本文以一个故事的形式,来看看如何集齐OWASP Top 10“漏洞勋章”。
本故事纯属虚构,故事的主人公是A同学,一个爱好自己“折腾”的“技术爱好者”。
某一天,A同学想,“我应该把我平常学习的技术知识分享出去,这样能跟人交流学习,还能构建技术影响力”。思来想去,觉得博客是个好方式,于是决定搭建一个博客站点。
现在的需求是快,重点是博客内容,而不是搭建过程,因此A同学决定搭建一个静态博客,快速方便。于是使用静态博客模版搭建了一个博客。
过了一段时间,A同学觉得“没有留言的博客没有灵魂”,想要加个留言功能。刚好自己会点编程,于是A同学决定自己来做,刚好锻炼一下编程能力。
A同学决定做个简单的功能,填个邮箱,填个名字,就可以留言。由于A同学刚学SQL,还不是很熟练,于是打开搜索引擎,搜“SQL教程”,发现有样例,照着样例自己实现了一遍。
过了几天,A同学的博客被黑了,博客内容也被改成广告了。咋办?
刚好A同学有个做安全的朋友B,于是A同学赶紧联系朋友B,让他帮忙看看怎么办,同时查一下是什么问题。
那么问题来了,A同学并没有记录日志,没有东西可以分析。
第一块“勋章”获得。
A09:2021 – Security Logging and Monitoring Failures
安全日志和监控失效。主要指系统需要记录日志,并且还需要对关键操作记录日志,比如重要的增删改查操作,登录操作等。(关于日志,需要注意不要在日志中记录敏感信息,如PII相关信息,这一点是记录日志时容易出问题的点。)
由于A同学没有记录日志,因此缺少可以用来分析的内容,没办法分析被黑的原因。
由于没有日志,博客内容本地也有备份,两位同学决定,删除之后,重新部署。不过这次增加了日志记录的功能。由于博客内容被改了,B同学建议,数据库操作相关部分也做一些日志记录,这样可以查查是不是操作数据库的问题。
新系统,暂且定义为0.2版本,上线了。这几天风平浪静,没有变化。又过了几天,当A同学访问博客时,发现首页弹了个窗,写着”hacked by XXX”。同时有博客也被改掉了。A同学赶紧找到B同学,B同学访问首页,说“你的网站有XSS啊”。同时下载了记录的日志,分析之后,发现博客被改,是因为网站存在SQL注入漏洞,被攻击者获取了权限,然后把文章修改了。
A03:2021 – Injection
注入漏洞。是指输入没有验证,或者验证存在缺陷,导致恶意输入被执行。
XSS指跨站脚本攻击,以上面的案例为例,用户留言的时候,输入的`<script>alert(“hacked by XXX”)</script>`被存储之后,当其他用户浏览时,这段内容被当作脚本执行了,如果脚本包含其他恶意操作,则会带来其他危害。
SQL注入。指用户输入的内容被当作SQL命令被执行。当用户留言时,会需要通过执行SQL命令将数据存储到数据库中,由于未使用更安全的写法,而是直接拼接了SQL语句,导致用户的输入也被拼接到SQL语句中被当作语句执行了,这样用户就可以通过拼接执行自定义的SQL语句,进而获取权限。
找到问题之后,A同学开始升级。对存在XSS的漏洞点,输入和输出都做了相应的格式判断和转义。对于SQL注入,改为参数化查询的方式进行数据库操作。 “看来网上的参考样例也不一定是安全的写法”,A同学感叹道。 修改之后,v0.3版本上线。
安全的日子没有过多久,博客又被黑了。检查了Web日志之后,没有看到明显的攻击记录。B有点纳闷,问题会在哪里呢?也许不是直接通过web攻击的。既然不是web,会不会是数据库?幸好数据库也有日志。查看之后,B惊讶地发现,root用户有多次非本地登录的记录,同时查看配置,发现root用户的密码也是root,默认密码没有修改。同时A在配置数据库时,不小心将数据库开放在公网ip上了,这样就可以直接在公网访问到。同时看到数据库记录中有修改博客的记录。
A05:2021 – Security Misconfiguration
Security Misconfiguration。安全配置错误。指缺少一些安全配置,或者保留了不安全的配置,如默认账号密码没有修改,服务器错误地开放在公网上,缺少安全头配置等。
由于A的数据库直接开放在公网ip上,可以被攻击者访问到,同时由于没有修改默认密码,直接就被登录成功,攻击者后续可对数据库进行操作,同时利用数据库特性,尝试获取更多权限。
检查之后,发现没有被进一步利用,修改了数据库密码,只监听在本地之后,系统继续上线。
“现在全网扫描的特别多,你这种默认密码+开放公网的情况,是很容易被攻击的,有些会窃取数据库,然后加密勒索,有些还会卖数据。前段时间就有发生这种案例,很重要的数据”,B说道。
过了一段时间之后,留言评论的人多了,同时出现一个问题,就是有人冒名留言,导致留言错乱,影响阅读。A想,要不让大家注册用户之后,才能留言。
经过一段时间的改造之后,带有用户功能的版本上线了,v0.4。上线之后,一切正常。 但是没过多久,又出现了冒名留言的问题,怎么回事?
