高校校园网Web应用信息泄露问题分析与对策
2018-10-17陈永忠
◆陈永忠
高校校园网Web应用信息泄露问题分析与对策
◆陈永忠
(南京农业大学图书与信息中心 江苏 210095)
高校网络信息化建设发展迅速,各类Web应用服务不断推出,涉及师生教学、科研服务和校务管理的方方面面,在信息应用便捷高效的同时,信息安全威胁不容忽视,网络攻击、信息泄露、网络诈骗等安全问题层出不穷。本文结合实际案例列举了校园网常见信息泄露问题的表现,分析其产生的主客观原因,提出解决方案与防范对策,以促进校园网络信息安全建设迈上新台阶。
校园网;Web应用;信息泄露;信息安全
0 引言
互联网、云计算技术飞速发展,信息爆炸的大数据时代如期而至。网络的开放性、自由性,Web应用服务的智能化、互动性特点,使得人们通过互联网检索、收集、分析各类信息非常方便。但是,并非所有信息都是可自由获取的,有的是需要授权才能访问的,如何保护这类信息不被泄露,已成为日益突出的网络信息安全问题。高校在开展校园信息化建设中,网络基础设施不断完善,服务器、存储等信息服务硬件陆续搭建,网站、信息系统、应用服务等软件平台逐步丰富,通过网络实现了宣传展示、教学交流、科研申报、办公管理等。随着校园网络信息化程度的提高,网络信息安全问题也日趋严峻。网站、系统漏洞被挖出、敏感信息遭泄露等安全问题频繁出现,校园网已成为不法分子攫取不法收益的“温床”。大数据时代里,信息泄露问题更加普遍,信息泄露和隐私安全已成为高校网络安全管理所面临的最主要问题。据监测统计,57%的数据窃取是通过Web攻击实现的,不经意的信息片段,一旦被攻击者收集归并,攻击入侵,可能造成重要信息被泄露。因此,分析校园网络信息泄露问题产生的原因,对做好校园网络安全防护预警,提高应急响应效率,加强安全管理十分重要。
1 Web应用信息泄露问题在校园网中的表现
1.1 Web应用安全问题的由来
Web 应用主要基于网络层的 IP、传输层的 TCP 和应用层的HTTP/HTTPS 等一系列协议来实现,凡是与这些协议相关的安全问题都可能影响 Web 应用的安全性。由于 TCP/IP 协议栈自身的不健壮性以及应用开发过程中的设计缺陷人为因素,导致 Web 应用从实现机制上缺乏必要的可靠性和安全性。Web 攻击正是利用Web服务应用程序存在的缺陷、服务器操作系统的漏洞、僵尸网络环境等发起窃取数据、假冒诈骗、篡改信息、拒绝服务等攻击行为,造成对方遭受损失、系统破坏、影响恶劣。校园网中各类网站、系统开发人员技术能力不同,有的是在校师生利用业余时间设计编程,缺乏规范标准,后续技术维护无法跟上,管理散乱,隐患无穷。
Web应用防护系统(Web Application Firewall,简称: WAF是基于应用层的防护设备,可有效检测和拦截来自互联网对局域网内网站和应用系统的各类攻击。从学校部署的WAF所产生的大量告警日志统计结果看,2017年全年我校校园网共监测拦截针对Web应用的各类攻击214万次,平均每月近18万次。攻击量比较大的有11类:信息泄露、SQL注入、脚本执行、请求伪造、脚本上传、缓冲区溢出、XSS跨站攻击、脚本木马、恶意扫描、命令执行、可疑入侵(见图1)。其中,信息泄露类型的攻击量竟高达200万次以上。
图1 Web应用攻击量分类年度统计
1.2 Web应用信息泄露的类型
