劉洋 高雪鐵

摘要：隨著大數(shù)據(jù)、智慧城市、5G等新技術(shù)、新應(yīng)用的發(fā)展，我國網(wǎng)絡(luò)攻擊風(fēng)險日益增加，信息泄露行為讓政府形象、企業(yè)利益受損。本文結(jié)合日常安全檢查、整改等相關(guān)工作，從常見的網(wǎng)絡(luò)安全漏洞入手，提高開發(fā)人員、安全人員及政府、企業(yè)網(wǎng)絡(luò)管理者安全防護(hù)意識，增強(qiáng)網(wǎng)絡(luò)安全防護(hù)水平。

關(guān)鍵詞：網(wǎng)絡(luò)安全;大數(shù)據(jù)安全;安全漏洞;漏洞挖掘

近年來，我國網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，黑客通過非法手段對政府、企業(yè)信息系統(tǒng)發(fā)動網(wǎng)絡(luò)攻擊，給其聲譽、利益帶來巨大損失，而電信運營商從維護(hù)客戶利益和自身信譽角度，也迫切需要進(jìn)行網(wǎng)絡(luò)安全漏洞研究和防范，本文從國際知名OWASP Top 10排行闡述漏洞，增強(qiáng)相關(guān)人員安全意識，提高技術(shù)管網(wǎng)治網(wǎng)能力。

1、我國大數(shù)據(jù)網(wǎng)絡(luò)安全現(xiàn)狀

近年來，隨著新技術(shù)、新應(yīng)用發(fā)展，政府、企業(yè)關(guān)鍵基礎(chǔ)設(shè)施一直是黑客關(guān)注重點，而這些業(yè)務(wù)大部分通過互聯(lián)網(wǎng)向用戶提供服務(wù)，潛在安全威脅巨大。不法分子可以利用注入等安全漏洞獲取網(wǎng)絡(luò)服務(wù)器的權(quán)限，竊取服務(wù)器數(shù)據(jù)，篡改網(wǎng)頁信息，因此，解決網(wǎng)絡(luò)安全問題迫在眉睫。

上圖所示，OWASP作為世界上最權(quán)威網(wǎng)絡(luò)安全組織之一，每隔四年更新一次網(wǎng)絡(luò)安全漏洞排行，根據(jù)最新2017年公布的十大網(wǎng)絡(luò)漏洞中，注入攻擊漏洞位列第一，失效的身份認(rèn)證排第二，時至今日，這兩類漏洞在日常工作中仍頻繁發(fā)生，威脅程度較高，是安全人員不能忽略、必須重點檢測的目標(biāo)。

2、大數(shù)據(jù)網(wǎng)絡(luò)安全常見漏洞介紹

2.1 注入漏洞

注入攻擊是指攻擊者在輸入數(shù)據(jù)時向解釋器提交一些非法或者未授權(quán)的命令來欺騙解釋權(quán)，使解釋器錯誤的執(zhí)行了這些代碼，向攻擊者返回一些本不應(yīng)該被看見的數(shù)據(jù)。

2.2 失效的身份認(rèn)證

身份認(rèn)證最常用于系統(tǒng)登錄，形式一般為用戶名加密碼的登錄方式，在安全性要求較高的情況下，還有驗證碼、客戶端證書、Ukey等。

2.3 敏感數(shù)據(jù)泄露

近年來，敏感數(shù)據(jù)泄露已經(jīng)成為了最常見、最具影響力的攻擊，不久前就爆出過Facebook泄露了用戶的大量信息，以及12306也多次泄露用戶的信息。現(xiàn)在信息泄露已經(jīng)成為了OWASP top 10中排名第三的漏洞，可想而知敏感信息泄露現(xiàn)在已經(jīng)成為十分嚴(yán)重的問題。

2.4 XML外部實體（XXE）

XXE（XML External Entity）指的是XML外部實體注入，XML用于標(biāo)識電子文件使其具有結(jié)構(gòu)性的標(biāo)識語言，可以用來標(biāo)記數(shù)據(jù)、定義數(shù)據(jù)類型，是一種允許用戶對自己的標(biāo)記語言進(jìn)行定義的源語言。XML文檔結(jié)構(gòu)包括XML聲名、DTD文檔類型定義、文檔元素。

