论文部分内容阅读
摘要:随着大数据、智慧城市、5G等新技术、新应用的发展,我国网络攻击风险日益增加,信息泄露行为让政府形象、企业利益受损。本文结合日常安全检查、整改等相关工作,从常见的网络安全漏洞入手,提高开发人员、安全人员及政府、企业网络管理者安全防护意识,增强网络安全防护水平。
关键词:网络安全;大数据安全;安全漏洞;漏洞挖掘
近年来,我国网络安全形势日益严峻,黑客通过非法手段对政府、企业信息系统发动网络攻击,给其声誉、利益带来巨大损失,而电信运营商从维护客户利益和自身信誉角度,也迫切需要进行网络安全漏洞研究和防范,本文从国际知名OWASP Top 10排行阐述漏洞,增强相关人员安全意识,提高技术管网治网能力。
1、我国大数据网络安全现状
近年来,随着新技术、新应用发展,政府、企业关键基础设施一直是黑客关注重点,而这些业务大部分通过互联网向用户提供服务,潜在安全威胁巨大。不法分子可以利用注入等安全漏洞获取网络服务器的权限,窃取服务器数据,篡改网页信息,因此,解决网络安全问题迫在眉睫。
上图所示,OWASP作为世界上最权威网络安全组织之一,每隔四年更新一次网络安全漏洞排行,根据最新2017年公布的十大网络漏洞中,注入攻击漏洞位列第一,失效的身份认证排第二,时至今日,这两类漏洞在日常工作中仍频繁发生,威胁程度较高,是安全人员不能忽略、必须重点检测的目标。
2、大数据网络安全常见漏洞介绍
2.1 注入漏洞
注入攻击是指攻击者在输入数据时向解释器提交一些非法或者未授权的命令来欺骗解释权,使解释器错误的执行了这些代码,向攻击者返回一些本不应该被看见的数据。
2.2 失效的身份认证
身份认证最常用于系统登录,形式一般为用户名加密码的登录方式,在安全性要求较高的情况下,还有验证码、客户端证书、Ukey等。
2.3 敏感数据泄露
近年来,敏感数据泄露已经成为了最常见、最具影响力的攻擊,不久前就爆出过Facebook泄露了用户的大量信息,以及12306也多次泄露用户的信息。现在信息泄露已经成为了OWASP top 10中排名第三的漏洞,可想而知敏感信息泄露现在已经成为十分严重的问题。
2.4 XML外部实体(XXE)
XXE(XML External Entity)指的是XML外部实体注入,XML用于标识电子文件使其具有结构性的标识语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声名、DTD文档类型定义、文档元素。
2.5 失效的访问控制
即保护资源不被非法访问和使用,目前应用最多的是基于角色的访问控制机制。失效的访问控制就是攻击者通过各种手段提升自己的权限,越过访问控制,使访问控制失效,这样攻击者就可以冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。
2.6 安全配置错误
由于系统管理员的疏忽,可能会产生一些安全配置错误。安全配置错误可以发生在一个应用程序堆栈的任何层面,包括网络服务、平台、Web服务器、应用服务器、数据库、框架、自定义代码和预安装的虚拟机、容器和存储。可以使用自动扫描器来检测错误的安全配置、默认帐户的使用或配置、不必要的服务、遗留选项等。
2.7 跨站脚本(XSS)
XSS(Cross-Site Scripting,实际上应该是CSS,但是这与前端中的CSS重名,因此改名为XSS)简称为跨站脚本攻击,这是一种针对网站的应用程序的安全漏洞攻击技术,是代码注入的一种。它允许用户将恶意代码注入网页,其他用户在访问时就会收到影响。恶意用户利用XSS代码攻击成功后,可以进行重定向、获取cookie值等内容。
2.8 不安全的反序列化
有些时候我们需要把应用程序中的数据以另一种形式进行表达,以便于将数据存储起来,并在未来某个时间点再次使用,或者便于通过网络传输给接收方。这一过程我们把它叫做序列化。
2.9 使用含有已知漏洞的组件
由于现在的服务器都需要使用很多的组件,管理员并不能保证所使用的组件都是没有最新的,因此可能会存在一些版本是存在已知漏洞的(实际上比较新的版本的组件也是会存在漏洞的),攻击者可以使用这些已知的漏洞来进行攻击,甚至获得管理员权限。
2.10 不足的日志记录和监控
日志记录是一个系统的最重要的功能之一。日志记录包括登录成功记录、登录失败记录、访问控制记录等,用来记录服务器的各种信息。
3、结语
随着网络技术迅猛发展,政府、企业要面对各种各样的攻击手段,导致安全事件频发,网络安全问题受到社会各界高度关注;另外,网络空间逐步成为国家之间或地区之间相互安全博弈的新战场,本文从漏洞角度阐述网络安全本质特征,提升从业人员网络安全管理及防护水平,保卫网络空间国家主权,为网络强国战略保驾护航。
参考文献
[1]OWASP[OL] http://www.owasp.org.cn/owasp-project
[2]Bitcarmanlee.Web安全之SQL注入攻击技巧与防范[EB/OL].
