運維安全作爲企業安全保障的基石,特別是互聯網企業,它不同於Web安全、移動安全、或者業務安全,因爲運維安全位於最底層,或涉及到服務器、網絡設備。基礎應用等,一旦出現安全問題,會直接威脅到服務器的安全。而在企業日常運營中,運維安全事件的出現通常預示着這個企業的安全規範、流程有問題,這種情況下就會不止一臺機器有同樣的漏洞,會是一大片,甚至波及整個公司的核心業務。
分享6個經典的與運維安全相關的漏洞:
-
一次成功的漫遊京東內部網絡的過程(由一個開發人員失誤導致)
首先研發人員將公司的代碼發佈到第三方代碼託管平臺,例如GitHub。
其次代碼的某些配置裏面有發郵件的功能,並且調用了公司的郵箱。
公司的郵箱與×××的認證是互通的,且×××沒有雙因素驗證。
惡意用戶通過這個賬號登陸了企業的×××,從而達到漫遊內網的過程。 -
我是如何拿到高德7個vcenter和漫遊內網的
首先研發人員將公司的代碼發佈到第三方代碼託管平臺,例如GitHub。
其次代碼的某些配置裏面有發郵件的功能,並且調用了公司的郵箱。
郵箱沒有對通訊錄遍歷功能進行限制,導致遍歷通訊錄
對所有的用戶進行一次弱口令的洗劫(參考圖一的弱口令),是用Burpsuite破解(簡稱:BP)
得到一個運維或者運維組員工的郵箱,在郵件裏面找到了明文密碼.txt -
百度某站漏洞導致敏感信息泄露Getshell(涉及至少66W+的用戶數據含密碼可內網)
上線前沒有進行安全檢查,.git目錄外泄
檢出源代碼,得到UC_KEY
利用UC_KEY得到webshell
通過webshell內網 -
搜狐的zabbix,可導致內網***
zabbix默認口令(admin/zabbix)
執行正常命令測試命令執行模塊
執行惡意命令使服務器反連到你的機器
得到zabbix權限的shell
提權的提權,內網的內網 -
558同城某業務多個站點存在弱口令導致Getshell(內網小漫遊)
Tomcat業務manager模塊存在並開啓
配置了tomcat-users.xml,並且存在弱口令
上傳war包得到webshell
提權的提權,內網的內網 - 神器而已之奇虎360某站GETSHELL內網漫遊到webscan了
網站備份文件放在WEB根目錄下,並且能被用戶下載
網站代碼存在漏洞
Shell之後漫遊內網
運維管理實踐一般包含以下9個內容:
1.信息安全治理與風險管理
2.物理安全
3.身份與訪問控制管理
4.主機安全
5.通信與網絡安全
6.災難恢復計劃與業務連續性
7.安全運營:部門角色及所承擔責任
8.安全配置管理:安全上線步驟、數據泄露防護(DLP)脆弱性掃描與測試
9.運營安全參考標準與制度:包含ISO27001、行政性安全管理制度示例等內容
安全是一個整體,保證安全不在於地方有多強大,而是要找到自己薄弱的地方。不要片面對待安全,即認爲不出安全事故就是天下太平,一定要有危機意識。以上內容參考:運維安全管理必修課