公民數據滿天飛的如今，如何守護核心數據安全

極牛技術實踐分享活動

極牛技術實踐分享系列活動是極牛聯合頂級VC、技術專家，爲企業、技術人提供的一種系統的線上技術分享活動。
每期不一樣的技術主題，和行業專家深度探討，專一解決技術實踐難點，推進技術創新，每兩週的週三20點正式開課。歡迎各個機構、企業、行業專家、技術人報名參加。

本期大綱
1.介紹黑客入侵的常見思路、手段、目的。
2.經過大量案例分析企業是在哪些關鍵環節出了疏漏致使發生了入侵事件。

嘉賓介紹
陳宇森，北京長亭科技有限公司聯合創始人、總裁
免試保送進入浙江大學計算機系，美國西北大學訪問學者，從學生時代開始進入網絡安全攻防領域，積攢多年實戰經驗。

曾組建安全攻防團隊橫掃國內網絡安全競賽，獲獎無數，其中包括360杯大學生安全競賽總決賽冠軍、西電網絡攻防競賽冠軍、首都網絡信息安全日攻防競賽冠軍等。

曾在阿里巴巴安全技術峯會作技術演講，美國 BlackHat 世界黑帽大會作技術展現等，是年輕一代網絡安全人才中不可多得的領軍人物。

本期技術分享從陳宇森老師的自我介紹開始，爲咱們詳細的介紹了黑客入侵的常見思路、手段、目的，並例舉大量鮮活的案例，進行了精彩的剖析。

現實生活中的入侵無處不在，好比前一段yahoo由於數據泄露，verizon把對其的收購價格下降了10億美金，像yahoo這樣的大公司，僱傭了不少安全人員，仍是難逃一劫，那麼小公司該從哪些地方作起來保護自身的數據安全呢？孫子兵法裏面有句話是說，知己知彼，百戰不殆，想要保護本身，得首先知道攻擊者是怎麼入侵的。

應用安全
目前的大多數公司都有着對外的Web應用，並且，不少對內的管理，OA、協同辦公、Email、文件共享等等，都是一系列的Web應用。

開發中最多的兩類安全問題，一類叫作SQL注入，一類叫作XSS跨站腳本攻擊。剩下還有不少不少細分的攻擊種類，正是由於Web攻擊的多樣化，防禦起來也不是很簡單就能夠解決的。
另外Web攻擊的入門門檻也很低，不少時候，所謂的腳本小子拿到合適的工具，就能發起Web攻擊，獲取網站數據，乃至長期控制你的服務器。
那麼SQL注入是什麼？

而後若是有人來構造惡意請求。

最終mysql拿到的語句爲：
select* from users where (email = 'attack@abc.com' and password = '' or '1'='1');
是永真的，因而構成了任意用戶登陸。另外 SQL注入還能致使拖庫，乃至服務器權限被獲取等嚴重後果。當年流傳的各類開房數據，不少泄露的公民隱私數據，都是經過這種攻擊手法拿到的。
以前某個國內的第三方漏洞平臺上出現過這樣的漏洞：

669個大學......因此這也是爲何如今公民數據滿天飛的緣由，國內互聯網的安全水平平均一下的話，都不及格，應用安全情況大抵是這樣的。
業務安全

這種業務安全的問題有時候藏的更深，更難發現這種業務安全的問題有時候藏的更深，更難發現。多是一個業務流程中的校驗不嚴格，但能致使的後果卻很恐怖。

好比找回密碼問題，若是利用自動化腳本的話，能夠遍歷一個平臺上的用戶進行找回（遍歷手機號、或者利用一些泄露數據中暴露出的真實用戶郵箱做爲用戶名），登陸進去以後再把用戶的信息爬下來，所形成的後果和拖庫同樣，十分危險。

運維安全

不應對外網開放的端口對外開放，讓別人暴力嘗試密碼登陸進來了，好比22端口，3306端口。服務配置不當，好比以前也算是橫掃互聯網的redis未受權訪問，致使能夠蓋.ssh/authorized_keys服務配置不當，好比以前也算是橫掃互聯網的redis未受權訪問，致使能夠覆蓋.ssh/authorized_keys 配置信息泄露，好比用JAVA寫網站，結果WEB.INF被別人下載走了，或者說config.php.bak這種東西放在了根目錄。

還有就是備份文件，以前有次滲透進入國內某巨頭互聯網廠商，就是發現了他們一個業務的Web根目錄放了一個wwwroot.tar.gz 下載下來以後分析源代碼，找到漏洞，而後拿下服務器權限並進入了內網。固然了，最後把這個漏洞提交給了他們的SRC（Security Response Center）

如何解決運維問題

另外還有人員的問題，好比員工弱密碼，開發一不當心把代碼傳到了github之類的，只能經過好的安全管理制度以及必定的懲罰制度來杜絕。

真實案例
首先放一些某個國內第三方漏洞平臺的歷史截圖。

案例一：
漏洞標題：xx企業某處安全漏洞登錄Shell服務器直入內網。
這樣一個漏洞顯然是很是嚴重的，但緣由倒是個很低級的錯誤。

一臺服務器向公網暴露了22端口，並且仍是弱密碼，使用 admin/123 便可登陸。由於測試人員屬於白帽子（善意的黑客），點到爲止了，若是這個入口被惡意黑客發現，長久控制並對內網進一步滲透，後果不堪設想。

案例二：
漏洞標題：xx企業某站命令執行getshell直入內網root

當年著名的shellshock漏洞，沒有及時修復，致使黑客發現cgi，進行模糊測試後，直接獲取到了服務器的權限。

案例三：
接下來講一下xss漏洞能夠形成什麼樣的危害。
漏洞標題：xx網某儲存xss成功釣到管理cookie

雖然修改了暱稱只獲得一個能夠對本身進行xss的頁面，但這個頁面是別人也能夠訪問的，而後能夠誘使相關工做人員來點擊這個頁面。

而後就能夠利用XSS獲取到的cookie，來登陸別人的帳戶。

都是一些比較老但很典型的案例，雖然這些問題已經修復了，但還有不少一樣的問題不停地在各家互聯網公司身上重現。

Q&A
Q1：A、B輪企業，如何增強企業信息安全？
A1：有一本很好的書，《互聯網企業安全高級指南》，我在知乎上寫過一個關於這個書的讀書筆記https://zhuanlan.zhihu.com/p/...
對於A輪公司，個人建議是經過運維人員把一些基礎的安全風險處理好，弱密碼，不應開放的端口等，能夠採用一些第三方的安全服務和產品。B輪的話在此基礎上，能夠招聘1-2名專職的安全人員。

Q2：通常有些業務場景，咱們使用數據庫自增id進行網址訪問，感受很不安全，想過改uuid能夠又致使網址太長，有什麼好的方法改進安全性嗎？
A2：對uuid作一些截取，好比前16位之類的。能夠本身跑一下 md5 或者 sha512之類的算法，我以爲在能夠接受的範圍內沒有碰撞。

Q3：好比如今的h5，好多咱們都基於ajax開發，別人訪問網頁源碼，就能夠看到連接，也很不安全，即便把代碼打亂仍是有被探查的可能性，有什麼好的方案嗎？
A3：JS能夠作必定程度的混淆，google一下應該有不少方案。一個是能夠有個簽名算法，好比id=1&sign=xxx id=2&sign=yyy，sign的算法只有你知道，就能防止別人遍歷id了。

Q4：當發現被攻擊或者入侵時，可使用哪些安全服務來應對？
A4：已經被入侵的話，首先應該第一時間瞭解受災範圍，並對相關日誌進行備份。而後能夠引入第三方的安全公司／人員來協助清理後門，還原攻擊路徑，乃至溯源，也能夠對經濟損失進行定量，而後報警。安全服務的話，如今不少公司都提供「應急響應」的服務，就是處理此類問題的。

聯繫講師
北京長亭科技有限公司https://chaitin.cn/
北京長亭科技有限公司（簡稱長亭科技）是一家以技術爲導向的安全公司，專一於解決互聯網安全問題。長亭科技擁有技術水平頂尖的安全研究團隊與技術研發團隊，致力於發展新型網絡安全技術，提升國內安全水平，接軌國際頂尖技術。

公司目前主營高度定製化的安全服務與安全產品，旨在經過發展新技術新方法，爲企業提供有效的定製化安全解決方案，全面提升企業安全防護能力。對外的產品目前有基於智能語義分析的雷池Web應用防火牆、基於假裝欺騙技術的內網威脅感知系統諦聽。

結尾：＊此分享由長亭科技的的陳宇森在極牛線上技術分享羣裏所分享，有意加入的技術朋友，請在極牛公衆號(ji-niu)裏回覆「技術分享」。