■ 中國移動通信集團(tuán)河南有限公司業(yè)務(wù)支撐中心 田菁菁 馬文 許慧云
編者按:本文通過對互聯(lián)網(wǎng)暴露面應(yīng)用系統(tǒng)敏感信息泄露的檢測發(fā)現(xiàn)進(jìn)行介紹,總結(jié)出針對性的檢測發(fā)現(xiàn)方法,提出了安全管理的要求措施,基于企業(yè)的安全管理場景提供了一些建議和思考。
如今企業(yè)部署安裝的IT 應(yīng)用系統(tǒng)越來越多、越來越復(fù)雜,同時也對其承載企業(yè)敏感信息的安全管理工作提出了更高的要求。
當(dāng)企業(yè)IT 應(yīng)用系統(tǒng)中的敏感信息發(fā)生泄露后,企業(yè)卻往往后知后覺,不知所措。因此本文提出了兩種常見的企業(yè)敏感信息風(fēng)險場景及其對應(yīng)的檢測發(fā)現(xiàn)方法——應(yīng)用管理地址探測與源代碼信息泄露探測,同時介紹了使用一些低成本的技術(shù)方式最大限度地發(fā)現(xiàn)風(fēng)險情況。
在企業(yè)應(yīng)用系統(tǒng)被攻擊的案例中,因應(yīng)用系統(tǒng)自身的管理地址暴露于互聯(lián)網(wǎng)所占比例很高,其中也包含一些常見的Web 中間件的管理地址,如Tomcat、WebSphere等Web 中間件的管理功能頁面。針對應(yīng)用管理地址的攻擊方式通常為注入攻擊和暴力破解,其中以弱口令和默認(rèn)帳號密碼猜測為主。以Tomcat 為例,管理員為了維護(hù)方便,通常會啟用Manager管理頁面,如圖1 所示。
在一些舊版本中,Tomcat的Manager 管理功能的帳號和密碼在“conf/tomcatusers.xml”文件中進(jìn)行配置,使用一些默認(rèn)的帳號和密碼,或者弱口令等。通過上述攻擊方法,攻擊者可以在較短時間內(nèi)獲取攻擊收益。例如,針對Tomcat 管理功能的某些暴力破解核心代碼中,對……