由此次阿里云事情谈粗犷的安全防护手法

访客5年前黑客工具524

 昨日阿里接连爆出了两个有意思的事情,一是阿里云服务器呈现毛病,导致误删除了许多用户文件( http://www.weibo.com/1747505067/CyvEkrxPS );二是阿里供认下一年校招名额将会减缩,或许导致许多现已拿到意向书的同学拿不到offer。

我不针对任何公司的对错宣布谈论,单论技术上的问题。

阿里云毛病的原因,在各方阐明下我也大约了解了,是云盾晋级,将用户合法的可履行文件给作为歹意文件,直接给删掉了。

po主的口气和遭受,听起来感觉挺逗的:

这段话我看着笑了一下午,我大胆猜一下云盾是怎样作业的:

为了避免服务器被侵略,并履行歹意软件(如提权程序),具有root权限的AliyunDun英勇地担任干掉这些憎恶的歹意程序。不知道为什么,最终眼瞎把正常程序也杀掉了。不,是删掉了……

直接删掉了啊尼玛!

这让我想起了很久以前刚入道时分我检测过一个网站,传上去的webshell总是不行思议地404了。其时感觉便是被安全软件做了四肢,后来进去一看公然,我传上去的难免杀的webshell.asp全被重命名成了webshell.asp.20xx-xx-xx_xxxxxx.hws

其时感觉,这样的防护手法真是很黄很暴力啊。

由于其时的asp网站拿shell,无非是几个常见办法:一是数据库插马,二是配置文件插马,三是上传缝隙运用各种解析缝隙等。前两种办法,都是将一句话刺进到其他正常文件里。这时分假如正常文件也被直接改名了,将导致整个网站都运转不了了(配置文件和数据库文件都是网站运转必不行少的文件呀)。

还好其时检测的时分是找的上传缝隙,不然网站搞挂了就悲惨剧了。

后来知道这个防护软件叫护卫神,好一个护卫神,真是好呵护呀。现在谷歌“护卫神 重命名”,还能找到一堆康复误杀文件的软件:

当然,护卫神比起这次的阿里云盾事情来说,仍是小巫见大巫了。怎样说它也没把正常文件当木马删掉,仅仅重命名了,还有无限康复的或许。

说起粗犷,我还能想到的是许多开源运用。他们关于安全缝隙的惧怕与修正手法,假如不做代码审计或二次开发,大多数开发者你们或许底子不会想到。我见过许多运用,防护SQL注入的手法如此粗犷:

上图某个版别的cmseasy源码。光看图或许领会不深,看到详细代码:

竟然在codition这种函数里直接用这么粗犷的手法处理SQL注入,恣意SQL句子的key和value都不能呈现select、if、sleep、from这种英语中常见的单词,那这个体系还怎样正常运用?

这便是国内许多开发者对待安全缝隙的情绪:惧怕、怨恨、无能。他们用最原始最粗犷的手法去处理安全问题,底子原因是他们对安全问题处理办法一窍不通,不知道怎样正确地处理缝隙。

这样的开发者我觉得仍是趁早辞退了的好。

所以,这儿就不得不提到,粗犷的安全防护手法形成的问题。重视安全固然是一个长处,但咱们怎样去科学地重视安全?

这儿涉及到几个问题:

以安全为意图的监控是否合法? 安全权限大,仍是事务权限大? 发现安全问题,是告警仍是主动处理? 怎么科学地,而非运用原始手法去解决问题?

之一个问题,以安全为意图的监控是否合法?

我看到v2ex上许多朋友诟病阿里云盾的原因是,作为一个IaaS,云盾却一向驻于内存监控与干涉体系。那么,云盾这个进程终究在用户的ECS上做了些什么?

据各种不靠谱小道消息,我了解到云盾在用户的机器上权限是很大的,简直能够做任何事情,包含监督用户的文件体系、SQL句子、进程等,我不以最坏的歹意推测任何人,单只以为云盾监督这些东西的原因是避免歹意程序。但这样的监督现已让许多用户不安了。

就像美国棱镜门,NSA一向着重自己监督民众是出自反恐等意图,但并不是说有人都委曲求全,你的监控现已冒犯到人们的隐私了。

那么,阿里云是否能够提供给用户撤销云盾的选项?用户挑选撤销云盾后是否真的再也没有相似进程监控体系了?看下图:

从售后工程师处了解到,你期望的都是不或许的,呵呵~

第二个问题,安全权限大,仍是事务权限大?

首要,权利不论在实践国际中,仍是 *** 国际中,都是一个很可怕的东西。一旦高权限被用在不妥的当地,带来将是灾祸。

这次的事情实践上是一个过错,并不是权限被“乱用”了。但实践形成的成果是灾祸性的。犯过错不行怕,可怕的是在我犯过错的一起竟然刚好有高的权限,成果形成不行拯救的丢失。

[1] [2]  黑客接单网

相关文章

Django开发与攻防测验(入门篇)

最近在培训包含在一些竞赛中,python结构方面的攻防需求呈现的越来越频频。 尽管python结构相关于Java、php等的广泛度还略低一点(当然现在的盛行程度现已越来越高了),可是咱们并不能够因此而...

XSS终结者-CSP理论与实践

 CSP 全称为 Content Security Policy,即内容安全战略。首要以白名单的方法装备可信任的内容来历,在网页中,能够使白名单中的内容正常履行(包括 JS,CSS,Image 等等)...

向Web服务器投递恶意挖矿软件的蠕虫-黑客接单平台

实践中,面向公共互联网供给服务的体系或服务器,都是处于边际方位的。所以无论是物联网设备仍是企业级服务器,只要能被外界访问到,那就会无时无刻被进犯。 最近,咱们发现了一种进犯方法,多个公司Apache...

代码审计系列第二节——SQL注入

 经过第一节给咱们简略介绍了一下代码审计简略运用,那么第二节,咱们来介绍一下,使用东西和手艺进行缝隙发掘。为了咱们能对sql注入有更好的学习和收成。引荐咱们几个学习php根底的网站 Imooc.co...

又见陈旧的Typosquatting进犯:这次侵略Npm盗取开发者身份凭据

有些进犯方式尽管听起来很天真,但有时分却也能够收效,比方typosquatting进犯——咱们前次看到这种进犯是在上一年6月份,这自身也是种很陈旧的进犯方式。 所谓的typosquatting,主要...

恣意用户暗码重置(五):重置凭据可暴破

在逻辑缝隙中,恣意用户暗码重置最为常见,或许出现在新用户注册页面,也或许是用户登录后重置暗码的页面,或许用户忘掉暗码时的暗码找回页面,其间,暗码找回功用是重灾区。我把日常浸透过程中遇到的事例作了缝隙成...