资源描述
电信和互联网行业网络 安全白皮书 ( 2019) 中国软件评测中心(工业和信息化部软件与集成电路促进中心) 北京赛迪网络安全测评工程技术中心有限公司 序 党的十九大明确提出建设创新型国家和世界科技强国的宏大目标,十九届四中全会提出完善科技创新体制机制。习近平科技创新思想是习近平新时代中国特色社会主义思想的重要组成部分,是建设创新型国家和世界科技强国的行动指南。我们要深刻认清世界科技发展的新趋势和我国科技创新的使命与责任,在实践中有担当和作为。 中国软件评测中心隶属于中国电子信息产业发展研究院。中心构建基于第三方服务的科技产业链,旗下的赛迪评测、赛迪监理、赛迪认证、赛迪评估、赛迪设计等业务在业内拥有权威地位。在工业和信息化部领导下,中心坚定信心决心,扎实推进制 造强国和网络强国建设。在智能制造、机器人、 智能网联汽车 、大数据、网络安全等领域迎难而上,奋力开拓,聚焦产品和服务质量提升,坚持目标导向和问题导向,面向市场提供专业的第三方科技服务,为把我国经济社会发展推向“质量时代”做出贡献。 我国经济已由高速增长阶段转向高质量发展阶段,现阶段的主要矛盾要求我们放弃速度偏好,重视发展质量。质量就是生命已经成为共识,然而现实中,对质量的控制和提升还面临诸多挑战。本白皮书系列包括 7 个分册,选取智能制造、机器人、网络安全等重要领域,阐述了行业背景、发展趋势、现存问题以及检测认证内 容等,提炼了质量保障的核心指标。白皮书的目的是通过专业化的检测数据,为提升产品质量、改进开发过程、促进产业发展提供科学参考,并对未来发展方向有所预见。 本白皮书系列分为七大部分: 第一部分面向汽车的智能化、网联化发展需求,在总结国内外发展实践的基础上梳理车载智能计算基础平台参考架构。 第二部分面向智能制造能力诊断需求和诊断服务市场鱼龙混杂乱像,介绍典型地区优秀做法,分享赛迪灵犀面向行业的智能制造诊断模型、咨询经验及有关案例。 第三部分面向机器人安全可靠服务于人类的需求,针对主流公共服务机器人进行信息安全研究 及攻击测试,揭示分析公共服务机器人信息安全问题。 第四部分面向电信和互联网行业,分析了 2019 年网络安全形势及典型安全威胁,提出行业网络安全威胁应对建议。 第五部分推出大科学装置工程全过程咨询管理解决方案,打造大科学装置工程管理可控合规路径,解决客户工程竣工验收、多头计划管理、跨领域技术共享、装置效益评估等核心需求。 第六部分面向电力能源企业的数字化转型需求,分析了转型的重点难点问题,提出数字化转型策略。 第七部分以全国 32 个省 (自治区、直辖市) 为对象,调查各地政务数据管理情况以及通过在线平台提供的信息服务内容质量,反映当前各地政务数据管理现状。 本白皮书能够为业界厂商、政府机构、研究机构和投资者等利益相关方提供有益参考,不断提高产品和服务质量,努力为世界提供更加优良的中国产品、中国服务。 中国软件评测中心 总工程师: 2019 年 12 月 一、 电信和互联网行业安全形势总结 1. 网络 安全监管继续完善 2019 年,国家相关部门开展了多项网络安全治理活动,密集出台了一系列的网络安全法规,在网络安全监管方面力度持续加强,通过不断对网络安全法细化落实,形成立体丰满的网络安全监管体系。 1 月 25 日,中央网信办 、工信部、公安部、市场监管总局等四部门召开新闻发布会,联合发布关于开展 App 违法违规收集使用个人信息专项治理的公告。 App 强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出,广大网民对此反映强烈。为切实治理个人信息保护方面存在的乱象,四部门决定自 2019 年 1月至 12 月,在全国范围组织开展 App 违法违规收集使用个人信息专项治理。 公告指出, App运营者收集使用个人信息时要严格履行网络安全法规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息;收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权, 不得 违反法律法规和与用户的约定收集使用个人信 息。倡导 App 运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项。 