大數據網絡安全漏洞概述

劉洋 高雪鐵

摘要：隨著大數據、智慧城市、5G等新技術、新應用的發展，我國網絡攻擊風險日益增加，信息泄露行為讓政府形象、企業利益受損。本文結合日常安全檢查、整改等相關工作，從常見的網絡安全漏洞入手，提高開發人員、安全人員及政府、企業網絡管理者安全防護意識，增強網絡安全防護水平。

關鍵詞：網絡安全;大數據安全;安全漏洞;漏洞挖掘

近年來，我國網絡安全形勢日益嚴峻，黑客通過非法手段對政府、企業信息系統發動網絡攻擊，給其聲譽、利益帶來巨大損失，而電信運營商從維護客戶利益和自身信譽角度，也迫切需要進行網絡安全漏洞研究和防范，本文從國際知名OWASP Top 10排行闡述漏洞，增強相關人員安全意識，提高技術管網治網能力。

1、我國大數據網絡安全現狀

近年來，隨著新技術、新應用發展，政府、企業關鍵基礎設施一直是黑客關注重點，而這些業務大部分通過互聯網向用戶提供服務，潛在安全威脅巨大。不法分子可以利用注入等安全漏洞獲取網絡服務器的權限，竊取服務器數據，篡改網頁信息，因此，解決網絡安全問題迫在眉睫。

上圖所示，OWASP作為世界上最權威網絡安全組織之一，每隔四年更新一次網絡安全漏洞排行，根據最新2017年公布的十大網絡漏洞中，注入攻擊漏洞位列第一，失效的身份認證排第二，時至今日，這兩類漏洞在日常工作中仍頻繁發生，威脅程度較高，是安全人員不能忽略、必須重點檢測的目標。

2、大數據網絡安全常見漏洞介紹

2.1 注入漏洞

注入攻擊是指攻擊者在輸入數據時向解釋器提交一些非法或者未授權的命令來欺騙解釋權，使解釋器錯誤的執行了這些代碼，向攻擊者返回一些本不應該被看見的數據。

2.2 失效的身份認證

身份認證最常用于系統登錄，形式一般為用戶名加密碼的登錄方式，在安全性要求較高的情況下，還有驗證碼、客戶端證書、Ukey等。

2.3 敏感數據泄露

近年來，敏感數據泄露已經成為了最常見、最具影響力的攻擊，不久前就爆出過Facebook泄露了用戶的大量信息，以及12306也多次泄露用戶的信息。現在信息泄露已經成為了OWASP top 10中排名第三的漏洞，可想而知敏感信息泄露現在已經成為十分嚴重的問題。

2.4 XML外部實體（XXE）

XXE（XML External Entity）指的是XML外部實體注入，XML用于標識電子文件使其具有結構性的標識語言，可以用來標記數據、定義數據類型，是一種允許用戶對自己的標記語言進行定義的源語言。XML文檔結構包括XML聲名、DTD文檔類型定義、文檔元素。

2.5 失效的訪問控制

即保護資源不被非法訪問和使用，目前應用最多的是基于角色的訪問控制機制。失效的訪問控制就是攻擊者通過各種手段提升自己的權限，越過訪問控制，使訪問控制失效，這樣攻擊者就可以冒充用戶、管理員或擁有特權的用戶，或者創建、訪問、更新或刪除任何記錄。

2.6 安全配置錯誤

由于系統管理員的疏忽，可能會產生一些安全配置錯誤。安全配置錯誤可以發生在一個應用程序堆棧的任何層面，包括網絡服務、平臺、Web服務器、應用服務器、數據庫、框架、自定義代碼和預安裝的虛擬機、容器和存儲。可以使用自動掃描器來檢測錯誤的安全配置、默認帳戶的使用或配置、不必要的服務、遺留選項等。

2.7 跨站腳本（XSS）

XSS（Cross-Site Scripting，實際上應該是CSS，但是這與前端中的CSS重名，因此改名為XSS）簡稱為跨站腳本攻擊，這是一種針對網站的應用程序的安全漏洞攻擊技術，是代碼注入的一種。它允許用戶將惡意代碼注入網頁，其他用戶在訪問時就會收到影響。惡意用戶利用XSS代碼攻擊成功后，可以進行重定向、獲取cookie值等內容。

2.8 不安全的反序列化

有些時候我們需要把應用程序中的數據以另一種形式進行表達，以便于將數據存儲起來，并在未來某個時間點再次使用，或者便于通過網絡傳輸給接收方。這一過程我們把它叫做序列化。

2.9 使用含有已知漏洞的組件

由于現在的服務器都需要使用很多的組件，管理員并不能保證所使用的組件都是沒有最新的，因此可能會存在一些版本是存在已知漏洞的（實際上比較新的版本的組件也是會存在漏洞的），攻擊者可以使用這些已知的漏洞來進行攻擊，甚至獲得管理員權限。

2.10 不足的日志記錄和監控

日志記錄是一個系統的最重要的功能之一。日志記錄包括登錄成功記錄、登錄失敗記錄、訪問控制記錄等，用來記錄服務器的各種信息。

3、結語

隨著網絡技術迅猛發展，政府、企業要面對各種各樣的攻擊手段，導致安全事件頻發，網絡安全問題受到社會各界高度關注;另外，網絡空間逐步成為國家之間或地區之間相互安全博弈的新戰場，本文從漏洞角度闡述網絡安全本質特征，提升從業人員網絡安全管理及防護水平，保衛網絡空間國家主權，為網絡強國戰略保駕護航。

參考文獻

[1]OWASP[OL] http：//www.owasp.org.cn/owasp-project

[2]Bitcarmanlee.Web安全之SQL注入攻擊技巧與防范[EB/OL].

[3]張紅巖.計算機網絡安全防御與漏洞掃描技術研究[J].無線互聯科技， 2020，v.17;No.188（16）：52-53.

天津市大數據管理中心;天津市委網信辦網絡應急指揮中心