各位老铁们,大家好,今天由我来为大家分享运维安全风险,以及的相关问题知识,希望对大家有所帮助。如果可以帮助到大家,还望关注收藏下本站,您的支持是我们最大的动力,谢谢大家了哈,下面我们开始吧!
由于发布网站时服务器配置问题,开启了目录浏览功能,在目录中没有默认主页的情况下,可以浏览目录中的文件目录,从而造成信息泄露和安全风险。
案件
错误修复
这个问题很容易解决。你可以自己搜索一下。这里只是一些可能出现的问题。
错误回显
由于该服务配置了错误回显,当代码执行错误时,会泄露详细信息,可能会泄露服务器的真实路径,造成安全风险。
案件
代码泄漏
这里介绍几种类型的代码泄露问题,包括git、svn、DS_Store、备份文件、WEB-INF、phpinfo。
git 泄漏
目前,大量开发人员使用git进行版本控制和站点自动部署。如果配置错误,git文件夹可能会直接部署到线上环境。这导致了git 泄漏漏洞。
案件
使用工具
https://github.com/lijiejie/GitHack
SVN泄漏
svn文件是subversion的版本控制信息文件。当一个目录处于Subversion 的版本控制之下时,该目录中将会有一个.svn 文件夹。这个.svn文件夹中的文件是一些供subversion使用的版本信息文件。由于部署上线时没有删除该文件夹,因此代码泄露。
案件
使用工具
Seay-Svn源码泄露利用工具
http://pan.baidu.com/s/1mrNpB
DS_Store 文件泄漏
DS_Store用于存储该文件夹的显示属性:如文件图标的放置位置。该文件可以删除。删除的副作用是丢失此信息。 (当然,这个副作用其实并不算太大)。当与他人交换文件时,最好删除.DS_Store文件,因为它包含一些你不一定希望别人看到的信息(尤其是网站)。通过.DS_Store,你可以知道这个目录下所有文件的列表。在许多情况下,这是一个不需要的问题)。由于在部署和启动代码时并未删除该文件,因此泄露了不必要的信息。
案件
使用工具
https://github.com/lijiejie/ds_store_exp
备份文件
在使用网站的过程中,经常需要对网站中的文件进行修改和升级。这时,您需要备份整个网站或其其中一个页面。当修改过程中的备份文件或缓存文件因各种原因留在网站web目录中,且该目录没有设置访问权限时,可能会导致备份文件或编辑器缓存文件被下载,导致敏感信息泄露给服务器的安全带来隐患。
造成该漏洞的主要原因有两个:
1 服务器管理员错误地将网站或网页的备份文件放置在服务器Web目录中。
2 使用编辑器时自动保存的备份文件或临时文件不会因各种原因被删除,保存在web目录下。
案件
使用方法:
扫描到备份文件直接下载
WEB-INF 泄露
WEB-INF是Java的WEB应用程序的安全目录。如果要直接访问页面中的文件,则必须通过web.xml文件相应映射要访问的文件。
漏洞产生原因
通常对于一些Web应用,我们会使用多台Web服务器来解决其中一台Web服务器的性能缺陷、负载均衡的优点以及完成一些分层的安全策略。使用这种架构时,静态资源的目录或文件的映射配置不当可能会导致一些安全问题,导致web.xml等文件被读取。
案件
使用方法
浏览器可以直接读取
测试文件
运维人员在部署新应用或者配置新服务器时,会使用一些测试文件来测试服务器。然而,当他们测试后未能及时删除它们时,就会出现这个问题。
php信息
安装完php环境后,一般情况下会出现一个文件,代码为?php phpinfo();将创建用于检查系统配置。有时在线部署时文件未被删除,导致信息泄露。
案件
管理背景
管理后台页面供网站管理员对网站进行添加、删除、修改、查看等操作。一旦有别有用心的人进入其中,后果可想而知。如果登录路径泄露,黑客可以通过SQL注入、爆破、钓鱼等方式获取密码进入后台。
案件
弱文件扫描器
https://github.com/ring04h/weakfilescan
补丁解决方案
1 删除上述泄露目录
2、背景路径尽量复杂,避免随便扫描出来。
3 修改服务器配置以禁用目录列表
4 修改服务器配置以禁用错误回显
原创文章,作者:小su,如若转载,请注明出处:https://www.sudun.com/ask/183867.html
用户评论
别悲哀
这篇文章说的太对了!运维安全隐患确实是一个我们一直在头疼的问题,尤其是现在网络攻击越来越复杂的时候,想要确保系统安全 really 很难。
有7位网友表示赞同!
