企業 2013 年最高的 10 個信息安全威脅是哪些?
=======================================
您認為影響企業信息安全的10大威脅會是哪些?
=======================================
Wooyun Top Ten Risk 2013
WooYun.org | 自由平等開放的漏洞報告平台
微博投票地址:http://vote.weibo.com/vid=2448953
=======================================
- A1-引用不安全的第三方應用
- A2-互聯網泄密事件/撞庫攻擊
- A3-XSS跨站腳本攻擊/CSRF
- A4-系統錯誤/邏輯缺陷帶來的自動化枚舉
- A5-SQL注入漏洞
- A6-應用錯誤配置/默認配置
- A7-敏感信息泄露
- A8-未授權訪問/許可權繞過
- A9-賬戶體系控制不嚴/越權操作
- A10-企業內部重要資料/文檔外泄
以下是我認為如今威脅企業信息安全的威脅所在,以及排序和對應的描述:
- A1-引用不安全的第三方應用
第三方開源應用、組件、庫、框架和其他軟體模塊;
過去幾年中,安全領域在如何處理漏洞的評估方面取得了長足的進步,幾乎每一個業務系統都越來越多地使用了第三方應用,從而導致系統被入侵的威脅也隨之增加。由於第三方應用平行部署在業務系統之上,如果一個易受攻擊的第三方應用被利用,這種攻擊將導致嚴重的數據失竊或系統淪陷。
- A2-互聯網泄密事件/撞庫攻擊
以大量的用戶數據為基礎,利用用戶相同的註冊習慣(相同的用戶名和密碼),嘗試登陸其它的網站。2011年,互聯網泄密事件引爆了整個信息安全界,導致傳統的用戶+密碼認證的方式已無法滿足現有安全需求。泄露數據包括:天涯:31,758,468條,CSDN:6,428,559條,微博:4,442,915條,人人網:4,445,047條,貓撲:2,644,726條,178:9,072,819條,嘟嘟牛:13,891,418條,7K7K:18,282,404條,小米828萬,Adobe:1.5億,Cupid Media:4200萬,QQ資料庫:大於6億,福布斯:100萬,索尼:1.016億,接近10億多條。
- A3-XSS跨站腳本攻擊/CSRF
屬於代碼注入的一種,XSS發生在當應用程序獲得不可信的數據並發送到瀏覽器或支持用戶端腳本語言容器時,沒有做適當的校驗或轉義。XSS能讓攻擊者在受害者的瀏覽器上執行腳本行,從而實現劫持用戶會話、破壞網站Dom結構或者將受害者重定向到惡意網站。
- A4-系統錯誤/邏輯缺陷帶來的自動化枚舉
由於應用系統自身的業務特性,會開放許多介面用於處理數據,如果介面或功能未進行嚴謹的安全控制或判斷,將會促進駭客加快攻擊應用程序的過程,大大降低了駭客發現威脅的人力成本。
隨著模塊化的自動化攻擊工具包越來越趨向完善,將給應用帶來最大的威脅。
- A5-注入漏洞
注入缺陷不僅僅局限於SQL,還包括命令、代碼、變數、HTTP響應頭、XML等注入。
程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,當不可信的數據作為命令或查詢的一部分被發送到解釋器時,注入就會發生。攻擊者的惡意數據欺騙解釋器,讓它執行意想不到的命令或者訪問沒有準確授權的數據。
- A6-應用錯誤配置/默認配置
數應用程序、中間件、服務端程序在部署前,未針對安全基線缺乏嚴格的安全配置定義和部署,
將為攻擊者實施進一步攻擊帶來便利。常見風險:flash默認配置,Access資料庫默認地址,WebDav配置錯誤,Rsync錯誤配置,應用伺服器、Web伺服器、資料庫伺服器自帶管理功能默認後台和管理口令。
- A7-敏感信息泄露
由於沒有一個通用標準的防禦規則保護好中間件配置信息、DNS信息、業務數據信息、用戶信息、源碼備份文件、版本管理工具信息、系統錯誤信息和敏感地址信息(後台或測試地址)的泄露,攻擊者可能會通過收集這些保護不足的數據,利用這些信息對系統實施進一步的攻擊。
- A8-未授權訪問/許可權繞過
多數業務系統應用程序僅僅只在用戶客戶端校驗授權信息,或者乾脆不做訪問控制規則限制,如果服務端對來自客戶端的請求未做完整性檢查,攻擊者將能夠偽造請求,訪問未被授權使用的功能。
