9月報告核心觀點

為了提高廣大用戶的安全意識，國內專業數據庫安全廠商安華金和，根據每日整理發布來自漏洞盒子、補天、烏云、等漏洞平臺的安全資訊，數據庫攻防實驗室(DBSec Labs)以月為單位，將高危漏洞匯總，形成分析報告，分享廣大用戶及合作伙伴。

1、 依舊危險，框架漏洞洶涌澎湃2、 政府行業漏洞排名第一，互聯網行業緊隨其后3、 月常見數據泄露原因分析4、 針對平臺系統漏洞的防范手段2015年9月，安華每日安全資訊總結發布了134個數據泄密高危漏洞，這些漏洞分別來自漏洞盒子、烏云、補天等平臺，涉及11個行業，行業機構、互聯網、交通運輸、教育、金融保險、旅游、能源、社保公積金、醫療衛生、運營商、政府。同比8月份的102個漏洞數量增加32個。9月份的漏洞，其中絕大多數泄露威脅來自于平臺系統漏洞和SQL注入漏洞。

Web依舊危險，框架漏洞洶涌澎湃

Web端依舊是數據安全的主要軟肋，9月份數據安全漏洞呈現的新態勢為：數據泄露多是由平臺系統漏洞引起。平臺系統漏洞在9月份的漏洞總數中占據了半壁河山。

　　9月平臺系統漏洞占主要比重

這些平臺系統漏洞中，其中威脅最大的來自語言框架帶來的漏洞。語言框架(例如java的sturts2漏洞)漏洞往往隱藏深，二次開發人員難以進行有效防守。隨著框架的廣泛使用，漏洞的影響范圍也遠比其他漏洞廣泛。9月份爆發的平臺系統漏洞和幾種主要語言框架被爆出漏洞存在密切關系。

大政府行業漏洞排名第一，互聯網行業緊隨其后

從9月134個收到數據泄露漏洞威脅的行業來看，互聯網行業依舊是重災區。其中43個政府行業漏洞(包含了衛生醫療、教育、社保公積金幾個子類)占比32%，互聯網行業占全部數據泄露威脅的28%。金融、運營商、企業機構緊隨其后，漏洞比例分別占10%以上。

注：其中互聯網行業包含了互聯網金融，未歸類在傳統金融行業中。

　　9月數據安全漏洞行業分布情況

9月政府大行業中，其中教育行業漏洞數量暴漲，雖然本月教育行業只有10個漏洞，但同比8月份的2個則是增加了5倍，占整體漏洞總數的7%。教育行業被集中爆出漏洞與自身網站框架陳舊，以及維護不到位有直接關系。教育行業中有7個漏洞是平臺系統存在的漏洞，平臺系統漏洞主要是由于平臺系統沒有及時升級維護。10個中還存在一個一個弱口令漏洞，該弱口令直接被白帽子用工具爆破出密碼。相信通過合理的制度和一定的輔助軟件弱口令問題會很快被杜絕。社保公積金年初各地大范圍曝出系統漏洞后，每月仍有數據安全漏洞持續發布。

在企業機構、金融行業、政府和互聯網中中，也存在上述問題。雖然本月平臺系統漏洞占據了主導地位，但SQL注入也廣泛的存在于各個行業之中。getshell、錯誤配置、弱口令等依舊沒有杜絕。

而互聯網行業由于其行業特性，常年累月處在數據泄露威脅的陰影下。

9月常見數據泄露原因分析

開發中出現的代碼缺陷，很可能最終轉化成數據泄漏的漏洞。平臺系統漏洞主要包含兩種類型：類型1，二次開發中由于開發人員對輸入輸出參數、邏輯判斷等出現失誤而造成的漏洞。這類漏洞雖然數量大，但影響面窄，且易于修復。類型2，開發Web程序使用的語言框架自身存在的漏洞。這種漏洞往往會直接導致對整個WEB服務器的入侵，并暴露出Web服務器后臺連接的數據庫信息。

