随着互联网的发展、移动办公的普及以及政务上云的推进,Web网站的重要性越来越高,随之而来的风险也越来越大,网站资产的泄露将会影响公民、企业乃至国家的信息安全。作为部署Web网站线上环境的关键环节,Web网站管理人员需严格执行上线流程、保持较高安全意识,制止因不当利用导致网站重要资产泄露。
通常环境下,用户通过访问网站URL得到Web网站服务,访问的URL是在Web服务器的一种映射,可能为Web服务器上的目录或者文件。因此,网站管理员的不当利用将会导致网站重要资产被外部用户直接获取,例如近年来因不当利用频发的网站源码等重要资产泄密事件。
常见的Web网站源码等资产泄露的途径有:
1、版本控制系统文件泄露
2、备份压缩文件泄露
3、敏感配置文件泄露
版本控制系统文件泄露
现代网站设计为了方便快速开发迭代与错误回滚,会使用版本控制系统,通过特定的下令切换需要使用的版本。版本控制系统方便了网站开发人员,但是权限管理不当就可能被非法分子利用,通过管理下令切换版本,获取各个版本的信息,假如某一版本带有敏感的信息,例如:账号、密码、apikey、内部邮箱等,非法分子就可以利用这些信息对网站举行进一步的入侵。
版本控制系统重要为:git、svn、hg、bzr等携带敏感信息的文件被错误的放到Web服务器线上环境且能被外部直接访问。
经慧御云防护安全团队分析,不法访问者会通过不定时哀求特定URL以达到监控网站是否存在版本控制系统敏感文件的目的。
该类特定URL后缀一般为:
1、.svn
2、.git
3、.gitignore
4、.hg
5、.bzr
备份压缩文件泄露
网站运维过程中,对网站举行备份,是种常规运维利用,在多种多样的备份方式中,最方便的还是对网站举行全站备份。但全站备份中可能带有各类敏感信息,例如数据库文件、各类配置文件等,这些文件中往往包罗了各种口令和凭据。这类文件在网站正常运行过程中,网站会限制对这些文件的访问,在网站运维或上线更新时,因不规范利用,这些重要的、敏感的备份文件、压缩文件等可能会被放置在Web服务器线上环境且能被外部直接访问,导致这些文件被非法分子获取。
经慧御云防护安全团队分析,这类文件没有明确的命名规则,不法访问者会构造特定文件名,通过这些文件名和特定压缩后缀(.zip/.rar/.gz等)构成特定URL,然后不定时去访问这些URL以达到监控网站下是否存在敏感备份文件目的。
该类URL构造的规则可能为:
1.基于哀求域名构造
该构造重要通过对当前哀求域名举行组合、拆分等方式构造特定URL,比如针对www.test.com,可能会构造出/www.test.com.xx/wwwtestcom.xx/test.xx/test.com.xx等哀求URL。
2.基于字典构造
该构造重要依赖不法访问者自身的字典库举行遍历构造访问,比如针对域名,可能会构造出/www.xx/wwwroot.xx/web.xx等哀求URL。
敏感配置文件泄露
该泄露重要为网站开发使用的框架、组件中重要的配置文件能被外部直接访问。
经慧御云防护安全团队分析,不法访问者会通过不定时哀求特定URL以达到监控网站是否存在版本控制系统敏感文件的目的。
慧御云防护安全团队发现,发起这类哀求不法分子具有如下特征:
1、探测域名范围广:被慧御云防护防护的域名逐日有1000+的网站会被这类特征探测
2、探测备份文件和配置文件泄露居多
3、探测时间不固定
4、探测使用IP不固定
5、探测时间短,频率快
由于这类泄露问题的高风险性,需要网站管理员时刻保持较高的安全意识,同时在网站真实存在敏感文件可能被泄露的环境下,能够尽早发现并防护这类哀求。
慧御云防护作为一款针对Web网站提供云安全防护的产品,提供了自定义拦截和防扫描功能。为了制止网站资产泄露事件发生,建议慧御云防护的用户可以自主配置拦截符合这类特征的URL哀求,也可以通过慧御云防护的防扫描功能主动识别防护这类哀求。 |