此次专项治理重点开展以下工作:一是组织相关专 业机构,对用户数量大、与民众生活密切相关的 App 隐私政策和个人信息收集使用情况进行评估。二是加强对违法违规收集使用个人信息行为的监管和处罚,包括责令有关 App 运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。三是公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作,依法严厉打击针对和利用个人信息的违法犯罪行为。四是开展自愿性 App 个人信息安全认证,鼓励搜索引擎、应用商店等明确标识并优先推 荐通过认证的 App。 此次专项治理活动为了明确界定 App 收集使用个人信息方面的违法违规行为,为 App运营者自查自纠提供指引,为 App 评估和处置提供参考, App 专项治理工作组起草了 App违法违规收集使用个人信息行为认定方法(征求意见稿) ,于 5 月 5 日发布公开征求意见。认定方法从“没有公开收集使用规则的情形”、“没有明示收集使用个人信息的目的、方式和范围的情形”、“未经同意收集使用个人信息的情形”、“违反必要性原则,收集与其提供的服务无关的个人信息的情形”、“未经同意向他人提供个人信息的情形”、“未按法律规定提供删除或更正个人信息功能的情形”、“侵犯未成年人在 网络空间合法权益的情形”七个方面,细化 App 违法违规收集使用个人信息行为 的认定方法。 2019 年 5 月 21 日,国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局联合起草了网络安全审查办法(征求意见稿)。国家互联网信息办公室于 5 月 24 日发布并开始征求意见。 该 办法规定:关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。法律、行政法规另 有规定的,依照其规定。可以看出,本办法 审查的对象为关键信息基础设施运营者对网络产品和服务的采购行为。该 办法还规定了需要通过安全审查的范围,关系国家安全的网络和信息系统采购的重要网络产品和服务应当经过网络安全审查,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的应当通过网络安全审查。 2019 年 5 月 28 日,国家网信办发布数据安全管理办法(征求意见稿),从数据收集、数据处理使用、 数据安全监督管理 等方面, 对个人信息和重要数据安全做出了规范。在数据收集使用方面,明确仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息;可包含于隐私政策中,但要集中展示,不能散见于各条款中。收集使用规则要体现数据安全责任人姓名。用户在使用过程中享有撤销同意权、删除权。 2019 年 6 月 13 日,国家网信办发布个人信息出境安全评估办法(征求意见稿) ,界定了个人信息出境的行为,明确了网络运营者和个人信息接收者的职责,细化了个人信息出境安全评估的内容。 此办法 的出台对保障个人信息安全、规范个人信息出境依法有序的流动,具有重大 的指导意义 , 一方面是对我国已经出台的关于个人信息保护法律法规的进一步细化和延伸,如 2017 年开始实施的网络安全法第三十七条规定: “ 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。 ” 另一方面,针对国际范围内的数据流动,部分国家及国际组织出台了各自的法律和政策文件,来管理以个人信息为代表的跨境数据,如欧盟的一般数据保护条例( GDPR)、英国的数据保护法案、亚太经 合组织的跨境隐私规则体系、日本的个人信息保护法等,以保障个人信息跨境流动的安全。我国是数据资源产出大国,亟需建立符合我国国情的个人信息出境管理办法,在数据跨境流动中切实保障个人信息安全。 办法明确指出“网络运营 者向境外提供在中华人民共和国境内运营中收集的个人信息,应当按照 该 办法进行安全评估”。 2019 年 7 月 1 日,工业和信息化部印发了电信和互联网行业提升网络数据安全保护能力专项行动方案, 针对近年来数据过度采集滥用、非法交易及用户数据泄露等数据安全问题,明确通过集中开展数据安全合规 性评估、专项治理和监督检查,督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患, 2019 年 10 月底前完成全部基础电信企业(含专业公司)、 50 家重点互联网企业以及 200款主流 App 数据安全检查。 