WAF根据攻击行为特征对信息泄露类型的攻击可检测出20种攻击子类,具体包括:Apache Tomcat管理页面未授权访问、Dedecms Mysql查询错误文件未授权访问、ASP/JSP源码泄露输出、HTTP请求头部包含Translate字段、IIS信息泄露、JBoss管理页面未授权访问、Microsoft .NET应用程序错误信息、PHPCMS文件读取、phpmyadmin信息泄露、phpinfo信息泄露、PHP服务信息泄露、SouthidcEditor编辑器管理页面未授权访问、SQL信息泄露、TRS信息泄露、Windows下访问注册表操作、访问/读取/包含关键文件、访问Linux系统关键文件、禁止访问phpmyadmin页面、可疑的文件包含、下载关键文件。
通过对攻击子类的归类统计分析,结合笔者日常工作中检测发现与处置的各类安全威胁事件,总结出以下几类校园网络信息泄露常见的表现类型:
(1)浏览器Cookie泄露用户信息
Cookie是一种Web服务器通过浏览器在访问者的硬盘上存储信息的手段,一般以文本的形式存储在浏览器的临时文件中,目的在于帮助网站记忆用户之前进行的操作或用户名密码等,提高访问速度,统计用户个人资料以实现各种各样的个性化服务。由于Cookie传递的开放性,在服务器和客户端之间明文传送或传送经过MD5简单加密的Cookie文件,其中保存了用户账户ID、密码之类,一旦被截获、盗用可造成Cookie欺骗,即冒用用户身份登录系统获取敏感信息,或者直接明文读取Cookie信息从而泄露用户隐私。
2017年11月,经检测学校某工作服务系统登录页面存在水平越权访问漏洞,攻击者可通过渗透工具截获用户账户的Cookie信息,修改其中参数后可冒充其他用户登录系统,越权查看系统内他人的个人信息。
由于Cookie成了用户整个身份的代替,其安全性决定了整个系统的安全性。解决的方法包括通过加密客户端Cookie,写入随机值或主机参数;客户端Cookie与服务器端Session配合使用;及时清空Cookie等方法。我校对Web应用系统采用接入统一身份认证方式取代系统原登录认证入口,并应用了SSL数字证书加密技术,限定用户唯一登录账号,对登录信息加密传输与存储,规范管理,保障安全。
(2)Web服务网站敏感文件可访问读取或下载,泄露数据库信息
PHPInfo()函数主要用于网站建设过程中测试搭建的PHP环境是否正确,网站管理员在测试完毕后如未及时删除带有该函数的测试文件,当攻击者成功探查访问到这些测试页面时,会通过浏览器输出的方式暴露服务器的配置、路径等敏感信息。常见的测试文件有phpinfo.php、1.php和test.php。网站管理员修改配置、升级备份后,有可能把配置、备份文件留在网站目录中,如未采取访问控制措施,网站存在遍历目录、任意文件下载漏洞,攻击者可以通过恶意提交大量“../”之类的目录跳转来绕过服务器的安全限制,遍历服务器上的任意文件,下载配置文件、备份文件甚至网站源代码,甚至执行系统命令。上述文件通常包含网站结构信息、数据库信息、管理员账号密码等,一旦被下载将导致敏感重要信息泄露。2017年7月,某机关处室的旧版网站被检测出存在遍历目录漏洞,网站目录下的备份文件压缩包可被下载,其中保存了后台数据库管理员账号密码。
安全的做法是配置文件等敏感文件应集中存放在授权访问的文件夹下,备份文件应另存他处。
(3)Web服务响应页面异常,报错信息中泄露数据库版本、文件路径等信息
网站程序员为方便调试程序,通常会启用页面运行错误反馈功能,可及时了解程序运行故障原因,但又可被攻击者利用来获取网站开发框架、语言、数据库名称、版本和文件路径等信息,恶意攻击者可利用程序版本信息寻找对应的漏洞,利用本地路径信息对目标服务器实施进一步的攻击。如图2某Web应用页面访问异常报错信息泄露了服务器.NET框架的版本、开发语言ASP.NET的版本。
