劉洋 高雪鐵

摘要：隨著大數(shù)據(jù)、智慧城市、5G等新技術(shù)、新應(yīng)用的發(fā)展，我國網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)日益增加，信息泄露行為讓政府形象、企業(yè)利益受損。本文結(jié)合日常安全檢查、整改等相關(guān)工作，從常見的網(wǎng)絡(luò)安全漏洞入手，提高開發(fā)人員、安全人員及政府、企業(yè)網(wǎng)絡(luò)管理者安全防護(hù)意識(shí)，增強(qiáng)網(wǎng)絡(luò)安全防護(hù)水平。

關(guān)鍵詞：網(wǎng)絡(luò)安全;大數(shù)據(jù)安全;安全漏洞;漏洞挖掘

近年來，我國網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，黑客通過非法手段對(duì)政府、企業(yè)信息系統(tǒng)發(fā)動(dòng)網(wǎng)絡(luò)攻擊，給其聲譽(yù)、利益帶來巨大損失，而電信運(yùn)營商從維護(hù)客戶利益和自身信譽(yù)角度，也迫切需要進(jìn)行網(wǎng)絡(luò)安全漏洞研究和防范，本文從國際知名OWASP Top 10排行闡述漏洞，增強(qiáng)相關(guān)人員安全意識(shí)，提高技術(shù)管網(wǎng)治網(wǎng)能力。

1、我國大數(shù)據(jù)網(wǎng)絡(luò)安全現(xiàn)狀

近年來，隨著新技術(shù)、新應(yīng)用發(fā)展，政府、企業(yè)關(guān)鍵基礎(chǔ)設(shè)施一直是黑客關(guān)注重點(diǎn)，而這些業(yè)務(wù)大部分通過互聯(lián)網(wǎng)向用戶提供服務(wù)，潛在安全威脅巨大。不法分子可以利用注入等安全漏洞獲取網(wǎng)絡(luò)服務(wù)器的權(quán)限，竊取服務(wù)器數(shù)據(jù)，篡改網(wǎng)頁信息，因此，解決網(wǎng)絡(luò)安全問題迫在眉睫。

上圖所示，OWASP作為世界上最權(quán)威網(wǎng)絡(luò)安全組織之一，每隔四年更新一次網(wǎng)絡(luò)安全漏洞排行，根據(jù)最新2017年公布的十大網(wǎng)絡(luò)漏洞中，注入攻擊漏洞位列第一，失效的身份認(rèn)證排第二，時(shí)至今日，這兩類漏洞在日常工作中仍頻繁發(fā)生，威脅程度較高，是安全人員不能忽略、必須重點(diǎn)檢測的目標(biāo)。

2、大數(shù)據(jù)網(wǎng)絡(luò)安全常見漏洞介紹

2.1 注入漏洞

注入攻擊是指攻擊者在輸入數(shù)據(jù)時(shí)向解釋器提交一些非法或者未授權(quán)的命令來欺騙解釋權(quán)，使解釋器錯(cuò)誤的執(zhí)行了這些代碼，向攻擊者返回一些本不應(yīng)該被看見的數(shù)據(jù)。

2.2 失效的身份認(rèn)證

身份認(rèn)證最常用于系統(tǒng)登錄，形式一般為用戶名加密碼的登錄方式，在安全性要求較高的情況下，還有驗(yàn)證碼、客戶端證書、Ukey等。

2.3 敏感數(shù)據(jù)泄露

近年來，敏感數(shù)據(jù)泄露已經(jīng)成為了最常見、最具影響力的攻擊，不久前就爆出過Facebook泄露了用戶的大量信息，以及12306也多次泄露用戶的信息?，F(xiàn)在信息泄露已經(jīng)成為了OWASP top 10中排名第三的漏洞，可想而知敏感信息泄露現(xiàn)在已經(jīng)成為十分嚴(yán)重的問題。

2.4 XML外部實(shí)體（XXE）

XXE（XML External Entity）指的是XML外部實(shí)體注入，XML用于標(biāo)識(shí)電子文件使其具有結(jié)構(gòu)性的標(biāo)識(shí)語言，可以用來標(biāo)記數(shù)據(jù)、定義數(shù)據(jù)類型，是一種允許用戶對(duì)自己的標(biāo)記語言進(jìn)行定義的源語言。XML文檔結(jié)構(gòu)包括XML聲名、DTD文檔類型定義、文檔元素。

