評估內網的web應用意義大嗎? ?

我的技術不太好,想問問大牛們。客戶老是讓我評估內網的web應用,總感覺假如駭客已經突破外網邊界之後,進入內網進行內網滲透,更多關注的是經過被控制主機的流量,和它相鄰設備的安全性。

在常規的企業網路環境下,內網的web應用除了防止內鬼,其他安全防禦意義不大。要是有內鬼,直接騙取賬號就行了,幹嘛還要搞web。

大牛們如何看?

小菜一枚,勿噴。


首先,任何一個企業,都不可能保證自己的外部網路的絕對安全。包括BAT、各大銀行,甚至谷歌、微軟等國際企業,都曾被黑客拿下過外網伺服器許可權。

其次,內網裡有企業大量敏感服務,比如郵件系統、財務系統、人員系統、代碼協作平台,哪個都是企業的命脈。企業一個外網伺服器被黑了,最多可能泄露一些用戶信息等。但如果內網被黑了,將直接涉及到企業的私密信息、商業機密等,這也是為什麼你的客戶比較重視內網安全。

另外,烏雲上更多的案例說明,最危險的地方其實並不是程序漏洞或者是伺服器漏洞,而是在於人。

你說的『內鬼』,其實是企業安全里很小的一部分,而大多數由『人』造成的漏洞,都是因為企業內部員工一些操作不規範導致。

其中常見的『不規範操作』有:

  1. VPN賬戶/郵件賬戶弱密碼
  2. 個人密碼泄露(如企業郵箱密碼和自己其他網站密碼相同,一旦其中一個網站密碼泄露,將直接導致企業郵箱泄露)
  3. 在github等分享網站泄露自己密碼,很多程序員可能會將企業的一些密碼信息誤包含在代碼中傳到github之類分享社區,導致企業內部密碼泄露
  4. 員工安全意識差,通過釣魚泄露企業內部敏感信息
  5. 實地物理滲透(如連入員工內網/訪客WIFI穿越等)

我列舉一下這三種情況分別對應的典型案例:

1.58趕集內網漫遊(修改58線上代碼、獲取趕集用戶密碼和cookie、控制伺服器、SVN、內部系統) 弱口令導致進入內網

1.中國東方航空內網漫遊(各種系統漫遊的不要不要的) VPN弱口令導致泄露密碼

1.途牛內網可簡單漫遊各系統 郵箱弱口令導致泄露密碼

2.如何黑掉知乎--實現過程之大數據利用篇 社工庫的利用

3.淘寶敏感信息泄漏可進入某重要後台(使用大量敏感功能和控制內部伺服器) Github泄露內網alibaba-inc.com郵箱

3.一次成功的漫遊京東內部網路的過程(由一個開發人員失誤導致)Github導致泄露企業郵箱

3.PPS大量敏感信息泄露可能導致PPS奇藝內網滲透 googlecode 導致泄露各種內部密碼

4. 一封釣魚郵件引發的爆菊血案(論企業員工安全意識培訓的重要性)釣魚釣到員工內網郵箱密碼

4.京東旗下某站信息泄露可能導致可進入內網 VPN管理員安全意思不足導致泄露VPN賬號密碼

5.看我如何用wifi萬能鑰匙物理擼穿京東漫遊內網 通過實地滲透+wifi萬能鑰匙進入企業內網

太多了,沒有一個企業是沒犯過此類錯誤的,在烏雲上至少能找到幾千個內網漫遊的案例,很多都是由於上述五種原因導致的。

當然也有大量是通過伺服器漏洞、網站漏洞進入內網的,比如我曾經提交的這個漏洞: 美圖內網漫遊(淪陷大量內部系統、內部伺服器許可權、企業架構、企業郵箱等敏感信息)

這個漏洞是通過外網一台伺服器的任意文件讀取漏洞,拿到了該伺服器上一些php頁面的源碼,並通過挖掘源碼漏洞拿下該台伺服器,並通過內網一些弱口令+未授權訪問漏洞,拿到內網中大量機器。

所以,為什麼要評估內網應用的安全?

因為你不能保證黑客進不來你的內網,如果內網安全做不好,很可能一個黑客獲取到你們公司一個最普通的客服妹紙的VPN賬號,就能通過它作為跳板,利用內網漏洞,拿到你們公司各種內網伺服器。

那麼還是以上面美圖的那個漏洞為例,假設其內網對各個服務的密碼、IP做了嚴格限制,也不至於我通過拿下了一台無關緊要的伺服器,就讓整個內網淪陷了。

但可嘆的是,國內大量企業並不重視內網安全,大多數管理者認為,黑客進入不了內網,就無法對內網的機器造成破壞。

其實這個想法大錯特錯,因為它的大前提就錯了:你真的以為黑客進不了你的內網么?

