網絡安全離咱們不遠！

前言

昨天晚上有朋友將公網上的一臺 redis 密碼設置爲 123456，而且以爲沒什麼影響，再結合我以前畢業設計時被刪庫勒索，以及工做中碰到的網絡安全相關的事情，就有了本篇感想，網絡安全離咱們並不遠！

畢設 MongoDB 被刪庫

哪是答辯前的一天，我發現系統沒法登陸了，查看日誌，報 error not found，鏈接數據庫一看，好傢伙，新聞報道中的勒索事件就發生在了我身上。

說實話，當時看到這個還有點小激動，甚至發了一條朋友圈（第一次碰到這種事，且因爲數據不是很珍貴，跑一遍代碼就從新生成了）

後臺查看 mongo 的日誌，發現不存在暴力破解密碼的現象，黑客直接登陸，而後一上來就是 drop（換句話說，即便我給了他 BTC，個人數據也不可能恢復）

我思來想去，終於想起來，我把配置文件提交到 Github 上了，裏面的密碼剛好是我 mongo 的密碼，且有段時間倉庫仍是 public 的，不過奇怪的是，配置文件中用的是 mongodb://127.0.0.1:27017 , 並非我服務器的 IP，至於黑客是如何搞到服務器 IP 的，就不得而知了。

這兒要強調的是，敏感數據不可提交到 Github 等公共倉庫，聽搞安全的同事說，這世上不知道有多少臺掃描器在 24h 監控着 Github 上的敏感數據。

攝像頭直播

哪天是測試部的同事在測試弱口令漏洞，結果就發現了一臺公網上的攝像頭，用戶名 root ，密碼 admin123，而後我就登陸了上去，看他們在廚房直播作飯。（是一家餐館的攝像頭）

還好是廚房，這要是家裏的攝像頭，隱私全沒了。。。

Harbor 任意管理員註冊漏洞

因爲業務需求，3月份的時候，我給咱們部門部署了一個公網 harbor，當時開發任務又多又急，部署完測試能用後，就一直沒有去管過它。(用戶註冊功能也沒關！！！)

直到前幾天排查 harbor redis 內存佔用太高問題時，瞄了一眼用戶管理，發現問題不簡單，好幾個奇怪的用戶，部門羣裏問了你們，都說不知道。

後來一查，是 harbor 有漏洞，而且這個漏洞利用特別簡單，就是在註冊 payload 中添加 "has_admin_role":true 便可。Harbor任意管理員註冊漏洞復現||CVE-2019-1609

小結

本篇文章結合三件發生在我身上的網絡安全事件，旨在提醒你們，網絡安全離咱們不遠，但願你們能學習一些基本的安全常識，保護自身財產不受損失。