評估內網的web應用意義大嗎？ ?

01-05

我的技術不太好，想問問大牛們。客戶老是讓我評估內網的web應用，總感覺假如駭客已經突破外網邊界之後，進入內網進行內網滲透，更多關注的是經過被控制主機的流量，和它相鄰設備的安全性。
在常規的企業網路環境下，內網的web應用除了防止內鬼，其他安全防禦意義不大。要是有內鬼，直接騙取賬號就行了，幹嘛還要搞web。
大牛們如何看？
小菜一枚，勿噴。

首先，任何一個企業，都不可能保證自己的外部網路的絕對安全。包括BAT、各大銀行，甚至谷歌、微軟等國際企業，都曾被黑客拿下過外網伺服器許可權。

其次，內網裡有企業大量敏感服務，比如郵件系統、財務系統、人員系統、代碼協作平台，哪個都是企業的命脈。企業一個外網伺服器被黑了，最多可能泄露一些用戶信息等。但如果內網被黑了，將直接涉及到企業的私密信息、商業機密等，這也是為什麼你的客戶比較重視內網安全。

另外，烏雲上更多的案例說明，最危險的地方其實並不是程序漏洞或者是伺服器漏洞，而是在於人。

你說的『內鬼』，其實是企業安全里很小的一部分，而大多數由『人』造成的漏洞，都是因為企業內部員工一些操作不規範導致。

其中常見的『不規範操作』有：

VPN賬戶/郵件賬戶弱密碼
個人密碼泄露（如企業郵箱密碼和自己其他網站密碼相同，一旦其中一個網站密碼泄露，將直接導致企業郵箱泄露）
在github等分享網站泄露自己密碼，很多程序員可能會將企業的一些密碼信息誤包含在代碼中傳到github之類分享社區，導致企業內部密碼泄露
員工安全意識差，通過釣魚泄露企業內部敏感信息
實地物理滲透（如連入員工內網/訪客WIFI穿越等）

我列舉一下這三種情況分別對應的典型案例：

1.58趕集內網漫遊（修改58線上代碼、獲取趕集用戶密碼和cookie、控制伺服器、SVN、內部系統）弱口令導致進入內網

1.中國東方航空內網漫遊（各種系統漫遊的不要不要的） VPN弱口令導致泄露密碼

1.途牛內網可簡單漫遊各系統郵箱弱口令導致泄露密碼

2.如何黑掉知乎--實現過程之大數據利用篇社工庫的利用

3.淘寶敏感信息泄漏可進入某重要後台（使用大量敏感功能和控制內部伺服器） Github泄露內網alibaba-inc.com郵箱

3.一次成功的漫遊京東內部網路的過程（由一個開發人員失誤導致）Github導致泄露企業郵箱

3.PPS大量敏感信息泄露可能導致PPS奇藝內網滲透 googlecode 導致泄露各種內部密碼

4. 一封釣魚郵件引發的爆菊血案（論企業員工安全意識培訓的重要性）釣魚釣到員工內網郵箱密碼

4.京東旗下某站信息泄露可能導致可進入內網 VPN管理員安全意思不足導致泄露VPN賬號密碼

5.看我如何用wifi萬能鑰匙物理擼穿京東漫遊內網通過實地滲透+wifi萬能鑰匙進入企業內網

太多了，沒有一個企業是沒犯過此類錯誤的，在烏雲上至少能找到幾千個內網漫遊的案例，很多都是由於上述五種原因導致的。

當然也有大量是通過伺服器漏洞、網站漏洞進入內網的，比如我曾經提交的這個漏洞：美圖內網漫遊(淪陷大量內部系統、內部伺服器許可權、企業架構、企業郵箱等敏感信息）

這個漏洞是通過外網一台伺服器的任意文件讀取漏洞，拿到了該伺服器上一些php頁面的源碼，並通過挖掘源碼漏洞拿下該台伺服器，並通過內網一些弱口令+未授權訪問漏洞，拿到內網中大量機器。

所以，為什麼要評估內網應用的安全？

因為你不能保證黑客進不來你的內網，如果內網安全做不好，很可能一個黑客獲取到你們公司一個最普通的客服妹紙的VPN賬號，就能通過它作為跳板，利用內網漏洞，拿到你們公司各種內網伺服器。