基本建立行业网络数据安全保障体系。网络数据安全制度标准体系进一步完善,形成行业网络数据保护目录,制定 15 项以上行业网络数据安全标准规范,贯标试点企业不少于 20 家;行业网络数据安全管理和技术支撑平台基本建成,遴选网络数据安全技术能力创新示范项目不少于 30 个;基础电信企业和 重点互联网企业网络数据安全管理体系有效建立。 针对方案提出的“深化 App 违法违规专项治理 ”, 10 月 31 日,工业和信息化部发布工业和信息化部关于开展 App 侵害用户权益专项整治工作的通知 ,提 出 App违规收集个人信息、过度索权、频繁骚扰、侵害用户权益等问题突出,群众反映强烈,社会关注度高 , 组织开展 App侵害用户权益专项整治行动工作。 重点对 App“ 私自收集个人信息 ” 、“ 超范围收集个人信息 ” 、 “ 私自共享给第三方 ” 、 “ 强制用户使用定向推送功能 ” 、 “ 不给权限不让用 ” 、 “ 频繁申请权限 ” 、 “ 过度索取权限 ” 、 “ 账号注销难 ” 等 8 大问题开展专项整治工作 。 在强化关键信息基础设施保护方面,国家网信办提出加快出台关键信息基础设施安全保护条例,落实运营单位主体责任和保护部门的监管责任,统筹开展网络安全检查,强化网络安全态势感知,监测预警和应急处置能力建设。 2. 移动互联网恶意程序 仍然猖獗 据 CNCERT 统计, 2019 年上半年, CNCERT 通过自主捕获和厂商交换获得移动互联网恶意程序数量 103 万余个,通过对恶意程序的恶意行为统计发现,排名前三的分别为资费消耗类、流氓行为类和恶意扣费类,占比分别为 35.7%、 27.1%和 15.7%。 中国软件评测中心对应用商店中下载量 Top 500 的 APP 进行了检测分析, 存在安全风险的有 174 款,存在恶意行为的有 2 款 , App 的安全形势不容乐观。 在数据安全方面,移动 App 也是重灾区,由于手机等移动设备全面普及,且与用户的个人信息关系紧密,移动 App 成为了 违法收集使用个人信息的重要渠道, 从上述针对移动 App的多项监管措施和专项行动也可见一斑。 3. 数据安全 事件凸显形势严峻 2019 年初,在我国境内大量使用的 MongoDB、 Elasticsearch 数据库相继曝出存在严重安全漏洞,可能导致数据泄露风险,凸显了我国数据安全问题严重。这两个数据库均是在默认情况下,无需权限验证即可通过默认端口本地或远程访问数据库并进行任意的增、删、改、查等操作。在数据库启用连接公共互联网前,用户需做好相关安全设置以及数据库访问安全策略,才能有效避免数据泄露风险。 2019 年初,国外安全研究人员偶然发现一个没有被很好保护的 MongoDB 数据库服务器,来自国内某大型互联网公司。 整个实例包含 854GB 数 据,共有 202730434 条记录,其中大部分是中国用户简历,内容非常详细,包括中文全名、家庭住址、电话号码、电子邮件、婚烟状况、政治关系、期望薪水等内容。 MongoDB 是 一个 高性能、无模式的文档型数据库,支持二级索引,非常适合文档化格式的存储及查询。 MongoDB 的官方定位是通用数据库,查询功能强大, 采用 类似 json 格式存储,一般可以用来存放评论等半结构化数据。 目前 MongoDB是国内企业应用较为普遍的 NoSQL数据库,规模较大的互联网公司如阿里、京东 、 360、 大众点评 等都有应用。阿里云也提供 MongoDB 实例给租户,其 应用已经渗透到各个领域,比如游戏、物流、电商、内容管理、社交、物联网、视频直播等。游戏场景,使用 MongoDB 存储游戏用户信息,用户的装备、积分等直接以内嵌文档的形式存储 ; 物流场景,使用 MongoDB 存储订单信息 ; 社交场景,使用 MongoDB 存储用户信息,以及用户发表的朋友圈信息,通过地理位置索引实现附近的人、地点等功能 ; 物联 网场景,使用 MongoDB 存储所有接入的智能设备信息,以及设备汇报的日志信息,并对这些信息进行多维度的分析 ;视频直播,使用 MongoDB 存储用 户信息、礼物信息等 。 