[3]张红岩.计算机网络安全防御与漏洞扫描技术研究[J].无线互联科技, 2020,v.17;No.188(16):52-53.
天津市大数据管理中心;天津市委网信办网络应急指挥中心
关键词:网络安全;大数据安全;安全漏洞;漏洞挖掘
近年来,我国网络安全形势日益严峻,黑客通过非法手段对政府、企业信息系统发动网络攻击,给其声誉、利益带来巨大损失,而电信运营商从维护客户利益和自身信誉角度,也迫切需要进行网络安全漏洞研究和防范,本文从国际知名OWASP Top 10排行阐述漏洞,增强相关人员安全意识,提高技术管网治网能力。
1、我国大数据网络安全现状
近年来,随着新技术、新应用发展,政府、企业关键基础设施一直是黑客关注重点,而这些业务大部分通过互联网向用户提供服务,潜在安全威胁巨大。不法分子可以利用注入等安全漏洞获取网络服务器的权限,窃取服务器数据,篡改网页信息,因此,解决网络安全问题迫在眉睫。
上图所示,OWASP作为世界上最权威网络安全组织之一,每隔四年更新一次网络安全漏洞排行,根据最新2017年公布的十大网络漏洞中,注入攻击漏洞位列第一,失效的身份认证排第二,时至今日,这两类漏洞在日常工作中仍频繁发生,威胁程度较高,是安全人员不能忽略、必须重点检测的目标。
2、大数据网络安全常见漏洞介绍
2.1 注入漏洞
注入攻击是指攻击者在输入数据时向解释器提交一些非法或者未授权的命令来欺骗解释权,使解释器错误的执行了这些代码,向攻击者返回一些本不应该被看见的数据。
2.2 失效的身份认证
身份认证最常用于系统登录,形式一般为用户名加密码的登录方式,在安全性要求较高的情况下,还有验证码、客户端证书、Ukey等。
2.3 敏感数据泄露
近年来,敏感数据泄露已经成为了最常见、最具影响力的攻擊,不久前就爆出过Facebook泄露了用户的大量信息,以及12306也多次泄露用户的信息。现在信息泄露已经成为了OWASP top 10中排名第三的漏洞,可想而知敏感信息泄露现在已经成为十分严重的问题。
2.4 XML外部实体(XXE)
XXE(XML External Entity)指的是XML外部实体注入,XML用于标识电子文件使其具有结构性的标识语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声名、DTD文档类型定义、文档元素。
2.5 失效的访问控制
即保护资源不被非法访问和使用,目前应用最多的是基于角色的访问控制机制。失效的访问控制就是攻击者通过各种手段提升自己的权限,越过访问控制,使访问控制失效,这样攻击者就可以冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。
2.6 安全配置错误
由于系统管理员的疏忽,可能会产生一些安全配置错误。安全配置错误可以发生在一个应用程序堆栈的任何层面,包括网络服务、平台、Web服务器、应用服务器、数据库、框架、自定义代码和预安装的虚拟机、容器和存储。可以使用自动扫描器来检测错误的安全配置、默认帐户的使用或配置、不必要的服务、遗留选项等。
2.7 跨站脚本(XSS)
XSS(Cross-Site Scripting,实际上应该是CSS,但是这与前端中的CSS重名,因此改名为XSS)简称为跨站脚本攻击,这是一种针对网站的应用程序的安全漏洞攻击技术,是代码注入的一种。它允许用户将恶意代码注入网页,其他用户在访问时就会收到影响。恶意用户利用XSS代码攻击成功后,可以进行重定向、获取cookie值等内容。
2.8 不安全的反序列化
有些时候我们需要把应用程序中的数据以另一种形式进行表达,以便于将数据存储起来,并在未来某个时间点再次使用,或者便于通过网络传输给接收方。这一过程我们把它叫做序列化。
2.9 使用含有已知漏洞的组件
由于现在的服务器都需要使用很多的组件,管理员并不能保证所使用的组件都是没有最新的,因此可能会存在一些版本是存在已知漏洞的(实际上比较新的版本的组件也是会存在漏洞的),攻击者可以使用这些已知的漏洞来进行攻击,甚至获得管理员权限。
2.10 不足的日志记录和监控
日志记录是一个系统的最重要的功能之一。日志记录包括登录成功记录、登录失败记录、访问控制记录等,用来记录服务器的各种信息。
3、结语
随着网络技术迅猛发展,政府、企业要面对各种各样的攻击手段,导致安全事件频发,网络安全问题受到社会各界高度关注;另外,网络空间逐步成为国家之间或地区之间相互安全博弈的新战场,本文从漏洞角度阐述网络安全本质特征,提升从业人员网络安全管理及防护水平,保卫网络空间国家主权,为网络强国战略保驾护航。
参考文献
[1]OWASP[OL] http://www.owasp.org.cn/owasp-project
[2]Bitcarmanlee.Web安全之SQL注入攻击技巧与防范[EB/OL].
[3]张红岩.计算机网络安全防御与漏洞扫描技术研究[J].无线互联科技, 2020,v.17;No.188(16):52-53.
天津市大数据管理中心;天津市委网信办网络应急指挥中心