IT技術互動交流平台

大发11选5官网

作者︰佚名  發布日(ri)期︰2020-02-26 02:27:36


昨天的(de)文(wen)章說到(dao)員工行(xing)為難管控(kong)的(de)以下三個體(ti)現(xian)點,受到(dao)很多(duo)甲方安全(quan)運(yun)營者的(de)贊同。
1、濫用雲筆記及網(wang)盤
2、將(jiang)公司代碼存儲在(zai)Github、oschina、Bitbucket等(deng)。
3、員工企業郵箱(xiang)與外部個人賬號(hao)密碼一致(zhi)。
除了這(zhe)些,我們在(zai)人員安全(quan)檢測服務過程中(zhong)還發現(xian)很多(duo)這(zhe)方面(mian)的(de)問題,今天接著把這(zhe)些問題一一列出(chu)來,以便于我們後面(mian)說明怎麼(me)解決(jue),案例中(zhong)講到(dao)的(de)所有(you)xie)適露du)是絕對真實(shi)。
4、在(zai)郵件、QQ、釘(ding)釘(ding)等(deng)溝通工具中(zhong)直接發送密碼。
任何(he)地方發送或者存儲密碼等(deng)rang) 械de)東西,都(du)有(you)很大可能(neng)被人搞走,光(guang)搞掉目(mu)標的(de)郵箱(xiang)或者QQ,就(jiu)有(you)一只手都(du)數(shu)不過來的(de)方式。所以把密碼、私鑰、敏感報告這(zhe)些東西直接明文(wen)發送,是我們這(zhe)些搞人員安全(quan)測試的(de)人最喜歡搞的(de)點。
案例︰he)wu)雲網(wang)[巨(ju)人網(wang)絡員工郵箱(xiang)弱(ruo)口令導致(zhi)大量(liang)敏感xing)xin)息泄(xie)露]
密碼設置的(de)再復(fu)雜也無濟于事。

5、隨意打開陌(mo)生人發送的(de)文(wen)件或鏈接
給目(mu)標發木(mu)馬或XSS、CSRF漏(lou)洞(dong)鏈接,這(zhe)種滲透方式相信(xin)有(you)不少人用過,對國內(na)非安全(quan)崗位員工的(de)mo)踩quan)意識而言,用公開的(de)office或者pdf漏(lou)洞(dong)綁木(mu)馬發送,都(du)是在(zai)浪費時間,根本用不著這(zhe)麼(me)費勁。之前給一家估(gu)值數(shu)百億美元的(de)企業做滲透測試,本身這(zhe)家企業有(you)一支非qian)Wㄒ檔de)mo)踩quan)團隊,團隊you)』鋨ban)搞了整整幾天系統和應(ying)用,都(du)沒(mei)有(you)什麼(me)大的(de)進展。
眼(yan)看第二天就(jiu)要交報告,于是我打開官網(wang),讓(rang)團隊專門寫木(mu)馬的(de)小伙伴(ban),生成一個免殺過絕大部分(fen)世界級殺毒軟件的(de)木(mu)馬(免殺bao)荷倍救砑Tyun)行(xing)的(de)情況下執行(xing)木(mu)馬無任何(he)提示),跟官網(wang)客服小妹妹聊了三分(fen)鐘(zhong)投訴產品問題,接著發送木(mu)馬給她,說是產品照片(pian),不到(dao)兩分(fen)鐘(zhong),小姑娘運(yun)行(xing)了木(mu)馬,當天幾個小時內(na),通過小姑娘的(de)電(dian)腦作為跳(tiao)板,將(jiang)這(zhe)家企業de)na)網(wang)漫游了一圈(quan),數(shu)千萬(wan)的(de)數(shu)據截了圖寫進報告。
其(qi)實(shi)當時不止客服,通過郵件給商務發木(mu)馬、通過論(lun)壇私信(xin)給管理員發木(mu)馬、通過郵件給售後發木(mu)馬,全(quan)部成功運(yun)行(xing)木(mu)馬。最諷(feng)刺的(de),我是直接發的(de)exe文(wen)件,可見國內(na)人的(de)mo)踩quan)風險辨別能(neng)力(li)如何(he)。