2.5 失效的訪問控制

即保護(hù)資源不被非法訪問和使用，目前應(yīng)用最多的是基于角色的訪問控制機(jī)制。失效的訪問控制就是攻擊者通過各種手段提升自己的權(quán)限，越過訪問控制，使訪問控制失效，這樣攻擊者就可以冒充用戶、管理員或擁有特權(quán)的用戶，或者創(chuàng)建、訪問、更新或刪除任何記錄。

2.6 安全配置錯(cuò)誤

由于系統(tǒng)管理員的疏忽，可能會(huì)產(chǎn)生一些安全配置錯(cuò)誤。安全配置錯(cuò)誤可以發(fā)生在一個(gè)應(yīng)用程序堆棧的任何層面，包括網(wǎng)絡(luò)服務(wù)、平臺(tái)、Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫、框架、自定義代碼和預(yù)安裝的虛擬機(jī)、容器和存儲(chǔ)?？梢允褂米詣?dòng)掃描器來檢測錯(cuò)誤的安全配置、默認(rèn)帳戶的使用或配置、不必要的服務(wù)、遺留選項(xiàng)等。

2.7 跨站腳本（XSS）

XSS（Cross-Site Scripting，實(shí)際上應(yīng)該是CSS，但是這與前端中的CSS重名，因此改名為XSS）簡稱為跨站腳本攻擊，這是一種針對(duì)網(wǎng)站的應(yīng)用程序的安全漏洞攻擊技術(shù)，是代碼注入的一種。它允許用戶將惡意代碼注入網(wǎng)頁，其他用戶在訪問時(shí)就會(huì)收到影響。惡意用戶利用XSS代碼攻擊成功后，可以進(jìn)行重定向、獲取cookie值等內(nèi)容。

2.8 不安全的反序列化

有些時(shí)候我們需要把應(yīng)用程序中的數(shù)據(jù)以另一種形式進(jìn)行表達(dá)，以便于將數(shù)據(jù)存儲(chǔ)起來，并在未來某個(gè)時(shí)間點(diǎn)再次使用，或者便于通過網(wǎng)絡(luò)傳輸給接收方。這一過程我們把它叫做序列化。

2.9 使用含有已知漏洞的組件

由于現(xiàn)在的服務(wù)器都需要使用很多的組件，管理員并不能保證所使用的組件都是沒有最新的，因此可能會(huì)存在一些版本是存在已知漏洞的（實(shí)際上比較新的版本的組件也是會(huì)存在漏洞的），攻擊者可以使用這些已知的漏洞來進(jìn)行攻擊，甚至獲得管理員權(quán)限。

2.10 不足的日志記錄和監(jiān)控

日志記錄是一個(gè)系統(tǒng)的最重要的功能之一。日志記錄包括登錄成功記錄、登錄失敗記錄、訪問控制記錄等，用來記錄服務(wù)器的各種信息。

3、結(jié)語

隨著網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，政府、企業(yè)要面對(duì)各種各樣的攻擊手段，導(dǎo)致安全事件頻發(fā)，網(wǎng)絡(luò)安全問題受到社會(huì)各界高度關(guān)注;另外，網(wǎng)絡(luò)空間逐步成為國家之間或地區(qū)之間相互安全博弈的新戰(zhàn)場，本文從漏洞角度闡述網(wǎng)絡(luò)安全本質(zhì)特征，提升從業(yè)人員網(wǎng)絡(luò)安全管理及防護(hù)水平，保衛(wèi)網(wǎng)絡(luò)空間國家主權(quán)，為網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略保駕護(hù)航。

參考文獻(xiàn)

[1]OWASP[OL] http：//www.owasp.org.cn/owasp-project

[2]Bitcarmanlee.Web安全之SQL注入攻擊技巧與防范[EB/OL].

[3]張紅巖.計(jì)算機(jī)網(wǎng)絡(luò)安全防御與漏洞掃描技術(shù)研究[J].無線互聯(lián)科技， 2020，v.17;No.188（16）：52-53.

天津市大數(shù)據(jù)管理中心;天津市委網(wǎng)信辦網(wǎng)絡(luò)應(yīng)急指揮中心