A同学再次找到B同学。这次,分析日志,没有找到问题,确实是有人在进行留言操作。于是他们决定分析一下代码,通过对代码的分析,B发现,在留言的时候,会传入用户的id去查询用户的名字,而id参数是在Cookie中传入的,并且id比较简单,就是自然数,用户修改id,就可以在留言的时候,伪造成另外一个人留言。
A01:2021 – Broken Access Control
Broken Access Control,不完备的访问控制。指用户可以以超出自己权限范围的权限去执行操作。比如,用户A可以查看、修改用户B的私有信息,普通用户可以操作管理员的功能等。
由于留言功能未检测好用户权限,导致修改参数之后,可以伪造成其他用户。
更新完代码之后。A想着,网站不好看,要不改改前端吧。A搜了一下流行的前端框架,决定使用Ant Design,大厂维护,应该不错。又经过一段时间的开发,代码写好了。上线!
这一次改动不多,也没有发生安全问题,时间到了十二月份,快到月末的时候,A又去浏览了自己的网站,发现,“网站的按钮为啥被狗啃了一样”,A很惊讶,觉得干这种事的人是不是很无聊。问了朋友,朋友说,你去网上搜一下”AntDesign彩蛋”,不搜不知道,一搜吓一跳。各种各样的留言,有说“政府客户觉得他们开发的项目留了后门,停了项目”,还有说“刚到公司,要跑路了”。没想到,原来是一个“彩蛋”,现在闹得满城风雨。
A06:2021 – Vulnerable and Outdated Components
Vulnerable and Outdated Components,指使用了不安全的组件或者过时的组件。由于现代软件开发,需要集成各种组件,由于引用层层递归,因而软件供应链容易引入未知的安全风险。
A由于使用了Ant Design,框架里面的改动,A并不能十分清楚,而引入的“彩蛋”就闹的沸沸扬扬。如果不是无实际危害的改动,那会怎样?现实中就有一些组件库被污染,引入之后,会窃取系统中的Secret,进一步利用。
A想着,还是换个框架,谁知道还有没有其他“彩蛋”。刚好快过年了,换个新面貌。
过完了一个祥和的春节,A发现自己的网站又被篡改了,这是咋回事,被盯上了吗?
赶紧找到B同学,分析分析日志,发现后台登录接口有非常多的访问记录,其中还有一条是跳转到登录成功了的记录。这条记录发生在大年三十晚上,A想,“谁这么无聊,不去看春晚,居然来黑自己的网站。我的密码这么复杂,居然能被猜到”。B说,你是不是“一个密码走天下”?A说“是呀,所有网站我都用的一个密码”。B说,“不好,赶紧把密码改掉,不同网站使用不同密码,如果你记不住,还可以使用密码管理工具来帮助自己生成复杂密码。听说最近C**N的数据库泄漏了,它们还是明文存储的密码,你不会刚好注册过吧”。A说,“我刚注册不久,因为它老是弹窗让注册。那他怎么知道我后台登录的名字呢?我可是用的自己的名字”。B说,“你的网站,发表博客之后,不是会展示发表的用户名吗?搜集一下,然后结合社工库泄漏的密码,就可能登录成功。加上你也没有使用双因素认证,知道你的密码之后,就登录成功了。” A惊出一身冷汗,“不会把我的银行卡余额给转走吧!还有我的外卖APP里面充值的奶茶钱。”
A07:2021 – Identification and Authentication Failures
Identification and Authentication Failures,如默认弱口令,登录接口暴力破解,缺少双因素验证,在URL中暴露session id。
由于A的后台接口没有限制访问,对外开放,并且登录接口还能被多次尝试登录、暴力破解,并且由于缺少双因素认证,密码泄漏之后,就被登录成功了。
改好密码,添加完双因素认证之后,更新了网站。
由于这次修改的文章比较多,清理起来比较麻烦。A想着能不能从数据库进行清理。但是由于上次数据库暴露在公网出了问题,他决定使用web端的数据库管理,从网上找了一个工具,上传到服务器,清理完数据库。网站再次上线。
运气不好的时候,真是喝凉水也塞牙。因为没有过多久,网站又被黑了。排查了其他因素之后,范围被缩小到新安装的数据库管理工具上了。不看不知道,一看再吓一跳。数据库管理工具的目录下面多了好几个文件。“这些文件是干什么的,哪里来的?”之前下载的代码没有删除,一顿分析之后,发现之前下载的代码,有个自动更新功能,而由于不是从官方下载的,也没有校验哈希,里面更新的地址被篡改了,所以刚开始是正常工作的,某个时候就会更新下载恶意文件。