- A9-賬戶體系控制不嚴/越權操作
與認證和會話管理相關的應用程序功能常常會被攻擊者利用,攻擊者通過組建的社會工程資料庫,檢索用戶密碼,或者通過信息泄露獲得的密鑰、會話token、GSID和利用其它信息來繞過授權控制訪問不屬於自己的數據。如果服務端未對來自客戶端的請求進行身份屬主校驗,攻擊者可通過偽造請求,越權竊取所有業務系統的數據。
- A10-企業內部重要資料/文檔外泄
無論是企業還是個人,越來越依賴於對電子設備的存儲、處理和傳輸信息的能力。
企業重要的數據信息,都以文件的形式存儲在電子設備或數據中心上,企業僱員或程序員為了辦公便利,常常將涉密數據拷貝至移動存儲介質或上傳至網路,一旦信息外泄,將直接加重企業安全隱患發生的概率。
這個投票有啥意義 不時要用數據說話嘛?wooyun直接出數據分析報告多好
不同行業有所區別,XSS、注入等web安全威脅對互聯網行業來說絕對是排名前五的,但對製造業來說,對傳統行業來說,企業內部文檔外泄、應用錯誤配置/默認配置這些又成了最主要的。
不細分行業談安全,相差太大。
小哥,我來支持你了;
搜索了下wooyun對應的關鍵字,用數據說話:
搜索關鍵字: xss(共 2691 條記錄)
搜索關鍵字: SQL注入(共 1497 條記錄)
搜索關鍵字: 信息泄露(共 900 條記錄)
搜索關鍵字: 弱口令(共 871 條記錄)
搜索關鍵字: 未授權訪問(共 162 條記錄)
……
當然烏雲里有很多漏洞都是沒有點擊關鍵字的,沒統計進去;
說下我個人認為烏雲的top:
1、SQL注入漏洞;
2、xss包括各種csrf;
3、互聯網泄密事件/撞庫攻擊;
典型:大數據Hack系列;
4、應用錯誤配置/默認配置;
5、引用不安全的第三方應用;
- A1 Injection
- A2 Broken Authentication and Session Management
- A3 Cross-Site Scripting (XSS)
- A4 Insecure Direct Object References
- A5 Security Misconfiguration
- A6 Sensitive Data Exposure
- A7 Missing Function Level Access Control
- A8 Cross-Site Request Forgery (CSRF)
- A9 Using Components with Known Vulnerabilities
- A10 Unvalidated Redirects and Forwards
謝邀
目前接觸的項目中我認為是A6和A10
很多企業認為信息安全只是技術上的防範,於是上設備,安全編碼,過各種測試,等等等
但運維中的不規範我認為才是嚴重問題
前面有朋友說網管離職,我覺得雖然是戲謔但也很有道理
管理不規範帶來的隱患與其受關注度完全不成正比,這非常令人擔憂。
關鍵字:X度文庫
關於A6,其實也是疏於管理帶來的問題,運維人員的技術水平參差不齊,外包開發的交接也不規範,目前我接觸到的項目中沒有看到幾個應用配置完整而適用的,運維人員在這方面的知識水平嚴重不足。
謝謝邀請!
「2013企業的最高的10個信息安全問題」這個面就比較廣了,其實等保就能夠很好的回答這個問題,不管是搞主機安全、網路安全、數據安全還是應用安全等,等保是最有資格回來這個問題的,雖然等保也是借鑒了國外的一些標準。
首先,我先談談為什麼wooyun羅列出來的這10個「信息安全」問題趨於應用安全,經常訪問的人都知道其實烏雲比較側重於應用安全,從360安全寶、知道創宇的scanv(其主要領域為web安全)引用烏雲的數據就可以看出。我想同樣的問題,若讓看雪來羅列可能會有完全不同的結果,因為烏雲和看雪的側重點不同。
有點廢話了,回到主題。
————————————————分割線
那麼2013年 企業10大信息安全問題到底有哪些?我這裡無法一一作答,但是談談我的思路:
1. 所涵蓋的信息安全問題,應該是涵蓋:主機安全、網路安全、數據安全及應用安全等;