根据中国软件评测中心初步检索分析, 在中国境内使用 MongoDB 应用的数目在 34,749个左右。 其中北京、浙江居多,广东、上海和江苏也有一部分。 MongoDB 应用的端口分部如下 : 其中明确采用 MongoDB 协议,端口为 27017,也就是准确的 MongoDB 服务器 为 26,151个 。 ElasticSearch 是一个 开放源代码的 分布式多用户 文档数据库和 全文搜索引擎。ElasticSearch 文档数据库 中文档的 每个字段均可被索引 和 搜索, ElasticSearch 是分布式的,具有扩展性, 能够横向扩展至数以百计的服务器存储以及处理 PB 级的数据 , 可以在极短的时间内存储、搜索和分析大量的数据 ,因此, ElasticSearch 通常作为具有复杂搜索场景 ,尤其是需要全文检索要求的场景 下的核心 引擎 。 ElasticSearch 的用途包括文档存储与检索、日志分析、大数据检索分析等,其在国内外应用相当广泛。国际著名的开源托管平台 GitHub 即采用 ElasticSearch 作为其检索引擎,检索超过 20 亿个文档,管理的数据量超过 30PB。国内公有云、大型互联网公司等也普遍应用 ElasticSearch,如阿里云等。 ElasticSearch 未授权访问漏洞院里及危害如下: ElasticSearch 一般应部署在内网,与互联网隔离,并配置 IP 白名单等保护策略。 ElasticSearch 服务默认监听 9200 端口, 若由于管理疏忽,导致 没有设置访问权限, 则 可被非法操作数据 ,称为未授权访问漏洞 。 若ElasticSearch 服务直接暴露在互联网上,则攻击者可利用未授权访问漏洞通过互联网对目标系统展开攻击: 1)利用暴露的接口 调用 相关 api, 对 ElasticSearch 管理的数据进行增删改等操 作 ,导致数据泄露、破坏等,或利用下载、删除数据等进行勒索; 2)通 过 未 授 权 访 问 漏 洞 ,进 一 步 攻 击 目 标 系 统 ,实 施 代 码 注 入 等 ,造 成 远 程 代 码 执 行 ,实现控制目标服务器、散布恶意代码挖矿或勒索等。 中国软件评测中心对互联网上 ElasticSearch 暴露面 进行了 初步检测,主要对北京、上海、广东、浙江等 IT 大省进行检测,发现暴露在互联网上的 ElasticSearch 服务共 1979个,经扫描,其中 214 个存在未授权访问漏洞,存在漏洞的服务占比超过 10%。 编号 省市 ES服务暴露数量 存在漏洞的服务数量 1. 北京 1010 119 2. 上海 98 19 3. 广东 120 13 4. 浙江 665 51 5. 江苏 45 7 6. 山东 24 4 7. 福建 17 1 合计 1979 214 4. 开源软件 安全问题引起重视 。 开放源代码软件( Open source software,开源软件)指提供源代码的软件。源代码(也称源程序)是指未编译的按照一定的程序设计语言规范书写的文本文件,是一系列人类可读的计算机语言指令。 源代码的 格式 一般 是文本文件, 但其文件扩展名往往根据不同的开发语言而有所区别。源代码由人类开发人员编写,经 编译 后输出可执行的 计算机程序。 也有一些脚本型的编程语言的源代码,不经过编译步骤,直接由解释器解释执行,在这种情况下,可认为源代码 即 是可执行程序。 开源软件的源代码可通过多种方式提供,如随可执行程序通过光盘等媒介交付,或提供一个下载网址供人下载。有些开源软件不提供可执行程序,仅提供源代码,用户需在其本地计算机上对源代码进行编译,生成可在本地运行的可执行程序。 源代码可以认为是计算机程序设计的具体实现,是软件开发最重要的产出成果,对软件开发商具有重要价值。大量商业软件是封闭源代码的,即只提供编译后的计算机程序而不提供其源代码,典型的例子如 Microphone 的 Windows 系统, Oracle 公司的数据库系统等。开源软件虽然提供源代码,并不意味着没有限制,它们一般遵循某种开源许可证协议,对源代码的使用、修改、发布等进行限制。 当前,开源软件的应用十分广泛,其应用从 PC 软件到个人智能设备,从办公软件到工业控制系统,从政府机构到大型商业公司,从物联网传感器到宇宙飞船和军 事系统,可谓无所不包,涵盖人类社会的方方面面。 开源软件具有以下 特点 : 一是源代码可获取 。 