实战总结的信息安全保护经验
实战总结了一些保护信息安全的经验。到了真的攻击的时候,才发现那些表面上智能、安全的系统大部分都是都是智障、漏洞百出。
It usually boils down to these five things:
1. 所有的攻击方式中,弱口令占 40%
-
系统有设置默认账号和默认密码的,一定要及时修改!尤其是管理员级别的账号(如 admin/admin)
-
就算默认密码和个人信息相关(如学号、身份证后X位),也能通过社工信息泄露而破解
-
密码强度一定要强,123456 就能反过来枚举用户名
2. 服务器只用 IP 访问,再开个不常用的端口,把服务挂在自己设的目录下,别人就发现不了吗?
-
网络资产搜索引擎(如 fofa.so)+ 端口扫描工具(如 nmap)可以探测到对外开放的 IP、端口和对应的服务
-
目录扫描工具(如 dirsearch)可以对常见的目录进行枚举扫描,找出藏在背后的 API
-
敏感的服务一定要进行访问限制,例如只限内部 IP 访问,或关闭不对外提供服务的端口(如 21、22、1433、3306)
-
也可以对单个 IP 的访问频率进行限制,阻止短时间内大规模的 IP、端口、目录扫描
3. 但,没有一个学校的内网是干净的
-
很多内网的服务觉得自己在内网,别人进不来,端口全开,弱口令也不管了,旧版本的漏洞也不管了,一打直接被打穿
-
只限内部 IP 访问就完事了吗?攻破一个外部系统作为跳板,甚至钓鱼和收买内部人员 VPN 账号,都能直接打进内网
4. 大部分的外包项目,对方只管程序跑不跑的起来,不管安全问题
-
你能想象一个政府网站,而且是经过信息安全等级保护备案的网站,居然存在一个初学者就会的 SQL 注入,泄露大量敏感信息
-
权限!未授权访问应该要添加业务逻辑限制,不是把入口藏起来就完事了!这个事情还是发生在这个政府网站
5. 钓鱼、信息泄露也在所有的攻击手段中占了 15%
-
善于利用搜索引擎的高级搜索功能,可以得到很多有用的社工信息、重要文档、代码片段
-
还是要警惕钓鱼邮件和信息,尤其是其中的假链接和伪装成文档的木马
-
装了XX杀毒、XX电脑管家就不用担心钓鱼了?有一种叫做“免杀”的技术
总结
个人信息和其他的敏感信息,在这些漏洞百出的智障系统面前,真的很脆弱很脆弱。