評估內網的web應用意義大嗎? ?
我的技術不太好,想問問大牛們。客戶老是讓我評估內網的web應用,總感覺假如駭客已經突破外網邊界之後,進入內網進行內網滲透,更多關注的是經過被控制主機的流量,和它相鄰設備的安全性。
在常規的企業網路環境下,內網的web應用除了防止內鬼,其他安全防禦意義不大。要是有內鬼,直接騙取賬號就行了,幹嘛還要搞web。大牛們如何看?小菜一枚,勿噴。
首先,任何一個企業,都不可能保證自己的外部網路的絕對安全。包括BAT、各大銀行,甚至谷歌、微軟等國際企業,都曾被黑客拿下過外網伺服器許可權。
其次,內網裡有企業大量敏感服務,比如郵件系統、財務系統、人員系統、代碼協作平台,哪個都是企業的命脈。企業一個外網伺服器被黑了,最多可能泄露一些用戶信息等。但如果內網被黑了,將直接涉及到企業的私密信息、商業機密等,這也是為什麼你的客戶比較重視內網安全。
另外,烏雲上更多的案例說明,最危險的地方其實並不是程序漏洞或者是伺服器漏洞,而是在於人。你說的『內鬼』,其實是企業安全里很小的一部分,而大多數由『人』造成的漏洞,都是因為企業內部員工一些操作不規範導致。其中常見的『不規範操作』有:- VPN賬戶/郵件賬戶弱密碼
- 個人密碼泄露(如企業郵箱密碼和自己其他網站密碼相同,一旦其中一個網站密碼泄露,將直接導致企業郵箱泄露)
- 在github等分享網站泄露自己密碼,很多程序員可能會將企業的一些密碼信息誤包含在代碼中傳到github之類分享社區,導致企業內部密碼泄露
- 員工安全意識差,通過釣魚泄露企業內部敏感信息
- 實地物理滲透(如連入員工內網/訪客WIFI穿越等)
我列舉一下這三種情況分別對應的典型案例:
1.58趕集內網漫遊(修改58線上代碼、獲取趕集用戶密碼和cookie、控制伺服器、SVN、內部系統) 弱口令導致進入內網1.中國東方航空內網漫遊(各種系統漫遊的不要不要的) VPN弱口令導致泄露密碼1.途牛內網可簡單漫遊各系統 郵箱弱口令導致泄露密碼2.如何黑掉知乎--實現過程之大數據利用篇 社工庫的利用3.淘寶敏感信息泄漏可進入某重要後台(使用大量敏感功能和控制內部伺服器) Github泄露內網alibaba-inc.com郵箱
3.一次成功的漫遊京東內部網路的過程(由一個開發人員失誤導致)Github導致泄露企業郵箱3.PPS大量敏感信息泄露可能導致PPS奇藝內網滲透 googlecode 導致泄露各種內部密碼4. 一封釣魚郵件引發的爆菊血案(論企業員工安全意識培訓的重要性)釣魚釣到員工內網郵箱密碼4.京東旗下某站信息泄露可能導致可進入內網 VPN管理員安全意思不足導致泄露VPN賬號密碼5.看我如何用wifi萬能鑰匙物理擼穿京東漫遊內網 通過實地滲透+wifi萬能鑰匙進入企業內網太多了,沒有一個企業是沒犯過此類錯誤的,在烏雲上至少能找到幾千個內網漫遊的案例,很多都是由於上述五種原因導致的。當然也有大量是通過伺服器漏洞、網站漏洞進入內網的,比如我曾經提交的這個漏洞: 美圖內網漫遊(淪陷大量內部系統、內部伺服器許可權、企業架構、企業郵箱等敏感信息)這個漏洞是通過外網一台伺服器的任意文件讀取漏洞,拿到了該伺服器上一些php頁面的源碼,並通過挖掘源碼漏洞拿下該台伺服器,並通過內網一些弱口令+未授權訪問漏洞,拿到內網中大量機器。所以,為什麼要評估內網應用的安全?因為你不能保證黑客進不來你的內網,如果內網安全做不好,很可能一個黑客獲取到你們公司一個最普通的客服妹紙的VPN賬號,就能通過它作為跳板,利用內網漏洞,拿到你們公司各種內網伺服器。
那麼還是以上面美圖的那個漏洞為例,假設其內網對各個服務的密碼、IP做了嚴格限制,也不至於我通過拿下了一台無關緊要的伺服器,就讓整個內網淪陷了。但可嘆的是,國內大量企業並不重視內網安全,大多數管理者認為,黑客進入不了內網,就無法對內網的機器造成破壞。其實這個想法大錯特錯,因為它的大前提就錯了:你真的以為黑客進不了你的內網么?有句老話說得好,世界上只有兩種人,一種是知道自己被黑了的,另外一種是被黑了還不知道的。我能通過外網搞內網的web等應用 你信嗎?
