滲透測試員分享黑客最常利用的那些漏洞
網站遭到攻擊以及各種數據泄露事故(例如Anonymous攻擊排名前100的大學)讓企業疑惑這些攻擊者是如何侵入系統以及為什么這么容易攻擊。這些遭受攻擊的不同企業中存在哪些常見漏洞?攻擊者最常利用的漏洞是哪些?
我們詢問了很多滲透測試人員,他們通常能夠利用哪些主要漏洞,這些滲透測試人員有些在大學和企業環境工作,有些是每周為各種類型客戶執行滲透測試的全職安全顧問。
這些滲透測試人員幾乎都有類似的漏洞清單。每份清單的最前面都是SQL注入、跨站腳本(XSS)或者不安全的網站。令人驚訝嗎?不盡然。通常情況下,Anonymous選擇入侵的方法主要是通過SQL注入。一旦web服務器和底層數據庫服務器受到破壞,就很容易利用這些服務器的信任關系,并存儲密碼來攻擊其他目標。
Include Security公司的高級安全分析師Christian von Kleist表示,在外部滲透測試中,web服務器通常是他最先注意到的。他表示:“我的很多滲透測試獲得成功,只是因為我能夠利用網絡中不安全的web應用程序。”
當von Kleist被問到為什么他認為web應用程序通常布滿漏洞時,他表示,那些創建這些軟件和保護網絡的人員之間存在斷層。“他們獨立工作,在開發軟件過程中很少涉及安全性,最終結果就是開發過程中的漏洞將部署到生產環境。”
還有哪些漏洞榜上有名呢?包括應用服務器、網絡設備和內容管理系統暴露的行政和管理界面,其次是設備打印機和視頻會議系統泄漏的信息;過時的和/或不受支持的軟件,通常還具有不安全的默認配置;以及暴露的web服務。
Secure Ideas公司高級安全顧問Kevin Johnson表示:“我們經常會發現,行政或管理界面能夠被外部攻擊者看到。”一些例子包括:JBoss、Tomcat和ColdFusion的基于web的管理界面,以及SSH和SNMP等管理服務。
Johnson表示,經常被安裝的軟件數據包包括ColdFusion或者JBoss服務器,而沒有意識到這些服務器包括管理員控制臺。Christian表示:“這些管理控制臺通常使用默認登錄憑證,或者存在常見漏洞。”
除了意外暴露的管理界面,滲透測試者還利用了來自互聯網網絡設備泄露的信息,包括打印機和視頻會議系統泄露的信息。由于打印機和視頻會議系統通常使用默認登錄憑證或者干脆沒有設置密碼,攻擊者可以竊取用戶名、密碼和內部IP地址,甚至對內部系統發動攻擊。
去年,Rapid 7公司的首席安全觀HD Moore演示了如何通過網絡掃描來輕松地識別視頻會議系統。他發現互聯網中5000個系統正在等待自動接聽呼叫。其中一些,他能夠“竊聽附近的談話以及記錄周圍環境的視頻—甚至查看20英尺外筆記本屏幕上的電子郵件。”
網站遭到攻擊以及各種數據泄露事故(例如Anonymous攻擊排名前100的大學)讓企業疑惑這些攻擊者是如何侵入系統以及為什么這么容易攻擊。這些遭受攻擊的不同企業中存在哪些常見漏洞?攻擊者最常利用的漏洞是哪些?
我們詢問了很多滲透測試人員,他們通常能夠利用哪些主要漏洞,這些滲透測試人員有些在大學和企業環境工作,有些是每周為各種類型客戶執行滲透測試的全職安全顧問。
這些滲透測試人員幾乎都有類似的漏洞清單。每份清單的最前面都是SQL注入、跨站腳本(XSS)或者不安全的網站。令人驚訝嗎?不盡然。通常情況下,Anonymous選擇入侵的方法主要是通過SQL注入。一旦web服務器和底層數據庫服務器受到破壞,就很容易利用這些服務器的信任關系,并存儲密碼來攻擊其他目標。
Include Security公司的高級安全分析師Christian von Kleist表示,在外部滲透測試中,web服務器通常是他最先注意到的。他表示:“我的很多滲透測試獲得成功,只是因為我能夠利用網絡中不安全的web應用程序。”
當von Kleist被問到為什么他認為web應用程序通常布滿漏洞時,他表示,那些創建這些軟件和保護網絡的人員之間存在斷層。“他們獨立工作,在開發軟件過程中很少涉及安全性,最終結果就是開發過程中的漏洞將部署到生產環境。”
還有哪些漏洞榜上有名呢?包括應用服務器、網絡設備和內容管理系統暴露的行政和管理界面,其次是設備打印機和視頻會議系統泄漏的信息;過時的和/或不受支持的軟件,通常還具有不安全的默認配置;以及暴露的web服務。
Secure Ideas公司高級安全顧問Kevin Johnson表示:“我們經常會發現,行政或管理界面能夠被外部攻擊者看到。”一些例子包括:JBoss、Tomcat和ColdFusion的基于web的管理界面,以及SSH和SNMP等管理服務。
Johnson表示,經常被安裝的軟件數據包包括ColdFusion或者JBoss服務器,而沒有意識到這些服務器包括管理員控制臺。Christian表示:“這些管理控制臺通常使用默認登錄憑證,或者存在常見漏洞。”
除了意外暴露的管理界面,滲透測試者還利用了來自互聯網網絡設備泄露的信息,包括打印機和視頻會議系統泄露的信息。由于打印機和視頻會議系統通常使用默認登錄憑證或者干脆沒有設置密碼,攻擊者可以竊取用戶名、密碼和內部IP地址,甚至對內部系統發動攻擊。
去年,Rapid 7公司的首席安全觀HD Moore演示了如何通過網絡掃描來輕松地識別視頻會議系統。他發現互聯網中5000個系統正在等待自動接聽呼叫。其中一些,他能夠“竊聽附近的談話以及記錄周圍環境的視頻—甚至查看20英尺外筆記本屏幕上的電子郵件。”
Secure Ideas公司的Johnson表示,最糟糕的事情之一是web服務或者業務以及端點的暴露。
“這些服務通常由業務合作伙伴或者應用程序使用,例如營銷部門使用的移動應用程序,”他表示,“由于這些端點被設計為使用客戶端應用程序來通信,而不是直接通過用戶,開發人員通常認為這些只需要較少的控制,因為應用程序時‘值得信賴的’。”
為什么大家擔心暴露的web服務?Johnson表示,缺乏安全控制讓它們很容易成為攻擊者的切入點。在他們的滲透測試中,他們可以直接展示被成功利用的漏洞帶來的業務影響。
當然,最大的問題是企業應該如何解決這些問題,這樣他們就不會成為攻擊目標?在幾乎所有情況下,知道網絡上有些什么是至關重要的。安全團隊應該定期進行網絡掃描以識別新的系統和服務。
企業存在的常見問題是不知道哪些是外部可以訪問的。除了定期的漏洞掃描(以發現最常見的漏洞)外,企業需要采取措施以掃描所有新主機和服務的面向外部的IP地址。除了定期掃描,在web應用程序的開發、采購和部署過程,應該更多地考慮安全因素,但我們都知道,這件事情說起來容易,做起來難。