图2 Web应用程序运行错误后泄露开发环境信息
解决的方法是关闭程序调试信息显示功能,重定向到指定的安全页面。如修改 php.ini 文件,设置 expose_php = Off;修改apache的httpd.conf 设置:ServerSignature Off和ServerTokens Prod;修改nginx.conf,设置server_tokens off,均可以隐藏服务器的响应头“X-Powered-By”信息。
(4)Web服务程序有SQL注入漏洞,泄露数据库信息
SQL(Structured Query Language,结构化查询语言)是一种最常使用的用于存取 Web 数据以及进行 Web 数据查询、更新和管理的数据库查询和程序设计语言,是实现 Web 客户端与数据库服务器信息交互的重要工具。由于Web应用程序未对用户输入数据的合法性进行判断,从而存在非法获取数据库敏感数据的安全隐患,攻击者可将恶意代码注入“字符串”,使其得以在数据库系统上执行,实现攻击目的。常见的攻击手段有刷库、拖库、撞库。
在对校园网网站、系统安全漏洞扫描检测中发现,高危漏洞中SQL注入漏洞比较常见。2017年校内检测通知整改的事件中,SQL注入漏洞类占48%。如涉及学生资助事务管理的网站系统含有SQL注入漏洞,攻击者可利用漏洞入侵并获取含学生个人身份证号码、家庭住址等敏感信息。
解决的方法是修改程序代码,严格过滤用户输入非法字符,修复封堵漏洞。
(5)Web服务或服务器主机管理登录弱口令,泄露敏感信息
一旦存在管理登录弱口令,网站系统或服务器管理员账户密码很容易被破解,系统遭入侵,导致信息泄露。如果服务器管理登录使用了弱口令,而所安装MySQL数据库管理用户又是默认空密码,只要服务器登录口令被破解后,即可轻易获取数据库信息。2017年3月,学校图书馆汇文图书管理系统的OPAC查询Web页面被检测存在弱口令问题,账号密码同为学生学号可成功登录,从而能够获取到包括学生身份号码在内的敏感信息。
服务器、数据库管理登录密码设置应符合安全强壮的复杂度要求,加强安全管理。
(6)网站公示信息泄露个人隐私
学生奖、助、贷费用的申请审批有名单在线公示的环节,其中可能公布了学生个人身份证号、家庭住址等隐私信息。这在前些年较为常见,近几年随着国家针对个人隐私信息保护法律法规的完善出台,监管宣传力度的加大,各类公示信息中都注意个人敏感信息的特别处理或回避。2017年12月学校某学院网站被通报存在泄露学生身份证号码的页面,经查为2014年学院奖励学生的公示名单。
敏感信息如个人身份证号码、家庭住址等需经特殊处理后才能公示。
(7)Web程序设计缺陷,登录身份认证机制可被绕过,导致信息泄露
由于用户身份认证机制设计不健全,未加登录验证码,或未对用户ID进行确认,造成非法登录或越权访问,获取其他用户信息或其他数据信息。
2017年12月某学院网站被检测出后台管理登录认证机制存在设计缺陷,不仅密码复杂度未强制要求,也没有验证码校验,攻击者可使用“SQL万能密码”绕过后以管理员身份成功登录,执行网站管理权限的任意操作。
可采用统一身份认证方式,增强系统登录验证机制,加密数据的传输与存储等解决此类安全问题。
(8)Web中间件、Web服务程序管理页面未授权访问,易被植入木马,泄露信息
Web服务中间件往往存在默认管理控制台,Apache、Weblogic等的Web管理控制台通常有默认的用户名和密码,如未修改,或存在弱口令,很容易被攻击者利用入侵系统,上传木马程序,窃取敏感信息。Apache还曾被爆多个版本存在出血漏洞(OptionsBleed),可泄露服务器内存中的敏感信息。这些隐患通常成为网络攻击者尝试入侵的首要途径,在WAF防护日志中存在大量此类攻击尝试的告警记录便可见一斑。
