caoz的心得与分享,只此一家,别无分号.

谈谈“脱裤”这点事

发布日期:2018-08-28 16:00:00 +0000

别想歪,“脱裤”是一种俗称,其实是拖库,或者说,数据库被黑客整个拖下来。


其实我在我们易灵微课的信息安全培训课程里提到过github敏感信息上传的风险,很不幸的是,同样的问题,你看,华住会犯了同样的错误,因为数据库密码被传递到了github上,数据被拖库,现在已经在地下黑市流通。想想几亿条开房记录,我还是华住会金会籍呢。要不要瑟瑟发抖呢?


今天说一下华住会这个脱裤事件暴露的问题,和防脱裤的几个原则。


1、github信息脱敏


根据公开的一些截屏信息看,华住会不仅仅是数据库密码被暴露,(还是弱密码),而且连微信的appid 和secret也被暴露,想想黑客要是利用这个在华住会的官方微信公众号里发一条钓鱼信息,这特么的多可怕。


代码使用github我觉得不是说非要严格禁止,但代码脱敏是非常重要的,关键密码和关键信息是绝对不能放在公开的代码里的。


2、数据库应禁止外网ip


数据库应只保留内网端口,如果必须保留外网端口,应通过白名单策略,仅限指定服务器访问。


3、数据中间层过滤


对于高安全性系统而言,程序代码应只访问中间层,只能在中间层以许可的逻辑访问数据库,中间层应能过滤一些危险操作,或只设置白名单操作。类似全库拖库的操作,应该是中间层所不能许可的,或者仅限于指定管理备份主机或仅限于最高权限管理账户,而程序是不能使用最高权限账户登录数据库的。


4、密码严禁明文存储

不但要加密存储,还要不可逆加密,

不但要不可逆加密,还要加盐,

不但要加盐,还要加随机盐。


cmd5.com 我以前说过,不加盐的不可逆加密秒秒钟被彩虹库撞出来。

不理解为什么要随机盐的程序员都回去补课去,这个问题必须理解透彻。


5、敏感信息应混淆存储


敏感信息必须可逆,不能做不可逆加密,这是没办法的事情。

但信息混淆还是要做的,不能让黑客那么容易拿到。


当然,如果代码都公开了,github上都被人拿到了,混淆也是很容易被破解出来的,但,怎么说呢,每一步都是增加黑客的入侵成本,提高黑客拖库门槛不是么。如果代码没公开而只是数据库被拖,那么敏感信息混淆还是很有意义的。


6、任何企业的程序员入职,都应该有信息安全培训,怎么强调都不过分。


拖库的可能性,想到哪里写到哪里


1、这种github密码泄露,惨剧挺多的了已经。

2、内鬼。

3、SQL注入,惨剧也极多,而且经久不衰。

4、服务器被其他原因入侵,连带数据库被拖

5、研发或运维的个人电脑被入侵,植入木马

6、备份服务器安全策略不当,或者第三方备份系统出问题,也包括数据分析服务器。很多时候这就是个意识问题,觉得反正不是线上业务,随便跑跑数据。

7、云穿透,云主机现在太流行了,虽然暂时案例可能没有,风险还是存在的,而且一出问题肯定不小。

8、授权滥用,比如第三方接口给的权限太高,或者没注意到授权验证逻辑上的风险。

9、报废服务器处置不当,硬盘被人数据修复什么的,别说异想天开,只要资料有价值,就有人会琢磨这些。有些公司业务关停,二手服务器批量出售,如果处理不当,这个风险还是有的。

10、基于社工,拿到数据库密码,比如微信上假冒技术总监找运维工程师要到密码。

11、嗅探侦听,通过sniffer拿到管理员密码入侵服务器。不过现在应该没有管理员用telnet了吧。

12、钓鱼,比如机房如果安全配置很扯淡,在同机房内搞个服务器,弄个arp欺骗,把管理员骗到蜜罐里,密码轻松到手。


先想到这些。有其他的欢迎留言补充。


微信能不能给开留言赞赏,很多次都想给留言者赞赏的。



算法是如何体现价值的 这么好的广告访问量居然不高,对不起广告主么。


题图,朋友圈偷来的,侵删