有句老話說得好,世界上只有兩種人,一種是知道自己被黑了的,另外一種是被黑了還不知道的。


我能通過外網搞內網的web等應用 你信嗎?


知乎主站一處SSRF漏洞可探測內網

ph牛666


內網的系統很多往往是比較重要的,比如財務系統、SVN、資料庫伺服器等等。

之所以評估內網系統,進行內網許可權劃分等,一方面是為了防止"內鬼",另外很重要的一方面是從外網突破進入內網的方法太多了。很多公司都是使用vpn就能進去內網,並且基本每個員工都有vpn賬號。很難保證所有員工都能保證個人vpn賬號的安全,並不是所有員工都有安全行業從業者那種安全意識,各種外部網站註冊的賬號密碼跟公司內部vpn,郵箱,oa使用相同密碼的大有人在。再加常用的統一認證,基本有了vpn賬號,內網的很多系統也都是各種隨意登陸。

另外比如ssrf漏洞實際上不需要進入內網就可以對內網進行探測,烏雲上類似的案例太多了。綜上所述對內網系統進行評估很有必要。

當然,一般單位沒有太多安全資源投入的不需要對內網所有系統都評估,挑重要的進行評估,加固,許可權分離等很有必要。看樓主的描述,能請起乙方的一般也都是政府教育金融軍事之類的重要單位,那對內網進行評估還是很有必要的,一方面應付各種監督機構的檢查,另外一方面防止國外黑客的入侵之類的。從斯諾登以及今年發生德一些事情,其實就可以知道盯著咱國家的國外黑客還是挺多的,只是我們不在國家隊不了解嚴峻的形式而已。

以上是個人淺見


就說內鬼吧,難到內鬼就不要防了?OK,你說內鬼有「其他手段」防,那麼「其他手段」是啥?在你試圖找這個答案的時候其實已經在評估自己的系統了,無非審計方希望你們做的更規範而已。


有意義!並且意義很大。

正是很多人有這種想法,覺得內網更安全,我有了防火牆,有了入侵檢測,內網的應用安全就無所謂了。

所以內網很多應用就有了注入了,不要驗證碼了,不在服務端做驗證了,,,

然而烏雲上太多例子,外網被撕了一個小口子,進去內網後擼穿內網。內網被各種漫遊。

很多時候入侵都是通過域滲透達到目的的!


好多內網許可權簡單,密碼簡單,多年不升級打補丁,多年不更新病毒庫


比較大的內網,有經驗的黑客一般掃掃埠就能進去了吧。很難保證任何一台機器都沒有問題。就算沒有漏洞,也幾乎可以肯定有弱密碼。有時候甚至到附近蹭一下wifi就可以進內網了。再說,那麼多員工的電腦,很難保證任何一台都不會中木馬。


有個詞叫做 「漫遊「


我經常比喻的是,你出門鎖上防盜門就好了,家裡的貴重物品藏起來幹嘛?別說你家珠寶首飾都擺在茶几上


沒有人說內部人也要防嗎?誰敢保證內部網路就一定是可信任區域了?


1、內外網有區別嗎

2、內網系統重要性並不低於外網,並且經常被忽略


內外網共用客戶端的錯!好多內網應用安全係數超低!


內網其實是最最脆弱的,一般的公司都有這個想法,把內網的邊界加強防護,以為這樣就能阻擋黑客進來,然後放置內網的安全不管。其實安全環節中最薄弱的就是人了,一般辦公的職員就充當了其中一員,黑客一旦佔領一個內網據點,那麼通過後滲透可以將整合內網拿下。一般公司會將一些辦公系統,客戶資源系統放置到內網。這些對於公司來說都是寶貴的財富,作為測試人員應該十分嚴謹,不放過任何一個細節,所以這是必須的。


推薦閱讀:

請問一下 信息安全未來的前景如何?
銀行卡的密碼數據信息是保存在卡裡面還是銀行資料庫?
LastPass 安全嗎?
Android 應用有哪些常見,常被利用的安全漏洞?
OpenSSL 的 Heartbleed 漏洞的影響到底有多大?

TAG:網路安全 | 信息安全 | Web安全測試 |