及时修复存在的漏洞,更改Web管理控制台默认的用户名和密码,防止网站系统被入侵挂马。
2 Web应用信息泄露问题存在的主客观原因分析与对策措施
2.1 主客观原因分析
对上述几种信息泄露方式的形成原因进行归类分析,可以看出:程序运行环境缺陷等纯客观因素如浏览器Cookie安全问题导致占10%,程序设计缺陷如登录验证机制不完善、有SQL注入漏洞等以客观因素为主占20%,配置不当如测试、管理控制台未强制授权认证、网站目录可遍历、敏感文件可下载、页面响应异常报错信息泄露敏感信息等以主观因素为主占50%,管理缺失如弱口令、公示敏感信息等纯主观因素占20%。因此,涉及主观因素的信息泄露问题的比例竟达到70%。可见,管理不到位,安全意识薄弱是造成校园信息泄露的主要原因。
“三分技术,七分管理”是网络安全领域的一句至理名言。在互联网应用中,用户信息以何种方式存放于何处对用户来说都是透明的,哪些是可以开放共享的,哪些是需要授权访问的,必须分清理顺,通过现有技术措施进行安全管理。先进的技术保证,是校园网安全建设的前提,入侵检测与防护技术、访问控制与身份认证技术、漏洞扫描技术、行为审计技术等适当地应用,可在技术层面构筑安全防线。规范的管理支持,是校园网安全运行的必要条件。建议通过以下管理措施来提高管理效果。
2.2 对策措施建议
(1)管理措施一
制定总体安全管理策略和具体安全管理制度,明确责任归属,形成学校领导、信息中心指导、院系主导的安全分级管理体系,责任层层落实、风险步步化解。如建立以校级领导挂帅的网络信息安全领导小组,制定网络管理、网站管理、系统管理、密码管理等系列管理制度,各单位主要负责人与学校签署网络信息安全责任承诺书等。
(2)管理措施二
确立具体可操作的安全管理工作规范,严格遵照执行,建立漏洞管理闭环机制、监测预警协作机制,形成监控、预警、检测、加固环环相扣的网络安全管控机制,通过严密的管理措施,弥补技术与能力的短板。如按计划及时更新升级操作系统和Web应用软件;制定主机操作系统、Web服务中间件的安全配置基线,定期检查加固系统和应用运行环境;定期集中扫描检测安全漏洞,及时通知并跟踪整改进度;与官方和民间安全监测机构加强沟通协作,及时获取威胁、漏洞信息,提高预警与应急响应工作效率。
(3)管理措施三
加强网络信息安全知识普及、宣传培训、技能学习,提升管理人员的业务能力,提高校园网用户的安全防护意识。根据人员属性分层次开展网络安全知识技能培训,使建网的、管网的、用网的明确各自需要掌握的安全原则、应承担的安全责任。
3 结束语
在互联网几乎无处不在的信息时代,校园网作为其中的一部分,不可避免地会受到网络安全威胁的影响。校园信息化的建设运行,必须考虑防入侵、防攻击、防止信息泄露。充分运用适用的安全技术,建立和完善有效的安全管理制度,落实安全操作规范,才能使校园网络信息安全管理实现可防、可控,才能在日益复杂严峻的网络安全环境中建立稳固、主动的安全保障防线。
[1]程予希,吴兵,束红. 高校校园网安全现状调研及对策分析[J].网络安全技术与应用,2018.
[2]郑添健.大数据时代高校网络安全保障体系分析[J].信息与电脑,2017.
[3]李雪.Web安全:技术与危机并进[J].信息安全与通信保密,2010.
[4]李必云,石俊萍.Web攻击及安全防护技术研究[J].电脑知识与技术,2009.
[5]李馥娟.从频发的信息泄露事件分析Web服务安全[J].网络信息安全,2012.
