互聯(lián)網(wǎng)暴露面應(yīng)用系統(tǒng)敏感信息泄露的檢測發(fā)現(xiàn)

■ 中國移動通信集團(tuán)河南有限公司業(yè)務(wù)支撐中心 田菁菁 馬文 許慧云

編者按：本文通過對互聯(lián)網(wǎng)暴露面應(yīng)用系統(tǒng)敏感信息泄露的檢測發(fā)現(xiàn)進(jìn)行介紹，總結(jié)出針對性的檢測發(fā)現(xiàn)方法，提出了安全管理的要求措施，基于企業(yè)的安全管理場景提供了一些建議和思考。

如今企業(yè)部署安裝的IT 應(yīng)用系統(tǒng)越來越多、越來越復(fù)雜，同時也對其承載企業(yè)敏感信息的安全管理工作提出了更高的要求。

當(dāng)企業(yè)IT 應(yīng)用系統(tǒng)中的敏感信息發(fā)生泄露后，企業(yè)卻往往后知后覺，不知所措。因此本文提出了兩種常見的企業(yè)敏感信息風(fēng)險場景及其對應(yīng)的檢測發(fā)現(xiàn)方法——應(yīng)用管理地址探測與源代碼信息泄露探測，同時介紹了使用一些低成本的技術(shù)方式最大限度地發(fā)現(xiàn)風(fēng)險情況。

應(yīng)用管理地址探測

在企業(yè)應(yīng)用系統(tǒng)被攻擊的案例中，因應(yīng)用系統(tǒng)自身的管理地址暴露于互聯(lián)網(wǎng)所占比例很高，其中也包含一些常見的Web 中間件的管理地址，如Tomcat、WebSphere等Web 中間件的管理功能頁面。針對應(yīng)用管理地址的攻擊方式通常為注入攻擊和暴力破解，其中以弱口令和默認(rèn)帳號密碼猜測為主。以Tomcat 為例，管理員為了維護(hù)方便，通常會啟用Manager管理頁面，如圖1 所示。

在一些舊版本中，Tomcat的Manager 管理功能的帳號和密碼在“conf/tomcatusers.xml”文件中進(jìn)行配置，使用一些默認(rèn)的帳號和密碼，或者弱口令等。通過上述攻擊方法，攻擊者可以在較短時間內(nèi)獲取攻擊收益。例如，針對Tomcat 管理功能的某些暴力破解核心代碼中，對……