2.5 失效的訪問控制

即保護(hù)資源不被非法訪問和使用，目前應(yīng)用最多的是基于角色的訪問控制機(jī)制。失效的訪問控制就是攻擊者通過各種手段提升自己的權(quán)限，越過訪問控制，使訪問控制失效，這樣攻擊者就可以冒充用戶、管理員或擁有特權(quán)的用戶，或者創(chuàng)建、訪問、更新或刪除任何記錄。

2.6 安全配置錯誤

由于系統(tǒng)管理員的疏忽，可能會產(chǎn)生一些安全配置錯誤。安全配置錯誤可以發(fā)生在一個應(yīng)用程序堆棧的任何層面，包括網(wǎng)絡(luò)服務(wù)、平臺、Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫、框架、自定義代碼和預(yù)安裝的虛擬機(jī)、容器和存儲。可以使用自動掃描器來檢測錯誤的安全配置、默認(rèn)帳戶的使用或配置、不必要的服務(wù)、遺留選項等。

2.7 跨站腳本（XSS）

XSS（Cross-Site Scripting，實際上應(yīng)該是CSS，但是這與前端中的CSS重名，因此改名為XSS）簡稱為跨站腳本攻擊，這是一種針對網(wǎng)站的應(yīng)用程序的安全漏洞攻擊技術(shù)，是代碼注入的一種。它允許用戶將惡意代碼注入網(wǎng)頁，其他用戶在訪問時就會收到影響。惡意用戶利用XSS代碼攻擊成功后，可以進(jìn)行重定向、獲取cookie值等內(nèi)容。

2.8 不安全的反序列化

有些時候我們需要把應(yīng)用程序中的數(shù)據(jù)以另一種形式進(jìn)行表達(dá)，以便于將數(shù)據(jù)存儲起來，并在未來某個時間點再次使用，或者便于通過網(wǎng)絡(luò)傳輸給接收方。這一過程我們把它叫做序列化。

2.9 使用含有已知漏洞的組件

由于現(xiàn)在的服務(wù)器都需要使用很多的組件，管理員并不能保證所使用的組件都是沒有最新的，因此可能會存在一些版本是存在已知漏洞的（實際上比較新的版本的組件也是會存在漏洞的），攻擊者可以使用這些已知的漏洞來進(jìn)行攻擊，甚至獲得管理員權(quán)限。

2.10 不足的日志記錄和監(jiān)控

日志記錄是一個系統(tǒng)的最重要的功能之一。日志記錄包括登錄成功記錄、登錄失敗記錄、訪問控制記錄等，用來記錄服務(wù)器的各種信息。

3、結(jié)語

隨著網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，政府、企業(yè)要面對各種各樣的攻擊手段，導(dǎo)致安全事件頻發(fā)，網(wǎng)絡(luò)安全問題受到社會各界高度關(guān)注;另外，網(wǎng)絡(luò)空間逐步成為國家之間或地區(qū)之間相互安全博弈的新戰(zhàn)場，本文從漏洞角度闡述網(wǎng)絡(luò)安全本質(zhì)特征，提升從業(yè)人員網(wǎng)絡(luò)安全管理及防護(hù)水平，保衛(wèi)網(wǎng)絡(luò)空間國家主權(quán)，為網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略保駕護(hù)航。

參考文獻(xiàn)

[1]OWASP[OL] http：//www.owasp.org.cn/owasp-project

[2]Bitcarmanlee.Web安全之SQL注入攻擊技巧與防范[EB/OL].

[3]張紅巖.計算機(jī)網(wǎng)絡(luò)安全防御與漏洞掃描技術(shù)研究[J].無線互聯(lián)科技， 2020，v.17;No.188（16）：52-53.

天津市大數(shù)據(jù)管理中心;天津市委網(wǎng)信辦網(wǎng)絡(luò)應(yīng)急指揮中心