笔者在2018年12月24日为各位的读者针对《配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架》做了详细的拆解。在本篇文章当中,我们将结合DVP上线以来收到并确认的3200多个有效漏洞中,分析并总结出交易所安全中常见的5大类案例,这些案例由于开发者的安全意识不足所以引发的安全危害,值得业内共同关注。
案例一:弱口令引起的安全问题
在当今很多地方以用户名和口令作为鉴权的世界,口令的重要性就可想而知了。口令就相当于进入家门的钥匙,当他人有一把可以进入你家的钥匙,想想你的安全、你的财物、你的隐私。因为弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家门钥匙放在家门口的垫子下面,是非常危险的。
弱口令是指由于人的习惯或安全意识不足而频繁使用的,一个非常容易记住的密码或采用系统的默认密码,比如常用的:123456、888888等和一些默认的密码 admin、root等一系列弱密码。黑客通过弱口令进入后台,获取权限,财务转账,计费修改,实时监控,都是完全可以实现的。
以下是真实案例:
https://dvpnet.io/info/detail/id/2077(案例地址)
举个例子,某交易所就因为使用了弱口令 123456 导致攻击者进入后台泄露了大量的用户敏感信息
与此类相关的漏洞,截至发稿前DVP漏洞平台已收到了超过 110+ 相关漏洞,由此可见弱口令是平台的一大安全隐患。
DVP推荐修复建议:
- 加强密码策略
- 不使用默认密码
- 定期修改密码
- 口令长度不小于8个字符
案例二:GIT配置不当引发的信息泄露
当前大量开发人员使用Git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了Git信息泄露漏洞。Git配置不当可导致攻击者本地还原整个项目,攻击者可从泄露的项目源码中提取出数据库的账号、密码或者对泄露的代码进行漏洞审计,找出更严重的漏洞并加以利用。Git信息泄露的危害很大,攻击者可直接从源码获取敏感配置信息(如:邮箱,数据库)
以下是真实案例:
https://dvpnet.io/info/detail/id/149(案例地址)
攻击者可通过第三方工具访问 /.git 获取到目标的源码如:
还能从下载到的源码中获取到数据库的密码
与此类相关的漏洞,截至发稿前DVP漏洞平台已收到了超过 100+ 相关漏洞,可见的Git配置不当对平台的安全存在一定安全隐患。
DVP推荐修复建议:
- 删除目录下的 .git 文件夹
- 配置Nginx或者Apache禁止访问 .git 文件夹
案例三:SVN配置不当引起的信息泄露
SVN(subversion)是源代码版本管理软件,造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点结构。”(可以利用.svn/entries文件,获取到服务器源码、svn服务器账号密码等信息)
更严重的问题在于,SVN产生的.svn目录下还包含了以.svn-base结尾的源代码文件副本(低版本SVN具体路径为text-base目录,高版本SVN为pristine目录),如果服务器没有对此类后缀做解析,黑客则可以直接获得文件源代码。
以下是真实案例:
https://dvpnet.io/info/detail/id/2488(案例地址)
与此类相关的漏洞,截至发稿前DVP漏洞平台已收到了超过 20+ 相关漏洞,可见的SVN配置不当对平台的安全存在一定安全隐患。
DVP推荐修复建议:
- 配置Nginx或Apache限制访问SVN目录
- 删除 .svn 目录和CVS 目录
案例四: Redis未授权访问引起的漏洞
Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。如果因管理人员配置不当,没有设置密码认证暴露在公网上,就可能被攻击者恶意攻击利用。一旦被攻击,攻击者不需要密码就可以访问到redis 数据库里面存储的数据,还可以写入恶意代码,最严重的情况,攻击者可完全控制服务器。
攻击者可直接用redis 客户端不用密码直接连接
查看redis 数据库信息
以下是真实案例:
https://dvpnet.io/info/detail/id/8957(案例地址)
与此类相关得漏洞,截至发稿前DVP漏洞平台已收到了超过 30+ 相关漏洞,可见的 Redis未授权访问对平台的安全存在一定安全隐患
DVP推荐修复建议:
- 不要以root权限运行redis
- 添加密码验证
- 禁止公网访问redis
- 修改默认端口
案例五:网站备份文件引起漏洞
网站存在备份文件,例如数据库备份文件、网站源码备份文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。
有些开发者习惯将备份文件放在web目录中,这可能导致网站的源码或者数据库备份信息泄露,DVP漏洞平台就收录过不少因为备份文件可猜测被下载而引起的高危安全事件。
以下是真实案例:
https://dvpnet.io/info/detail/id/1134(案例地址)
与此类相关得漏洞,截至发稿前DVP漏洞平台已收到了超过 30+ 相关漏洞,可见的
网站备份文件安全意识淡薄对平台的安全存在隐患。
DVP推荐修复建议:
- 不要将备份文件放在web目录中。
- 下载完备份文件及时删除。
- 备份文件名不可猜测。
以上笔者分别用弱口令、GIT配置不当、SVN配置不当、Redis未授权访问、网站备份文件5大样本案标列出了交易所中常见的五大危害类型。交易所的安全是一个整体,攻击者往往会寻找薄弱点进行攻击,根据以上五大案例,交易所可根据以上案例自查,从细节做起规避小问题变大危害,保护交易所安全。否则,一旦因为中小型问题导致成大危害,造成的利益损失是重大的。