginx+Apache配置不当

危害：导致敏感信息泄露包括web.xml、*.class文件

工具：访问对应文件

 

4、NFS配置不当 

危害：读写文件

工具：showmount、mount

 

5、OpenSSL心脏滴血

危害：敏感信息泄露，用户身份信息等

工具：http://wangzhan.360.cn/heartbleed/

 

6、server-status信息泄露

危害：例如任何人口可以看到谁在访问网站，甚至包括一些本来隐藏的管理页面。

工具：访问/server-status

 

7、备份文件下载

危害：泄露网站源代码、用户资料等敏感信息。

工具：组合各种常见备份文件名并访问

 

8、编辑器生成的临时文件（.bak、.vim、~）

危害：信息泄露，甚至getshell

工具：构造相应的文件并访问

 

9、列目录导致可看到敏感数据并查看

危害：轻则可以查看目录结构，重则下载关键敏感信息

工具：组合各种常见目录地址并访问

 

10、snmp信息泄露：

危害：泄露认证信息，导致被入侵

工具：snmpwalk（集成于kali）

 

11、代码管理工具信息泄露：（SVN, GIT, Mercurial/hg, bzr, ...）

危害：泄露源代码，甚至导致被入侵

工具：https://github.com/kost/dvcs-ripper

 

12、DNS域传送、拒绝服务

危害：泄露公司的网络架构信息，导致域名无法解析

工具：nslookup、CVE-2015-5477

 

13、各种系统或者管理工具对外：（hadoop、zabbix、cacti、phpmyadmin、nagios…）

危害：信息泄露、getshell

工具：nmap + 目录文件爆破 + 弱口令爆破

 

二、公司采取的防范措施：

 

1、业务上线前进行安全基线检查，杜绝以上的问题。

2、对线上业务进行定时检查。

3、对攻击行为进行监控。

 

参考：

1、http://drops.wooyun.org/papers/410