A08:2021 – Software and Data Integrity Failures
Software and Data Integrity Failures,下载的代码未做完整性校验,不安全的反序列化,更新未校验等。
由于下载的代码没做完整性校验,是被篡改之后的代码,导致A的网站再一次被黑。
赶紧清理,幸好这个后门没有做更多坏事,只是用来SEO了。吃一堑,长一智。以后下载还得从官方下载,并且还要校验。 休息了一段时间,A想,最近新博客有点少,要不增加一个可以爬取其他地址的功能。比如你在其他地方写了博客,用这个功能,就可以把其他博客爬过来,就不用重新手敲了。这个功能一上,那不是流量蹭蹭蹭往上涨。说写就写,从白天敲到黑夜,一顿噼里啪啦的键盘敲击之后,功能写好了。就是你在写博客的时候,可以输入另外的博客地址,可以将对应文章转换过来。
又一次,A的博客站点又没有逃过被黑的宿命。 “一定是新代码的问题。” B同学分析日志,发现有不少导入博客的请求,其中几条抓住了他的眼球。
/importblog?url=file:///etc/passwd
/importblog?url=http://169.254.169.254/v2/credentials/<UUID>
/importblog?url=http://169.254.169.254/latest/user-data/iam/security-credentials/
就在这时,收到了A*S的告警邮件,服务器被用来挖矿了。
A10:2021 – Server-Side Request Forgery (SSRF)
Server-Side Request Forgery (SSRF),服务端未校验好用户的输入,导致用户可以从服务器发出请求,比如可以绕过来源校验,或者访问内网等。
由于A增加的功能会从服务器向外发送请求,并且没有校验用户输入的地址,导致可以以服务器的身份向外发送请求。由于云服务器提供一些特殊的管理地址,结合SSRF,攻击者可以获取到这些Secret信息。
之前被黑主要影响当前网站,这次直接就影响A*S的账单了。这个教训深刻。
某一个周末,A带着电脑去找B打游戏,结果发现B对着一个天线在鼓捣,在命令行里一顿敲击。
既然B没时间打游戏,那A就决定登录网站后台看看。刚登陆一会,B就说,你的密码是不是*6aCcdaE13eff7i3l9N4o4qrr4S8t12vx)。A十分惊讶,“这么复杂的密码你都知道,你咋知道的?”B说,“这个很简单,你是不是刚登录了后台?”“是”。“你是不是连了我的Wifi?” “是”。“还有一点,你的网站是HTTP的,没有使用HTTPS,并且你的密码也没有加密,直接明文传输的,然后就被我抓到了。” A嘴上说着“厉害”,心里想着“下次不能连你家Wifi了,还是用自己的流量”。
A02:2021 – Cryptographic Failures
Cryptographic Failures,加密失效。例如通过HTTP传输敏感信息,使用的加密算法版本过低,存在安全风险,tls版本较低等。
由于A网站使用的HTTP,传输的整个链路上都可以明文看到,如果存在网络嗅探或者中间人工具,传输的重要信息就会泄漏。
同时B说,你的博客站点是自己一点一点改出来的,没有系统的规划,也没有遵循良好的安全实践,所以问题不少,要不你学一下Threat Modeling。
A04:2021 – Insecure Design
Insecure Design,不安全的设计。比如,未遵循业界最佳安全实践,未进行威胁建模,导致系统设计中存在缺陷。
由于A的网站是自己“拍脑袋”拍出来的,并没有考虑可能存在的安全风险,所以上线之后,经常被黑。
回家之后,A连上自己的Wifi,学习了一下怎么给网站添加https证书。同时搜索了Threat Modeling。开始了新一轮的学习!
最终,A获得了完整的OWASP Top 10“勋章”!
OWASP,全称Open Web Application Security Project,是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究,发布有各种安全相关的框架和工具。OWASP Top 10 主要是由安全专家选出当前阶段最严重的一些安全风险或漏洞类型。可作为分析Web应用安全漏洞的参考资料。目前最新为2021版,上一个版本是2017版,下图可以看到其中的变化。
参考链接 https://owasp.org/www-project-top-ten/