圈子裡的很多人做了很多年的信息安全,從主機安全到網路安全公司,再由網路安全做到互聯網安全(網站安全),他的想法不斷的在發生變化,他關注的小範圍也有所改變,但是我想信息安全的本質是不便的——完整性、可用性及保密性等;只有從這個角度出發,才能夠考慮全面。
2. 安全問題的排序,應按照信息安全產品的「成熟度」及「安全事件熱點"等關鍵字進行排序;比如,先將2013年最重大的10個安全事件羅列出來,那麼信息安全問題的排序便有了參考。
PS:等級保護,
其實談到等級(分級)保護,很多業內專家和工程師,可能都會嗤之以鼻,覺得不就是抄國外的東西嘛,而且公安(保密局)在國內推了這麼多年,也還那樣。
但是要說對信息安全的標準的全面性,我們捫心自問誰不是在自欺欺人,自己搞什麼領域(主機、網路、應用等),就非得把那個領域說的神乎其神,但其實等級(分級)保護才是國內最完整的信息安全解決方案。
謝邀,這個問題拿owasp top 10來說再合適不過了,中文版翻譯的不是很好,有興趣的同學可以去看下http://owasp.org官方原版,地址如此:Category:OWASP Top Ten Project
接著說回來,這些東西不都是web那套嗎?為什麼現在安全圈都往web靠攏呢?實際上無論做內控還是審計或者任何安全體系,直接拿cissp的10個領域不好么,就是不明白web安全現在居然代表了整個安全體系。
同時匿名表,我個人不喜歡烏雲,也沒有烏雲id,所以很抱歉無法給出題主關於烏雲的任何意見和建議。
正準備退出安全圈,改行去收廢品,聽說比安全圈好混多了,毋念。謝邀,其實每年排這個感覺意義不大,要我說每年都排第一的絕對是內部控制。內部不出問題,真正讓外部可以利用的機會其實是非常少的,那都是些頂級黑客乾的事情。或許這樣回答很不嚴肅,可事實就是如此。
這個討論的內容有點偏題。標題是「企業 2013 年最高的 10 個信息安全威脅是哪些?」。OWASP的top 10很明確的說了是針對於web app的安全問題,投票的列表也比較偏重web。
就企業來說安全威脅的概念會更廣些,比如員工缺乏基本安全意識的問題,新的技術和平台(社交網路,雲,mobile等)帶來的威脅,內部員工威脅等等。
如果做一個針對企業用戶的投票,應該能更好的了解top的威脅和需求,另外如樓上@hblf所說能有按行業細分的數據就更好了。
找個靠譜的幫我做網站的咋這麼難
謝邀
個人覺得目前說這些已經沒什麼意義了
我們不應該關注過去,而應該更注意未來
就個人認為,威脅排名如下:
1.社工
2.XSS/CSRF
3.引用不安全的應用
個人認為目前遠遠低估了社工的威脅性,當然,個人認為社工應該也算技術性,畢竟社工的過程中仍然不可避免的需要用到技術。
同樣,其實樓主列舉的很多都能囊括到APT攻擊中。
不好意思,跑題了,不過也算側面回答了樓主的問題
不過個人認為不應該單獨列舉這些hack手段,畢竟目前的滲透都是不單單運用一種技術就能成功的,單個hack手段造成的損失都是有限的,」組合性「攻擊才是目前的主流
相信越到以後,攻擊手段越多,目前個人很擔憂二維碼安全,個人覺得在接下來的很長一段時間,二維碼安全都應該受到重視。
以上是個人拙見,見笑了。
謝邀。。我個人覺得,最重要的應該是第三方應用吧。尤其是在android上面,由於使用的面比較廣,很容易收到hacker的攻擊。。現在的報道之中說的差不多也這樣;然後呢,加之現在很多個人的隱私都與自己的移動設備牽扯關係很大,並且現今的移動設備發展趨勢非常明顯,我覺得這極有可能是今後安全方面的一個難題。。。
個人認為這三個應該排首:
1、A3-XSS跨站腳本攻擊/CSRF
2、A1-引用不安全的第三方應用
3、A5-SQL注入漏洞
我只談談自己的感覺,不具代表性。
在這邊絕大部分應用都是Web應用,最關心的信息安全威脅,應該是數據安全中的數據被非法竊取,應該是A10。
數據竊取除了技術方面的原因外,還有管理方面的原因,比如讓不本應該接觸重要數據的人接觸重要數據,這也許應該算是業務安全,與A8和A9有些關係。
每年的信息安全等級保護最關注的是A5-SQL注入和A3-XSS跨站腳本,目前已經對新建系統引入源代碼靜態掃描。
問題最大的還是信息安全意識,應用系統用戶撇開不算,開發和運維人員的安全意識都非常薄弱,而且絕大部分人缺乏相關的安全知識和能力,這是最要命的事情。如果是國企的話,有可能是網管離職,嗯哼~
推薦閱讀: