保護網絡安全 企業須要避開這五個漏洞

     當下，黑客們最感興趣的是竊取敏感數據，如公司機密、我的信息、知識產權，等等，固然，也有個別攻擊者純屬搞破壞。近年發生的若干事件代表，網絡間諜仍被認爲是是政府部門和企業的最危險的威脅。高級持續性威脅(APT)仍在瘋狂搜尋可以大規模利用的漏洞，其重要目的就是收集敏感信息。

      最臭名昭著的黑客針對關鍵的基礎設施(如自然氣管道、供水設施、智能電網等)實施攻擊。

現代基礎架構中的多數過程是由SCADA系統控制的，爲了維護方便，SCADA系統暴露在互聯網上，但其安全性卻鮮有關注。

這並非一個SCADA組件的維護問題，而是因爲缺少設計的安全性，致使整個基礎架構暴露在網絡攻擊的風險中。本文將着重分析五個最危險的安全漏洞。

1. 注入漏洞

在應用程序將不可信的數據發送給解釋器時，就有可能產生注入漏洞。這種漏洞很廣泛，會影響到大量方案。最廣泛的注入漏洞會影響到SQL、LDAP、XPath、XML解析器和程序參數。

其實，經過分析代碼是能夠發現注入漏洞的，可是，若是已經將系統部署到了生產環境中了，在測試期間就很難發現這些漏洞。

利用劫持漏洞的網絡攻擊帶來的後果可能有：敏感數據被泄露、拒絕服務等。

攻擊者能夠運行劫持攻擊，從而徹底破壞目標系統，並得到其控制權。

注入漏洞能夠影響多種軟件，其影響依賴於有漏洞的應用程序的傳播範圍或傳播水平。注入漏洞可能帶來的一個典型影響就是Bash Bug漏洞。紅帽子的安全團隊在Linux 中的 Bash shell 中發現了一個危險的安全漏洞「Bash Bug」。對於用戶的正常訪問，該漏洞容許攻擊者的代碼如同在外殼 中同樣被執行，這就爲各類各樣的攻擊打開了方便之門。

這種類型的漏洞可能帶來大規模影響，例如，物聯網設備(例如，智能儀表，路由器，網絡攝像機等設備)就有可能遭受這種漏洞的威脅。

2. 緩衝區溢出

若是應用程序試圖將超過緩衝區容量的數據存放在其中時，就產生了緩衝區溢出漏洞的條件。從外部寫入到緩衝區可使攻擊者覆蓋鄰近內存塊的內容，從而致使數據遭到破壞，程序崩潰，甚至能夠執行任何惡意代碼。

緩衝區溢出攻擊難以發現，但與注入攻擊相比，也更難以利用。攻擊者須要瞭解目標應用的內存管理，而且知道修改其內容運行攻擊的方法。

在典型的攻擊中，攻擊者將數據發送給一個應用程序，然後者是一個將數據存儲在小容量的堆棧緩衝區的程序，這會致使覆蓋調用堆棧上的信息，其中包括函數的返回指針。經過這種方法，在合法的功能完成以後，攻擊者就能夠運行本身的惡意代碼，而且能夠將控制交給包含攻擊者數據的漏洞利用代碼。

因爲針對SCADA的攻擊日益增多，因此這種緩衝區溢出漏洞被利用的頻率也會愈來愈高。

3. 敏感數據泄露

數據能夠存儲在系統中，或在兩個實體(如服務器或瀏覽器)之間傳輸，若是缺少足夠的保護，就會發生敏感數據泄露的問題。

敏感數據的泄露可涉及到訪問靜態數據、正在傳輸數據，其中也包括備份和用戶正在瀏覽的數據。

攻擊者有多種選擇，例如，若是要竊取或攻擊數據存儲器，他可使用基於惡意軟件的攻擊，經過中間人攻擊截獲服務器和瀏覽器之間的數據，或者欺騙Web應用程序作出一些動做(例如，改變電子商務應用程序中購物車的內容，或者提高特權)等。

敏感數據泄露主要是因爲敏感數據缺乏加密形成的，可是即便實施了加密機制，其餘事件也會形成信息泄露。密鑰的生成和管理及算法等不夠強健在許多行業和應用中是很廣泛的事情。

