实战总结的信息安全保护经验

实战总结了一些保护信息安全的经验。到了真的攻击的时候，才发现那些表面上智能、安全的系统大部分都是都是智障、漏洞百出。

It usually boils down to these five things:

1. 所有的攻击方式中，弱口令占 40%

• 系统有设置默认账号和默认密码的，一定要及时修改！尤其是管理员级别的账号（如 admin/admin）

• 就算默认密码和个人信息相关（如学号、身份证后X位），也能通过社工信息泄露而破解

• 密码强度一定要强，123456 就能反过来枚举用户名

2. 服务器只用 IP 访问，再开个不常用的端口，把服务挂在自己设的目录下，别人就发现不了吗？

• 网络资产搜索引擎（如 fofa.so）+ 端口扫描工具（如 nmap）可以探测到对外开放的 IP、端口和对应的服务

• 目录扫描工具（如 dirsearch）可以对常见的目录进行枚举扫描，找出藏在背后的 API

• 敏感的服务一定要进行访问限制，例如只限内部 IP 访问，或关闭不对外提供服务的端口（如 21、22、1433、3306）

• 也可以对单个 IP 的访问频率进行限制，阻止短时间内大规模的 IP、端口、目录扫描

3. 但，没有一个学校的内网是干净的

• 很多内网的服务觉得自己在内网，别人进不来，端口全开，弱口令也不管了，旧版本的漏洞也不管了，一打直接被打穿

• 只限内部 IP 访问就完事了吗？攻破一个外部系统作为跳板，甚至钓鱼和收买内部人员 VPN 账号，都能直接打进内网

4. 大部分的外包项目，对方只管程序跑不跑的起来，不管安全问题

• 你能想象一个政府网站，而且是经过信息安全等级保护备案的网站，居然存在一个初学者就会的 SQL 注入，泄露大量敏感信息

• 权限！未授权访问应该要添加业务逻辑限制，不是把入口藏起来就完事了！这个事情还是发生在这个政府网站

5. 钓鱼、信息泄露也在所有的攻击手段中占了 15%

• 善于利用搜索引擎的高级搜索功能，可以得到很多有用的社工信息、重要文档、代码片段

• 还是要警惕钓鱼邮件和信息，尤其是其中的假链接和伪装成文档的木马

• 装了XX杀毒、XX电脑管家就不用担心钓鱼了？有一种叫做“免杀”的技术

总结

个人信息和其他的敏感信息，在这些漏洞百出的智障系统面前，真的很脆弱很脆弱。