开源软件最重要的特点就是“开源”,其源代码通过随机附带或其他方式可轻易获取。 二是许可证多样 。 开源软件具有多种许可证,常见的有 GPL、 LGPL、 FreeBSD、 MIT 等,对源代码的使用、修改、再发布等进行限制,使用开源软件应当遵循其许可证限制。 三是具有传染性 。 某些开源许可证,如 GPL,对软件源代码的修改、再分发具有较为严格的限制,要求对源代码的修改仍需保持开源,遵循 GPL 协议,并在软件再分发时提供全部源代码及 GPL 协议文本,这就使得基于该 许可证协议的软件总是保持开源,具有传染性。 四是 采用 社区化的分散维护机制 。 开源软件的开发和维护一般采用分散的社区机制,开发者来自世界各地,通过互联网上的开源社区组织起来,开发者通过社区提交功能或对软件进行修改,也可在社区里互相讨论。 典型的开源社区如 Linux 开源操作系统的社区、 Apache社区、 Mozilla 社区等,其中 Apache 社区维护其基金会下的一系列开源软件, Mozilla 社区主要的开源软件是 Mozilla 火狐浏览器。 开源软件面临的安全挑战 : 一是可以进行基于源代码的白盒分 析和攻击 。 开源软件由于其源代码的公开性,黑客攻击者可以很容易获取其源代码进行白盒分析,查找源代码层面的漏洞,或伪装成开发者提交隐藏后门的程序代码等。而对于闭源软件,其逆向工程的难度较大,白盒分析困难,一般只能进行黑盒分析,采用试探和摸索的方式进行攻击。 二是版本众多,安全维护复杂 。 开源软件由于公开,开发者可以从其现有的版本派生一个自己的版本,称为“分支”,在此分支进行修改、开发、重新打包等,形成一个独特的版本。有的开源软件不断分裂派生,产生庞大的版本家族,一旦其基础代码发现漏洞,众多版本对漏洞的修补是一个复 杂的工程。如 著名 的开源操作系统 Linux,具有一个统一的内核,但基于该内核派生的各种发行版不计其数,每个发行版都对内核之上的其他软件有调整和裁剪, 由 不同的小开源社区来维护,分析某个漏洞对 Linux 各发行版的影响是个复杂的任务。 三是对安全漏洞的响应可能不及时 。 大量开源软件采用免费方式提供,其社区对漏洞等软件缺陷也不承担义务或提供明确承诺,某个漏洞的修复周期可能很长,导致使用该软件的系统长期处于风险之中。尽管理论上用户可以自行修改软件源代码修补漏洞,但一般的用户缺乏这样的能力。 四是漏洞数量多,影响大 。 开源软 件具有开放、费用低、容易获取等特点,软件种类覆盖系统软件、中间件、应用软件等全领域,在全球范围内开源软件应用广泛,像 Linux 操作系统等系统软件甚至是全球 IT 基础设施的重要组成部分。同时,开源软件也普通存在大量安全漏洞,隐藏巨大安全风险。近年来,开源软件频繁爆出高危漏洞,例如 Struts2 系列漏洞 、 OpenSSL 系列漏洞(包括心脏出血等) 等 , 这些 开源软件 很多都应用于信息系统的底层,且 应用范围非常广泛,漏洞带来的安全危害 影响巨大 。 我国开源软件应用广泛 , 原创不足。由于历史原因,我国软件行业起步晚,受国外垄断软件企业压制,系统软件、关键软件方面受制于人。闭源的系统软件、关键软件一旦存在后门,危害巨大,很难检测,而开源替代品由于源代码开放,存在后门的顾虑很小,出现漏洞容易从源代码层面进行主动修复,并且大量开源软件免费提供,初始费用较低,因而我国开源软件应用非常广泛。另一方面,由于软件行业起步晚,我国在开源软件方面的原创性不足,虽然国内加入开源社区的开发者数量逐渐增加,包括华为、阿里等一些大的商业公司也积极参与开源社区,但总体来看,还处于起步阶段,规模不足,产品 集中在 Web 前端等少数应用领域。 据不完全统计,在我国系统软件领域,开源 Android 移动操作系统占据市场份额超过80%,服务器操作系统 Linux 市场占比超过 50%, MySQL 等开源数据库的市场占比超过 50%,OpenStack、 Docker 等云和虚拟化平台使用也十分广泛。在 Web 中间件领域, Apache、 Nginx、Tomcat 等开源中间件占市场份额 80%以上。此外,大数据平台、人工智能引擎等也被开源软件统治。 开源软件的行业覆盖也很全面,政府机构、企事业单位、互联网、各类关键信息基础设施等都广泛使用开源 软件。因而,开源软件的安全问题十分重要,关系到我国的网络空间安全。 