安全配置錯誤及敏感數據泄露

應用、框架、Web伺服器、資料庫伺服器、區塊鏈的節點 和各種應用平台的良好的安全性需要一份定義好的、部署好的安全配置。安全配置必需進行良好的定義、實現、維護，默認配置通常情況下是不安全的，另外軟體應該及時更新。

安全配置錯誤

應用、框架、Web伺服器、資料庫伺服器、區塊鏈的節點 和各種應用平台的良好的安全性需要一份定義好的、部署好的安全配置。安全配置必需進行良好的定義、實現、維護，默認配置通常情況下是不安全的，另外軟體應該及時更新。

（1）我易受到攻擊嗎?

我們的應用程序是否對整個程序堆棧實施了恰當的安全加固。這些措施包括：

1）是否有軟體沒有被及時更新？這包括操作系統、Web/應用伺服器、區塊鏈的各個節點、資料庫管理系統、應用程序和其他所有的代碼庫文件。

2）是否使用或安裝了不必要的功能（例如，埠、服務、網頁、帳戶、 許可權）?

3）默認帳戶的密碼是否仍然可用或沒有更改？

4）錯誤處理設置是否防止堆棧跟蹤和其他含有大量信息的錯誤消息被泄露?

5）開發框架（比如：Struts、Spring、ASP.NET、REMIX, Ethereum）和庫文件中的安全設置是否理解正確並配置恰當？

缺少一個協定的、可重複的應用程序安全配置的過程，系統將處於高風險中。

（2）我如何防止

主要的建議建立在以下幾個方面。

1）一個可以快速且易於部署在另一個鎖定環境的可重複的加固過程。開發、質量保證和生產環境都應該配置相同（每個環境中使用不同的密碼）。這個過程應該是自動化的，以盡量減少安裝一個新安全環境的耗費。

2）一個能及時了解並部署每個已部署環境的所有最新軟體更新和補丁的過程。這需要包括通常被忽略的所有代碼的庫文件（詳見本節「使用已知易受攻擊組件」） 。

3）一個能在組件之間提供有效的分離和安全性的強大應用程序架構。

4）一個自動化過程來驗證在所有環境中配置和設置是否正確。

5）區塊鏈的聯盟鏈或者私有鏈可以考慮配置加固的標準的節點，不容許沒有經過加固的，非標準的伺服器成為區塊鏈的節點。

（3）攻擊案例

案例 #1：應用程序伺服器管理員控制台自動安裝後沒有被刪除。而默認帳戶也沒有被改變。攻擊者在伺服器上發現了標準的管理員頁面，通過默認密碼登錄，從而接管了伺服器。

案例 #2：目錄列表在伺服器上未被禁用。攻擊者發現只需列出目錄，就可以找到伺服器上的任意文件。攻擊者找到並下載所有已編譯的Java類，她通過反編譯獲得了所有自定義代碼。然後，她在應用程序中找到一個訪問控制的嚴重漏洞。

案例 #3：應用伺服器配置允許堆棧跟蹤返回給用戶，這 樣就暴露了潛在的漏洞，例如已知易受攻擊框架版本。

案例 #4：應用伺服器自帶的示例應用程序沒有從生產伺服器中刪除。該示例應用有已知安全漏洞，攻擊者可以利用這些漏洞破壞伺服器。

許多Web應用沒有正確地保護敏感數據，例如信用卡卡號、稅號、身份認證證書等。攻擊者可以通過偷竊、更改這種弱保護的數據，以進行信用卡詐騙、身份竊取、或者其他犯罪。這類敏感數據值得進行額外的保護，例如，加密傳輸、在於客戶端瀏覽器交換數據時進行的特殊保護。

敏感數據泄露

許多Web應用沒有正確地保護敏感數據，例如信用卡卡號、稅號、身份認證證書等。攻擊者可以通過偷竊、更改這種弱保護的數據，以進行信用卡詐騙、身份竊取、或者其他犯罪。這類敏感數據值得進行額外的保護，例如，加密傳輸、在於客戶端瀏覽器交換數據時進行的特殊保護。

（1）我易受攻擊么

首先需要確認的是哪些數據是敏感數據而需要被加密。例如：密碼、信用卡、醫療記錄、個人信息應該被加密。

對於這些數據，要確保以下幾個方面。:第一，當這些數據被長期存儲的時候，無論存儲在哪裡，它們是否都被加密，特別是對這些數據的備份？第二，無論內部數據還是外部數據，傳輸時是否是明文傳輸？在互聯網中傳輸明文數據是非常危險的。第三，是否還在使用任何舊的或脆弱的加密演算法？第四，加密密鑰的生成是否是脆弱的，或者缺少恰當的密鑰管理或缺少密鑰迴轉？

（2）我如何防止

有關使用不安全的加密演算法、 SSL使用和數據保護的風險超出了Top 10的範圍。儘管如此，對一些需要加密的敏感數據，應該起碼做到以下幾點：

1）預測一些威脅（比如內部攻擊和外部用戶），加密這些數據的存儲以確保免受這些威脅。

2）對於沒必要存放的、重要的敏感數據，應當儘快清除。

3）確保使用了合適的強大的標準演算法和強大的密匙，並且密匙管理到位。可參考FIPS 140 validated cryptographic modules.

4）確保使用國密專用演算法存儲密碼。

5）禁用自動完成防止敏感數據收集，禁用包含敏感數據的緩存頁面。

6）在公有鏈上避免存儲如何敏感數據。可以把敏感數據存儲到鏈下，也可以採用聯盟或者私有鏈方法利用身份管理和訪問控制來設定對敏感數據的訪問許可權。

（3）攻擊案例

案例 #1：一個應用程序加密存儲在資料庫的信用卡信息，以防止信用卡信息暴露給最終用戶。但是，資料庫設置為對信用卡表列的查詢進行自動解密，這就使得SQL注入漏洞能夠獲得所有信用卡信息的明文。備選方案包括不存儲信用卡號碼，使用標記化或使用公鑰加密。

案例#2：一個網站上所有需要身份驗證的網頁都沒有使 用SSL。攻擊者只需監控網路數據流（比如一個開放的無 線網路或其社區的有線網路），並竊取一個已驗證的受害 者的會話cookie。然後，攻擊者利用這個cookie執行重放 攻擊並接管用戶的會話從而訪問用戶的隱私數據。

案例#3：密碼資料庫使用unsalted的哈希演算法去存儲每個 人的密碼。一個文件上傳漏洞使黑客能夠獲取密碼文件。 所有這些unsalted哈希的密碼通過彩虹表暴力破解方式破解。

下一章我們將介紹功能級訪問控制缺失及跨站請求偽造

感謝機械工業出版社華章分社的投稿，本文來自於華章出版的著作《區塊鏈安全技術指南》。

作者簡介：

黃連金

矽谷Dynamic Fintech Group管理合伙人

吳思進

33複雜美創始人及CEO

曹鋒

PCHAIN發起人，中物聯區塊鏈協會首席科學家

季宙棟

Onchain分布科技首席戰略官，本體聯合創始人，

馬臣雲

北京信任度科技CEO、信息安全專家、產品管理專家

李恩典

美國分散式商業應用公司董事與中國區總裁

徐浩銘

CyberVein數脈鏈項目技術負責人

翁俊傑

IBM 10餘年開發及解決方案經驗，批Fabric應用開發者，NEO核心開發者之一

掃描上方微信

備註「入群」，小助手拉你進群

活動多多，交流多多

矩陣財經出品

轉載請註明：矩陣財經（矩陣數字經濟智庫）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！