信息泄露之配置不当
2016-04-15 11:42
274 查看
题目:
安全小课堂第6期——信息泄露之配置不当
一、 配置不当的分类;
二、 配置不当中最严重的类别(哪个类型导致的风险最大)、常见的类别。配置不当的危害。
三、 配置不当的防范措施,各公司是否有好的措施分享。流程方面:开发阶段(安全意识、自检);预上线阶段(检查);监控方面:上线之后(监控,安全模块等)。
四、 圈内是否有检测配置不当的好用的工具和模块方法。
1)反序列化漏洞:WebLogic、WebSphere、JBoss、Jenkins、OpenNMS
危害:getshell
工具:http://www.freebuf.com/vuls/86566.html
2)解析漏洞:nginx、apache、IIS
危害:潜在getshell
工具:http://drops.wooyun.org/papers/539
3)其他各种已知漏洞:
比如说jboss的各种geshell漏洞、redis任意文件读取…
工具:https://github.com/ywolf/F-MiddlewareScan
危害:数据泄露或者getshell
工具:https://github.com/ywolf/F-MiddlewareScan、hydra
危害:导致敏感信息泄露包括web.xml、*.class文件
工具:访问对应文件
危害:读写文件
工具:showmount、mount
危害:敏感信息泄露,用户身份信息等
工具:http://wangzhan.360.cn/heartbleed/
危害:例如任何人口可以看到谁在访问网站,甚至包括一些本来隐藏的管理页面。
工具:访问/server-status
危害:泄露网站源代码、用户资料等敏感信息。
工具:组合各种常见备份文件名并访问
危害:信息泄露,甚至getshell
工具:构造相应的文件并访问
危害:轻则可以查看目录结构,重则下载关键敏感信息
工具:组合各种常见目录地址并访问
危害:泄露认证信息,导致被入侵
工具:snmpwalk(集成于kali)
危害:泄露源代码,甚至导致被入侵
工具:https://github.com/kost/dvcs-ripper
危害:泄露公司的网络架构信息,导致域名无法解析
工具:nslookup、CVE-2015-5477
危害:信息泄露、getshell
工具:nmap + 目录文件爆破 + 弱口令爆破
1、业务上线前进行安全基线检查,杜绝以上的问题。
2、对线上业务进行定时检查。
3、对攻击行为进行监控。
参考:
1、http://drops.wooyun.org/papers/410
安全小课堂第6期——信息泄露之配置不当
一、 配置不当的分类;
二、 配置不当中最严重的类别(哪个类型导致的风险最大)、常见的类别。配置不当的危害。
三、 配置不当的防范措施,各公司是否有好的措施分享。流程方面:开发阶段(安全意识、自检);预上线阶段(检查);监控方面:上线之后(监控,安全模块等)。
四、 圈内是否有检测配置不当的好用的工具和模块方法。
一、配置不当的分类、危害及检查工具:
1、版本过低问题
1)反序列化漏洞:WebLogic、WebSphere、JBoss、Jenkins、OpenNMS 危害:getshell
工具:http://www.freebuf.com/vuls/86566.html
2)解析漏洞:nginx、apache、IIS
危害:潜在getshell
工具:http://drops.wooyun.org/papers/539
3)其他各种已知漏洞:
比如说jboss的各种geshell漏洞、redis任意文件读取…
工具:https://github.com/ywolf/F-MiddlewareScan
2、弱口令问题:(webserver、NFS、Redis、Rsync、Memcache、mangodb…)
危害:数据泄露或者getshell工具:https://github.com/ywolf/F-MiddlewareScan、hydra
3、Nginx+Apache配置不当
危害:导致敏感信息泄露包括web.xml、*.class文件工具:访问对应文件
4、NFS配置不当
危害:读写文件工具:showmount、mount
5、OpenSSL心脏滴血
危害:敏感信息泄露,用户身份信息等工具:http://wangzhan.360.cn/heartbleed/
6、server-status信息泄露
危害:例如任何人口可以看到谁在访问网站,甚至包括一些本来隐藏的管理页面。工具:访问/server-status
7、备份文件下载
危害:泄露网站源代码、用户资料等敏感信息。工具:组合各种常见备份文件名并访问
8、编辑器生成的临时文件(.bak、.vim、~)
危害:信息泄露,甚至getshell工具:构造相应的文件并访问
9、列目录导致可看到敏感数据并查看
危害:轻则可以查看目录结构,重则下载关键敏感信息工具:组合各种常见目录地址并访问
10、snmp信息泄露:
危害:泄露认证信息,导致被入侵工具:snmpwalk(集成于kali)
11、代码管理工具信息泄露:(SVN, GIT, Mercurial/hg, bzr, ...)
危害:泄露源代码,甚至导致被入侵工具:https://github.com/kost/dvcs-ripper
12、DNS域传送、拒绝服务
危害:泄露公司的网络架构信息,导致域名无法解析工具:nslookup、CVE-2015-5477
13、各种系统或者管理工具对外:(hadoop、zabbix、cacti、phpmyadmin、nagios…)
危害:信息泄露、getshell工具:nmap + 目录文件爆破 + 弱口令爆破
二、公司采取的防范措施:
1、业务上线前进行安全基线检查,杜绝以上的问题。
2、对线上业务进行定时检查。
3、对攻击行为进行监控。
参考:
1、http://drops.wooyun.org/papers/410
相关文章推荐
- 谷歌 Project Zero 团队宣布新政策,漏洞披露前将有完整的 90 天缓冲期
- 春节长假安全手册
- 地震避险自救常识
- 路由器安全有关的目录
- 打造个性_安全的电脑系统图文教程2第1/2页
- 路由器内的安全认证
- 加强php的安全之一
- http www安全必备知识
- SQLServer 2008中的代码安全(一) 存储过程加密与安全上下文
- C语言安全编码之数值中的sizeof操作符
- PHP安全上传图片的方法
- C#实现线程安全的简易日志记录方法
- php 编写安全的代码时容易犯的错误小结
- JSP应用的安全问题
- asp.net安全、实用、简单的大容量存储过程分页第1/2页
- 新安装的MySQL数据库需要注意的安全知识
- 用PHP书写安全的脚本代码