近一年來發生的有許多事件都代表這種漏洞的嚴重性，特別是在兩方面表面尤其突出：一是實施了錯誤的加密算法，二是移動和雲的方案缺少加密。

去年九月，美國計算機緊急事件響應小組協調中心(CERT/CC)的專家對一些沒有可以正確驗證SSL證書的安卓應用進行了測試，併發布了測試報告。

CERT的報告認爲，許多應用正使用有漏洞的庫，如Flurry庫。所以，安卓用戶就會暴露在這種攻擊中，並僅有少許公司採起措施保障其產品的安全。

攻擊者每每並不直接破解加密，而是利用敏感數據的泄露缺陷。這就意味着攻擊者會竊取加密密鑰，運行中間人攻擊，從服務器或用戶的瀏覽器上竊取正在傳輸的明文數據。

注意，敏感數據泄露每每是攻擊活動第一階段的一個組成部分，也就是說攻擊者隨後會利用其它黑客技術。

管理敏感數據的每家企業都有可能遭受攻擊，特別是那些有大量用戶的企業，不少用戶都有可能爲網絡攻擊打開大門。

4. 認證和會話管理攻擊

若是攻擊者利用了認證或會話管理過程的漏洞或缺陷(例如，帳戶、口令、會話ID被泄露等)，並假冒其餘用戶，就會發生認證和會話管理攻擊。

這種攻擊很是常見，許多黑客組織都利用這些漏洞訪問受害者帳戶，實施網絡間諜活動，或者竊取信息用於犯罪活動。

一個主要的威脅問題與認證和會話管理機制的自定義實施有關，在多數狀況下，這種機制會致使攻擊活動。這種漏洞影響到WEB應用程序，如用戶登出、口令管理、超時、網站登陸的「記住我」功能等，並且帳戶的更新也受到認證漏洞攻擊影響。

最大的問題是，若是這種漏洞被成功地利用，攻擊者就假冒受害者，用其得到的特權從事任何活動。

不幸的是，因爲大量的認證機制是由每一個不一樣的受害者實施的，因此認證和會話管理的攻擊漏洞是很難對付的。認證和會話管理系統每每並不一致，這就使得大規模地採用最佳方法並不是易事。

攻擊者有多種方法能夠繞過認證機制，其中包括使用SQL注入攻擊對目標帳戶實施蠻力攻擊、從URL中恢復會話標誌、利用會話超時、從新利用已經使用的會話令牌，或者破壞用戶的瀏覽器，等等。

最多見的攻擊依靠會話，而認證機制每每基於服務器上與每一個會話有關的的令牌。取得會話標誌的攻擊者可以假冒受害者而無需再次提供登陸憑據。

5. 安全配置錯誤

這種漏洞實際上是最多見也是最危險的。錯誤配置的服務器和應用程序在網絡上數量衆多，這爲網絡攻擊打開了大門。

下面是一些典型的安全配置錯誤：

· 運行過期的軟件

· 生產環境中的應用程序和產品仍運行在調試模式，或者仍包含調試模塊。

· 在系統中運行沒必要要的服務。

· 沒有配置對服務器資源和服務的訪問，致使泄露敏感信息，或者致使攻擊者破壞或竊取這些信息。

· 沒有改變出廠設置(例如，默認密鑰和口令)

· 不正確的異常管理，致使將系統信息泄露給攻擊者。

· 使用默認帳戶。

結語

上述任何一種漏洞被利用均可以使攻擊者破壞系統。安全方面的錯誤配置能夠在應用程序堆棧的任何水平上發生。攻擊者能夠發現目標是否正在使用過期的軟件，或者有漏洞的數據庫管理系統。

當今的不少自動掃描器能夠檢測沒有正確配置或沒有打補丁的系統，於是對攻擊者來講，發現這種漏洞是很容易的。

若是攻擊者鎖定的系統被普遍使用，安全的錯誤配置就有可能帶來嚴重的影響。例如，有些路由器採用硬編碼憑據，也有的網絡設備使用默認的SSH密鑰，這就使攻擊者能夠與設備創建未獲受權的遠程鏈接。

這種漏洞可能對物聯網的新模式產生嚴重影響，錯誤配置的物聯網設備可能被攻擊者利用並破壞其運行的軟件，還能夠在大型的「殭屍」網絡中利用這些設備。

對於任何企業來講，錯誤的安全配置是很隱蔽的。發現這種漏洞的成本可能會很是高昂，而其對企業的影響也將至關嚴重，交流qq:2881064159。