運(yùn)維安全作為企業(yè)安全保障的基石，特別是互聯(lián)網(wǎng)企業(yè)，它不同于Web安全、移動(dòng)安全、或者業(yè)務(wù)安全，因?yàn)檫\(yùn)維安全位于最底層，或涉及到服務(wù)器、網(wǎng)絡(luò)設(shè)備?；A(chǔ)應(yīng)用等，一旦出現(xiàn)安全問(wèn)題，會(huì)直接威脅到服務(wù)器的安全。而在企業(yè)日常運(yùn)營(yíng)中，運(yùn)維安全事件的出現(xiàn)通常預(yù)示著這個(gè)企業(yè)的安全規(guī)范、流程有問(wèn)題，這種情況下就會(huì)不止一臺(tái)機(jī)器有同樣的漏洞，會(huì)是一大片，甚至波及整個(gè)公司的核心業(yè)務(wù)。

分享6個(gè)經(jīng)典的與運(yùn)維安全相關(guān)的漏洞：

一次成功的漫游京東內(nèi)部網(wǎng)絡(luò)的過(guò)程（由一個(gè)開發(fā)人員失誤導(dǎo)致）

首先研發(fā)人員將公司的代碼發(fā)布到第三方代碼托管平臺(tái)，例如GitHub。

其次代碼的某些配置里面有發(fā)郵件的功能，并且調(diào)用了公司的郵箱。

公司的郵箱與VPN的認(rèn)證是互通的，且VPN沒有雙因素驗(yàn)證。

惡意用戶通過(guò)這個(gè)賬號(hào)登陸了企業(yè)的VPN，從而達(dá)到漫游內(nèi)網(wǎng)的過(guò)程。

我是如何拿到高德7個(gè)vcenter和漫游內(nèi)網(wǎng)的

首先研發(fā)人員將公司的代碼發(fā)布到第三方代碼托管平臺(tái)，例如GitHub。

其次代碼的某些配置里面有發(fā)郵件的功能，并且調(diào)用了公司的郵箱。

郵箱沒有對(duì)通訊錄遍歷功能進(jìn)行限制，導(dǎo)致遍歷通訊錄

對(duì)所有的用戶進(jìn)行一次弱口令的洗劫（參考圖一的弱口令），是用Burpsuite破解（簡(jiǎn)稱：BP）

得到一個(gè)運(yùn)維或者運(yùn)維組員工的郵箱，在郵件里面找到了明文密碼.txt

百度某站漏洞導(dǎo)致敏感信息泄露Getshell（涉及至少66W+的用戶數(shù)據(jù)含密碼可內(nèi)網(wǎng)）

上線前沒有進(jìn)行安全檢查，.git目錄外泄

檢出源代碼，得到UC_KEY

利用UC_KEY得到webshell

通過(guò)webshell內(nèi)網(wǎng)

搜狐的zabbix,可導(dǎo)致內(nèi)網(wǎng)滲透

zabbix默認(rèn)口令（admin/zabbix）

執(zhí)行正常命令測(cè)試命令執(zhí)行模塊

執(zhí)行惡意命令使服務(wù)器反連到你的機(jī)器

得到zabbix權(quán)限的shell

提權(quán)的提權(quán)，內(nèi)網(wǎng)的內(nèi)網(wǎng)

558同城某業(yè)務(wù)多個(gè)站點(diǎn)存在弱口令導(dǎo)致Getshell（內(nèi)網(wǎng)小漫游）

Tomcat業(yè)務(wù)manager模塊存在并開啟

配置了tomcat-users.xml，并且存在弱口令

上傳war包得到webshell

提權(quán)的提權(quán)，內(nèi)網(wǎng)的內(nèi)網(wǎng)

神器而已之奇虎360某站GETSHELL內(nèi)網(wǎng)漫游到webscan了

網(wǎng)站備份文件放在WEB根目錄下，并且能被用戶下載

網(wǎng)站代碼存在漏洞

Shell之后漫游內(nèi)網(wǎng)

運(yùn)維管理實(shí)踐一般包含以下9個(gè)內(nèi)容：

1.信息安全治理與風(fēng)險(xiǎn)管理

2.物理安全

3.身份與訪問(wèn)控制管理

4.主機(jī)安全

5.通信與網(wǎng)絡(luò)安全

6.災(zāi)難恢復(fù)計(jì)劃與業(yè)務(wù)連續(xù)性

7.安全運(yùn)營(yíng)：部門角色及所承擔(dān)責(zé)任

8.安全配置管理：安全上線步驟、數(shù)據(jù)泄露防護(hù)（DLP）脆弱性掃描與測(cè)試

9.運(yùn)營(yíng)安全參考標(biāo)準(zhǔn)與制度：包含ISO27001、行政性安全管理制度示例等內(nèi)容

安全是一個(gè)整體，保證安全不在于地方有多強(qiáng)大，而是要找到自己薄弱的地方。不要片面對(duì)待安全，即認(rèn)為不出安全事故就是天下太平，一定要有危機(jī)意識(shí)。

完整內(nèi)容>>>>>運(yùn)維安全管理必修課

課程地址：https://www.aqniukt.com/course/4502