公民数据满天飞的如今，如何守护核心数据安全

极牛技术实践分享活动

极牛技术实践分享系列活动是极牛联合顶级VC、技术专家，为企业、技术人提供的一种系统的线上技术分享活动。
每期不一样的技术主题，和行业专家深度探讨，专一解决技术实践难点，推进技术创新，每两周的周三20点正式开课。欢迎各个机构、企业、行业专家、技术人报名参加。

本期大纲
1.介绍黑客入侵的常见思路、手段、目的。
2.经过大量案例分析企业是在哪些关键环节出了疏漏致使发生了入侵事件。

嘉宾介绍
陈宇森，北京长亭科技有限公司联合创始人、总裁
免试保送进入浙江大学计算机系，美国西北大学访问学者，从学生时代开始进入网络安全攻防领域，积攒多年实战经验。

曾组建安全攻防团队横扫国内网络安全竞赛，获奖无数，其中包括360杯大学生安全竞赛总决赛冠军、西电网络攻防竞赛冠军、首都网络信息安全日攻防竞赛冠军等。

曾在阿里巴巴安全技术峰会作技术演讲，美国 BlackHat 世界黑帽大会作技术展现等，是年轻一代网络安全人才中不可多得的领军人物。

本期技术分享从陈宇森老师的自我介绍开始，为咱们详细的介绍了黑客入侵的常见思路、手段、目的，并例举大量鲜活的案例，进行了精彩的剖析。

现实生活中的入侵无处不在，好比前一段yahoo由于数据泄露，verizon把对其的收购价格下降了10亿美金，像yahoo这样的大公司，雇佣了不少安全人员，仍是难逃一劫，那么小公司该从哪些地方作起来保护自身的数据安全呢？孙子兵法里面有句话是说，知己知彼，百战不殆，想要保护本身，得首先知道攻击者是怎么入侵的。

应用安全
目前的大多数公司都有着对外的Web应用，并且，不少对内的管理，OA、协同办公、Email、文件共享等等，都是一系列的Web应用。

开发中最多的两类安全问题，一类叫作SQL注入，一类叫作XSS跨站脚本攻击。剩下还有不少不少细分的攻击种类，正是由于Web攻击的多样化，防御起来也不是很简单就能够解决的。
另外Web攻击的入门门槛也很低，不少时候，所谓的脚本小子拿到合适的工具，就能发起Web攻击，获取网站数据，乃至长期控制你的服务器。
那么SQL注入是什么？

而后若是有人来构造恶意请求。

最终mysql拿到的语句为：
select* from users where (email = 'attack@abc.com' and password = '' or '1'='1');
是永真的，因而构成了任意用户登陆。另外 SQL注入还能致使拖库，乃至服务器权限被获取等严重后果。当年流传的各类开房数据，不少泄露的公民隐私数据，都是经过这种攻击手法拿到的。
以前某个国内的第三方漏洞平台上出现过这样的漏洞：

669个大学......因此这也是为何如今公民数据满天飞的缘由，国内互联网的安全水平平均一下的话，都不及格，应用安全情况大抵是这样的。
业务安全

这种业务安全的问题有时候藏的更深，更难发现这种业务安全的问题有时候藏的更深，更难发现。多是一个业务流程中的校验不严格，但能致使的后果却很恐怖。

好比找回密码问题，若是利用自动化脚本的话，能够遍历一个平台上的用户进行找回（遍历手机号、或者利用一些泄露数据中暴露出的真实用户邮箱做为用户名），登陆进去以后再把用户的信息爬下来，所形成的后果和拖库同样，十分危险。

运维安全

不应对外网开放的端口对外开放，让别人暴力尝试密码登陆进来了，好比22端口，3306端口。服务配置不当，好比以前也算是横扫互联网的redis未受权访问，致使能够盖.ssh/authorized_keys服务配置不当，好比以前也算是横扫互联网的redis未受权访问，致使能够覆盖.ssh/authorized_keys 配置信息泄露，好比用JAVA写网站，结果WEB.INF被别人下载走了，或者说config.php.bak这种东西放在了根目录。