　　9月份數據泄漏威脅主要原因

框架引起的平臺系統漏洞想要治根需要對框架版本進行合理升級。如果由于各種原因無法對框架版本進行升級也可以通過權限限制來約束，以及進行自動刪除后門的設置。筆者在分析平臺系統漏洞時利用工具對某網段中的網頁進行掃描發現存在struts2漏洞的網頁。

成功植入Webshell的網頁(對其中敏感字進行處理)

筆者通過對200個網站進行struts2漏洞檢測發現部分網站存在漏洞。上傳webshell，通過后門可以查詢Web服務所在服務器的大量核心信息以及數據庫信息。如下面的例子，那到管理員權限直接訪問查看對方Web服務器中的全部內容。不僅可以看到網站內容，還可以通過查詢配置信息找到后臺數據庫位置。

　　被入侵網站服務器上目錄結構圖

雖然比例不高但依舊存在的弱口令和配置錯誤是純粹人為因素導致，企事、業單位應該在管理機制和從業人員水平上加強投入，盡量避免人為因素給企業、事業單位造成的潛在威脅。

針對平臺系統漏洞的防御方案

抵御平臺系統漏洞威脅可以通過對應的第三方軟件，這里筆者給出不通過第三方軟件就可以加固平臺系統的3點建議：

1.第一時間針對存在漏洞的平臺系統進行合理升級。2.嚴格限制平臺系統上的讀、寫、運行、上傳權限。3.定期關注日志.相信以上3點建議會幫助您有效的加固平臺系統應對平臺系統漏洞威脅。

1、 第一時間針對低版本平臺系統進行合理升級

時刻關注自己平臺所用框架的官網，注意及時升級到合適版本。避免使您采用的框架已存在漏洞，暴露在黑客的威脅之下。可以定期采用對應的平臺系統漏洞掃描工具，及時發現新出現的漏洞。盡量避免使用缺乏維護的開源框架。在可上傳的部分進行嚴格的參數驗證，防止被上傳圖片、郵件、文檔等形式的木馬。

2、 嚴格限制權限

從上圖可以看出網站對用戶權限限制不到位，同一個賬號同時存在讀、寫、上傳、運行等權限。一個賬戶盡量不要同時賦予太多權限。被入侵賬號如果有大部分權限，導致黑客可以直接對平臺系統所在的服務器進行讀取、上傳木馬、運行木馬等行為。為避免這一現象盡量在不影響應用的前提下最大限度限制所有用戶的權限。尤其要限制Web服務器系統賬號的權限。做好權限限制，可以確保即使木馬被上傳到Web服務器，也無法執行。有效的防止框架漏洞被利用。

3、 定期關注日志

定期關注日志文件主要關注兩部分。

1.刪除日志文件中的敏感信息。例如修改密碼等過程有可能會把舊密碼以明文的形式存在日志文件中。黑客發現舊密碼，很可能通過舊密碼特征猜測出新密碼。最終導致密碼被破解，服務器被入侵。2.關注日志中的異常行為，確定是否有黑客對平臺系統進行而已掃描或者滲透。

結束語

黑客通過主動或被動信息的方式進行信息收集。分析信息尋找整個環境中最薄弱的環節。數據安全符合木桶原理，整個環境的安全水平和各個安全防護中最短的一塊相關。想要做好數據安全。不單單是要對網絡、數據庫、服務器、硬件等關鍵設施進行安全加固，同時也要針對服務器上的核心軟件進行加固才可能真正做到數據安全。

最后，也是最重要的，用戶還是要從主觀因素上提高安全意識，加強內部安全管理防范。安全就是這樣一種形態，平時不出狀況看不到安全的效果，一旦企業出現了數據泄露事件，其經濟損失、名譽損失將不可估量，更甚者企業形象會一落千丈，從此難以翻身。

9月數據安全漏洞列表

* 作者：安華金和(企業賬號)劉思成、沈雪峰，轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)