二、 电信和互联网行业典型安全威胁 1. 弱口令 弱口令是指容易被别人猜测到或被破解工具破解的口令。当前 “用户名 +口令” 仍然是主流的身份认证方式 ,绝 大 部 分 信息系统都采用或支持这种身份认证方式。弱口令 容易利用但危害很大 , 攻击者无需技术基础即可对弱口令系统展开攻击。 存在弱口令的信息系统,极易被攻破,攻击者 取得信息系统一定权限后,即可窃取数据、 修改或破坏系统、或进一步 向系统深层次渗透攻击。 弱口令虽然简单,但仍是广泛存在的问题,凸显了在安全管理和技术层面的双重问题。弱口令一般有以下几种 表现形式: 简单口令: 口令长度过短,口令仅由简单字符或单词、拼音等组合,非常容易被暴力破解; 默认口令或空口令: 很多系统或设备的账号具有默认口令,有的甚至是空口令,不修改默认口令或空口令的情况十分常见,有的系统管理员甚至并不清楚系统里存在默认口令或空口令; 规律性口令: 口令具有一定的长度 和 复杂度, 但口令的构造具有规律性,这类口令一般是为了便于记忆而采取了一些简单规律构造而出,如采用在键盘上连续分布的字符序列等,大量规律性口令被收集到口令词典、彩虹表等中,容易被暴力破解; 社会工程学弱点类口令: 为了便于记忆,将个人 、单位等信息 作为构成口令的部分,如个人姓名拼音、出生日期、单位名称等,攻击者通过社会工程学攻击,搜集特定人员的信息,就很容易攻破此类口令 ; 固定口令: 口令一旦生成,就固定下来,长期不更新,泄露或被攻破的风险越来越大。 其他 典型 弱口令方面的漏洞, 还包括口令明文传输、口令重置逻辑漏洞、验证码逻辑漏洞等。 口令明文传输: 口令在通过网络传输时未采取加密措施, 容易受到第三人窃听攻击; 口令重置逻辑漏洞:有的系统为忘记自己口令的用户提供口令重置功能,可将特定账号的口令重置为默认值或用户指定的新口令, 要重置某用户口令,需要以某种用户名 +口令之外的方式对用户身份进行认证,这个身份认证过程若存在逻辑漏洞,令攻击者绕过限制,则可通过重置指定用户口令的方式,获得该用户对系统的访问权限; 验证码逻辑漏洞: 身份认证过程中,验证码一般用来防止 自动化暴力破解,典型验证码的形式 ,包 括 短 信 验 证 码 、带 干 扰 的 数 字 或 字 母 图 形 验 证 码 、识 图 拼 图 验 证 码 、滑 动 验 证 码 ,本质都是用特定人类行为特征区分真人和自动化程序。在验证码验证的过程中,往往服务器和前端需要反复几个步骤的操作,这个过程中容易产生逻辑漏洞,令攻击者旁路或绕过验证过程, 导致防止暴力攻击的措施无效。 2. 心脏 出 血 心脏 出 血( Heartbleed, CVE-2014-0160) 漏洞早在 2014 年 即被爆出,谷歌的安全研究人员发现 互联网安全协议 OpenSSL 被曝存在一个十分严重的安全漏洞 , 被命名为 “ 心脏出血 ” ,表明网络上出现了 “ 致命内伤 ” 。利用该漏洞,黑客可以获取约 30%的 https 开头网址的用户登录账号密码,其中包括购物、网银、社交、门户等类型的知名网站。 “ 心脏出血 ” 漏洞是一个非常严重的问题 ,它 是 互 联 网 基 础 设 施 开 源 软 件 OpenSSL 的一个严重漏洞, 这个漏洞使攻击者能够从 部署了 HTTPS 协议的服务器 内存中读取多达 64 KB的数据。只要有这个漏洞的存在,在无需任何特权信息或身份验证的环境下,就 可能 从 服务器窃取 X.509 证书的私钥 、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档和通信等数据。 尽管 OpenSSL 开发 组在 “ 心脏出血 ” 漏洞爆出后很快就提供了对应的安全补丁,但由于安全管理方面的问题普遍存在,互联网上大量系统没有对 OpenSSL 进行升级或打上安全补丁,大量的服务器仍然在“出血”。通过中国软件评测中心的远程检测和互联网安全监测,存在该漏洞的服务器仍然为数众多。 3. Bluekeep Bluekeep( CVE-2019-0708) 是 2019 年最严重的网络安全漏洞之一。 该漏洞影响范围广,几乎 互联网上绝大多数 Windows 系统都存在该漏洞。同时该漏洞危害巨大,成功利用此漏洞的攻击者可以在目标系统上执行任意代码,随后攻击者可以安装程序, 查看 、 更改或删除数
展开阅读全文