随着互联网的发展、移动办公的遍及以及政务上云的推进,Web网站的重要性越来越高,随之而来的风险也越来越大,网站资产的泄露将会影响公民、企业乃至国家的信息安全。作为部署Web网站线上环境的关键环节,Web网站管理职员需严格执行上线流程、保持较高安全意识,制止因不妥操作导致网站重要资产泄露。
通常情况下,用户通过访问网站URL获得Web网站服务,访问的URL是在Web服务器的一种映射,大概为Web服务器上的目次或者文件。因此,网站管理员的不妥操作将会导致网站重要资产被外部用户直接获取,比方近年来因不妥操作频发的网站源码等重要资产泄密事件。
常见的Web网站源码等资产泄露的途径有:
1、版本控制体系文件泄露
2、备份压缩文件泄露
3、敏感配置文件泄露
版本控制体系文件泄露
当代网站设计为了方便快速开辟迭代与错误回滚,会使用版本控制体系,通过特定的命令切换必要使用的版本。版本控制体系方便了网站开辟职员,但是权限管理不妥就大概被非法分子利用,通过管理命令切换版本,获取各个版本的信息,如果某一版本带有敏感的信息,比方:账号、暗码、apikey、内部邮箱等,非法分子就可以利用这些信息对网站进行进一步的入侵。
版本控制体系重要为:git、svn、hg、bzr等携带敏感信息的文件被错误的放到Web服务器线上环境且能被外部直接访问。
经慧御云防护安全团队分析,不法访问者会通过不定时哀求特定URL以达到监控网站是否存在版本控制体系敏感文件的目的。
该类特定URL后缀一般为:
1、.svn
2、.git
3、.gitignore
4、.hg
5、.bzr
备份压缩文件泄露
网站运维过程中,对网站进行备份,是种常规运维操作,在多种多样的备份方式中,最方便的照旧对网站进行全站备份。但全站备份中大概带有各类敏感信息,比方数据库文件、各类配置文件等,这些文件中每每包罗了各种口令和凭证。这类文件在网站正常运行过程中,网站会限制对这些文件的访问,在网站运维或上线更新时,因不规范操作,这些重要的、敏感的备份文件、压缩文件等大概会被放置在Web服务器线上环境且能被外部直接访问,导致这些文件被非法分子获取。
经慧御云防护安全团队分析,这类文件没有明白的命名规则,不法访问者会构造特定文件名,通过这些文件名和特定压缩后缀(.zip/.rar/.gz等)组成特定URL,然后不定时去访问这些URL以达到监控网站下是否存在敏感备份文件目的。
该类URL构造的规则大概为:
1.基于哀求域名构造
该构造重要通过对当前哀求域名进行组合、拆分等方式构造特定URL,好比针对www.test.com,大概会构造出/www.test.com.xx/wwwtestcom.xx/test.xx/test.com.xx等哀求URL。
2.基于字典构造
该构造重要依赖不法访问者自身的字典库进行遍历构造访问,好比针对域名,大概会构造出/www.xx/wwwroot.xx/web.xx等哀求URL。
敏感配置文件泄露
该泄露重要为网站开辟使用的框架、组件中重要的配置文件能被外部直接访问。
经慧御云防护安全团队分析,不法访问者会通过不定时哀求特定URL以达到监控网站是否存在版本控制体系敏感文件的目的。
慧御云防护安全团队发现,发起这类哀求不法分子具有如下特性:
1、探测域名范围广:被慧御云防护防护的域名每日有1000+的网站会被这类特性探测
2、探测备份文件和配置文件泄露居多
3、探测时间不固定
4、探测使用IP不固定
5、探测时间短,频率快
由于这类泄露问题的高风险性,必要网站管理员时刻保持较高的安全意识,同时在网站真实存在敏感文件大概被泄露的情况下,能够尽早发现并防护这类哀求。
慧御云防护作为一款针对Web网站提供云安全防护的产品,提供了自定义拦截和防扫描功能。为了制止网站资产泄露事件发生,发起慧御云防护的用户可以自主配置拦截符合这类特性的URL哀求,也可以通过慧御云防护的防扫描功能自动识别防护这类哀求。 |