景忧丶枫涩帘淞幕雨
很有启发性啊!之前一直觉得运维工作很机械,没想到里面还隐藏着那么多安全风险。以后一定要更加重视这个问题了!
有16位网友表示赞同!
毒舌妖后
说的太好了!作为一名开发人员,我也经常会遇到运维安全问题。希望更多的公司都能重视这个问题,加强对运维安全的投入,保障数据安全和用户隐私。
有5位网友表示赞同!
太难
其实我觉得很多时候是系统的设计本身存在缺陷,导致漏洞太多才会引发出运维安全隐患啊!建议作者也多关注一下开源项目的安全性问题。
有10位网友表示赞同!
别留遗憾
文章写的太棒了!点醒了很多人,希望广大运维人员能够认真学习提升技能,为企业的数据安全保驾护航!
有5位网友表示赞同!
黑夜漫长
这篇文章把运维安全问题都概括得很清晰,我终于明白为什么我们公司网络屡遭攻击的原因了!以后要好好加强安全基础设施建设。
有8位网友表示赞同!
╯念抹浅笑
我觉得作者的认识有点片面,运维安全隐患不仅是技术层面的问题,还与人的因素、管理制度等都息息相关。不能光盯着技术的缺陷就说人家是危险源啊!
有13位网友表示赞同!
高冷低能儿
作为从事网络安全的,我不得不承认,运维人员往往面临着巨大的安全压力。希望能够加强对他们的培训和支持,保障他们的工作安全。
有19位网友表示赞同!
回到你身边
说的很有道理! 运维部门要重视安全问题,制定完善的安全策略和应急预案才能有效降低风险!
有11位网友表示赞同!
七夏i
我倒是觉得这篇文章关注一点儿太多特定技术细节了,对于运维人员来说更加重要的是拥有全面的安全意识和良好的操作习惯。
有16位网友表示赞同!
青衫故人
最近公司也遭遇了一次网络攻击,真是损失惨重! 真的不得不重视起运维安全的建设了。感谢作者的提醒!
有9位网友表示赞同!
来瓶年的冰泉
我同意文章观点,现在数据泄露发生的频率确实越来越高,运维部门在安全防护上要更加严格!
有17位网友表示赞同!
长裙绿衣
对于一些大型公司来说,运维人员通常会很分散化,因此管理难度更大,更容易产生安全漏洞。建议可以采取一些有效的团队协作机制,来加强运维安全管理。
有8位网友表示赞同!
权诈
我觉得这篇文章的重点在于我们不能低估运维安全的重要性!无论哪个行业或规模的公司都应该重视这一方面的问题。
有15位网友表示赞同!
歇火
希望作者可以再多写一些关于运维安全实操技巧的文章,这样对运维人员更有帮助啊!
有5位网友表示赞同!
不要冷战i
很巧哦!我前天刚参加完一场关于运维安全隐患的培训讲座,这篇文章的内容和我学到的正好一致,很有深度!
有18位网友表示赞同!
蝶恋花╮
对于一些小型企业来说,可能无法拥有专门的运维安全团队,如何才能有效应对风险?
有7位网友表示赞同!
ー半忧伤
运维安全问题真的很让人头痛!但只要我们能够积极学习、提高技能,相信一定能找到合适的解决方案!
有9位网友表示赞同!