那麼還是以上面美圖的那個漏洞為例，假設其內網對各個服務的密碼、IP做了嚴格限制，也不至於我通過拿下了一台無關緊要的伺服器，就讓整個內網淪陷了。

但可嘆的是，國內大量企業並不重視內網安全，大多數管理者認為，黑客進入不了內網，就無法對內網的機器造成破壞。

其實這個想法大錯特錯，因為它的大前提就錯了：你真的以為黑客進不了你的內網么？

有句老話說得好，世界上只有兩種人，一種是知道自己被黑了的，另外一種是被黑了還不知道的。

我能通過外網搞內網的web等應用你信嗎？

知乎主站一處SSRF漏洞可探測內網

ph牛666

內網的系統很多往往是比較重要的，比如財務系統、SVN、資料庫伺服器等等。

之所以評估內網系統，進行內網許可權劃分等，一方面是為了防止"內鬼"，另外很重要的一方面是從外網突破進入內網的方法太多了。很多公司都是使用vpn就能進去內網，並且基本每個員工都有vpn賬號。很難保證所有員工都能保證個人vpn賬號的安全，並不是所有員工都有安全行業從業者那種安全意識，各種外部網站註冊的賬號密碼跟公司內部vpn，郵箱，oa使用相同密碼的大有人在。再加常用的統一認證，基本有了vpn賬號，內網的很多系統也都是各種隨意登陸。

另外比如ssrf漏洞實際上不需要進入內網就可以對內網進行探測，烏雲上類似的案例太多了。綜上所述對內網系統進行評估很有必要。

當然，一般單位沒有太多安全資源投入的不需要對內網所有系統都評估，挑重要的進行評估，加固，許可權分離等很有必要。看樓主的描述，能請起乙方的一般也都是政府教育金融軍事之類的重要單位，那對內網進行評估還是很有必要的，一方面應付各種監督機構的檢查，另外一方面防止國外黑客的入侵之類的。從斯諾登以及今年發生德一些事情，其實就可以知道盯著咱國家的國外黑客還是挺多的，只是我們不在國家隊不了解嚴峻的形式而已。

以上是個人淺見

就說內鬼吧，難到內鬼就不要防了？OK，你說內鬼有「其他手段」防，那麼「其他手段」是啥？在你試圖找這個答案的時候其實已經在評估自己的系統了，無非審計方希望你們做的更規範而已。

有意義！並且意義很大。

正是很多人有這種想法，覺得內網更安全，我有了防火牆，有了入侵檢測，內網的應用安全就無所謂了。

所以內網很多應用就有了注入了，不要驗證碼了，不在服務端做驗證了，，，

然而烏雲上太多例子，外網被撕了一個小口子，進去內網後擼穿內網。內網被各種漫遊。

很多時候入侵都是通過域滲透達到目的的！

好多內網許可權簡單，密碼簡單，多年不升級打補丁，多年不更新病毒庫

比較大的內網，有經驗的黑客一般掃掃埠就能進去了吧。很難保證任何一台機器都沒有問題。就算沒有漏洞，也幾乎可以肯定有弱密碼。有時候甚至到附近蹭一下wifi就可以進內網了。再說，那麼多員工的電腦，很難保證任何一台都不會中木馬。

有個詞叫做「漫遊「

我經常比喻的是，你出門鎖上防盜門就好了，家裡的貴重物品藏起來幹嘛？別說你家珠寶首飾都擺在茶几上

沒有人說內部人也要防嗎？誰敢保證內部網路就一定是可信任區域了？

1、內外網有區別嗎

2、內網系統重要性並不低於外網，並且經常被忽略

內外網共用客戶端的錯！好多內網應用安全係數超低！

內網其實是最最脆弱的，一般的公司都有這個想法，把內網的邊界加強防護，以為這樣就能阻擋黑客進來，然後放置內網的安全不管。其實安全環節中最薄弱的就是人了，一般辦公的職員就充當了其中一員，黑客一旦佔領一個內網據點，那麼通過後滲透可以將整合內網拿下。一般公司會將一些辦公系統，客戶資源系統放置到內網。這些對於公司來說都是寶貴的財富，作為測試人員應該十分嚴謹，不放過任何一個細節，所以這是必須的。