还有就是备份文件，以前有次渗透进入国内某巨头互联网厂商，就是发现了他们一个业务的Web根目录放了一个wwwroot.tar.gz 下载下来以后分析源代码，找到漏洞，而后拿下服务器权限并进入了内网。固然了，最后把这个漏洞提交给了他们的SRC（Security Response Center）

如何解决运维问题

另外还有人员的问题，好比员工弱密码，开发一不当心把代码传到了github之类的，只能经过好的安全管理制度以及必定的惩罚制度来杜绝。

真实案例
首先放一些某个国内第三方漏洞平台的历史截图。

案例一：
漏洞标题：xx企业某处安全漏洞登录Shell服务器直入内网。
这样一个漏洞显然是很是严重的，但缘由倒是个很低级的错误。

一台服务器向公网暴露了22端口，并且仍是弱密码，使用 admin/123 便可登陆。由于测试人员属于白帽子（善意的黑客），点到为止了，若是这个入口被恶意黑客发现，长久控制并对内网进一步渗透，后果不堪设想。

案例二：
漏洞标题：xx企业某站命令执行getshell直入内网root

当年著名的shellshock漏洞，没有及时修复，致使黑客发现cgi，进行模糊测试后，直接获取到了服务器的权限。

案例三：
接下来讲一下xss漏洞能够形成什么样的危害。
漏洞标题：xx网某储存xss成功钓到管理cookie

虽然修改了昵称只获得一个能够对本身进行xss的页面，但这个页面是别人也能够访问的，而后能够诱使相关工做人员来点击这个页面。

而后就能够利用XSS获取到的cookie，来登陆别人的帐户。

都是一些比较老但很典型的案例，虽然这些问题已经修复了，但还有不少一样的问题不停地在各家互联网公司身上重现。

Q&A
Q1：A、B轮企业，如何增强企业信息安全？
A1：有一本很好的书，《互联网企业安全高级指南》，我在知乎上写过一个关于这个书的读书笔记https://zhuanlan.zhihu.com/p/...
对于A轮公司，个人建议是经过运维人员把一些基础的安全风险处理好，弱密码，不应开放的端口等，能够采用一些第三方的安全服务和产品。B轮的话在此基础上，能够招聘1-2名专职的安全人员。

Q2：通常有些业务场景，咱们使用数据库自增id进行网址访问，感受很不安全，想过改uuid能够又致使网址太长，有什么好的方法改进安全性吗？
A2：对uuid作一些截取，好比前16位之类的。能够本身跑一下 md5 或者 sha512之类的算法，我以为在能够接受的范围内没有碰撞。

Q3：好比如今的h5，好多咱们都基于ajax开发，别人访问网页源码，就能够看到连接，也很不安全，即便把代码打乱仍是有被探查的可能性，有什么好的方案吗？
A3：JS能够作必定程度的混淆，google一下应该有不少方案。一个是能够有个签名算法，好比id=1&sign=xxx id=2&sign=yyy，sign的算法只有你知道，就能防止别人遍历id了。

Q4：当发现被攻击或者入侵时，可使用哪些安全服务来应对？
A4：已经被入侵的话，首先应该第一时间了解受灾范围，并对相关日志进行备份。而后能够引入第三方的安全公司／人员来协助清理后门，还原攻击路径，乃至溯源，也能够对经济损失进行定量，而后报警。安全服务的话，如今不少公司都提供“应急响应”的服务，就是处理此类问题的。

联系讲师
北京长亭科技有限公司https://chaitin.cn/
北京长亭科技有限公司（简称长亭科技）是一家以技术为导向的安全公司，专一于解决互联网安全问题。长亭科技拥有技术水平顶尖的安全研究团队与技术研发团队，致力于发展新型网络安全技术，提升国内安全水平，接轨国际顶尖技术。

公司目前主营高度定制化的安全服务与安全产品，旨在经过发展新技术新方法，为企业提供有效的定制化安全解决方案，全面提升企业安全防护能力。对外的产品目前有基于智能语义分析的雷池Web应用防火墙、基于假装欺骗技术的内网威胁感知系统谛听。

结尾：＊此分享由长亭科技的的陈宇森在极牛线上技术分享群里所分享，有意加入的技术朋友，请在极牛公众号(ji-niu)里回复“技术分享”。