知乎主站一處SSRF漏洞可探測內網
ph牛666內網的系統很多往往是比較重要的,比如財務系統、SVN、資料庫伺服器等等。
之所以評估內網系統,進行內網許可權劃分等,一方面是為了防止"內鬼",另外很重要的一方面是從外網突破進入內網的方法太多了。很多公司都是使用vpn就能進去內網,並且基本每個員工都有vpn賬號。很難保證所有員工都能保證個人vpn賬號的安全,並不是所有員工都有安全行業從業者那種安全意識,各種外部網站註冊的賬號密碼跟公司內部vpn,郵箱,oa使用相同密碼的大有人在。再加常用的統一認證,基本有了vpn賬號,內網的很多系統也都是各種隨意登陸。
另外比如ssrf漏洞實際上不需要進入內網就可以對內網進行探測,烏雲上類似的案例太多了。綜上所述對內網系統進行評估很有必要。
當然,一般單位沒有太多安全資源投入的不需要對內網所有系統都評估,挑重要的進行評估,加固,許可權分離等很有必要。看樓主的描述,能請起乙方的一般也都是政府教育金融軍事之類的重要單位,那對內網進行評估還是很有必要的,一方面應付各種監督機構的檢查,另外一方面防止國外黑客的入侵之類的。從斯諾登以及今年發生德一些事情,其實就可以知道盯著咱國家的國外黑客還是挺多的,只是我們不在國家隊不了解嚴峻的形式而已。
以上是個人淺見就說內鬼吧,難到內鬼就不要防了?OK,你說內鬼有「其他手段」防,那麼「其他手段」是啥?在你試圖找這個答案的時候其實已經在評估自己的系統了,無非審計方希望你們做的更規範而已。
有意義!並且意義很大。
正是很多人有這種想法,覺得內網更安全,我有了防火牆,有了入侵檢測,內網的應用安全就無所謂了。所以內網很多應用就有了注入了,不要驗證碼了,不在服務端做驗證了,,,然而烏雲上太多例子,外網被撕了一個小口子,進去內網後擼穿內網。內網被各種漫遊。好多內網許可權簡單,密碼簡單,多年不升級打補丁,多年不更新病毒庫
比較大的內網,有經驗的黑客一般掃掃埠就能進去了吧。很難保證任何一台機器都沒有問題。就算沒有漏洞,也幾乎可以肯定有弱密碼。有時候甚至到附近蹭一下wifi就可以進內網了。再說,那麼多員工的電腦,很難保證任何一台都不會中木馬。
有個詞叫做 「漫遊「
我經常比喻的是,你出門鎖上防盜門就好了,家裡的貴重物品藏起來幹嘛?別說你家珠寶首飾都擺在茶几上
沒有人說內部人也要防嗎?誰敢保證內部網路就一定是可信任區域了?
1、內外網有區別嗎2、內網系統重要性並不低於外網,並且經常被忽略
內外網共用客戶端的錯!好多內網應用安全係數超低!
內網其實是最最脆弱的,一般的公司都有這個想法,把內網的邊界加強防護,以為這樣就能阻擋黑客進來,然後放置內網的安全不管。其實安全環節中最薄弱的就是人了,一般辦公的職員就充當了其中一員,黑客一旦佔領一個內網據點,那麼通過後滲透可以將整合內網拿下。一般公司會將一些辦公系統,客戶資源系統放置到內網。這些對於公司來說都是寶貴的財富,作為測試人員應該十分嚴謹,不放過任何一個細節,所以這是必須的。
推薦閱讀:
※請問一下 信息安全未來的前景如何?
※銀行卡的密碼數據信息是保存在卡裡面還是銀行資料庫?
※LastPass 安全嗎?
※Android 應用有哪些常見,常被利用的安全漏洞?
※OpenSSL 的 Heartbleed 漏洞的影響到底有多大?