還有(you)一次給中(zhong)xie)畬蟺de)互聯網(wang)企業做滲透測試,小伙伴(ban)拿到(dao)一個員工內(na)部聊天軟件賬號(hao)密碼之後,在(zai)一個視頻播放(fang)器上捆綁木(mu)馬,視頻同放(fang)在(zai)壓縮包(bao)里,壓縮包(bao)命名為“優衣(yi)庫嵊州版(ban)”,接著在(zai)內(na)部一個相親群里發送視頻的(de)下載(zai)鏈接,成功運(yun)行(xing)木(mu)馬的(de)員工不下于兩位數(shu),下載(zai)的(de)人數(shu)達到(dao)40位,你們這(zhe)些上市企業白(bai)領上xi)嘍du)在(zai)干嘛!最終通過抓取員工電(dian)腦瀏覽器里保(bao)存的(de)密碼,入侵了大量(liang)的(de)內(na)部系統。
6、內(na)部系統設置弱(ruo)口令或默認(ren)密碼不更改。
這(zhe)里的(de)內(na)部系統指的(de)OA系統、企業郵箱(xiang)、運(yun)營後台、運(yun)維(wei)系統(不限于nagios 、cacti、zabbix、Jenkins/Hudson)、VPN等(deng)等(deng),其(qi)中(zhong)重災區在(zai)企業郵箱(xiang),曾(zeng)經給一家會員數(shu)量(liang)上億的(de)上市企業做滲透測試,在(zai)不知道(dao)員工郵箱(xiang)列表和默認(ren)密碼的(de)情況下,純(chun)屬靠(kao)以下幾種組合,撞(zhuang)出(chu)60多(duo)個郵箱(xiang)的(de)密碼,下載(zai)的(de)郵件達30G+。
組合一︰個人信(xin)息組成的(de)密碼
利(li)用普(pu)通人的(de)真實(shi)姓名生成拼音(yin)作為用mei)hu)名(如wangwei@cnseay.com),這(zhe)個字典是qian)1缸值洌 藶胍韻嗤 de)用mei)hu)名+123,如wangwei123、Wangwei123、wangwei@123,更多(duo)的(de)變換下數(shu)字,改為521、520、1234、321、123456等(deng), 再針(zhen)對性一點的(de),密碼大多(duo)是姓名加生日(ri),如wangwei1984、Wangwei0906。
這(zhe)個組合的(de)密碼特點是大小寫數(shu)字都(du)包(bao)含,符合大部分(fen)密碼強度要求。
組合二︰企業de) ren)密碼
組合為企業域(yu)名或名字+年份,比(bi)如personsec@2016,除此還有(you)後面(mian)數(shu)字換為123、321、123456等(deng),也有(you)默認(ren)是名字拼音(yin)加工號(hao)。
組合三︰講臭了的(de)弱(ruo)口令
如123456、123456789、qq123456、1qaz2wsx、1q2w3e4r、等(deng)等(deng)。僅僅烏(wu)雲搜索弱(ruo)口令就(jiu)出(chu)現(xian)14000多(duo)條的(de)結果(guo)。

今天結束,剩下已經準備好的(de)場景list達到(dao)大幾十個,比(bi)如不安全(quan)使(shi)用及私建wifi、撿路邊的(de)U盤等(deng)硬件設備、私自使(shi)用紅(hong)杏出(chu)牆等(deng)代理插(cha)件,我們根據這(zhe)些場景bai)齔閃擻you)趣的(de)室內(na)外大屏幕動畫視頻和海報、貼士、手冊,甚至視頻dao)錈mian)的(de)故事情節都(du)是從(cong)現(xian)實(shi)人員安全(quan)檢測服務中(zhong)提煉,期待明日(ri)內(na)容。
我們給企業客戶(hu)的(de)牆面(mian)安全(quan)意識小貼士︰

Tag標簽︰員工  企業  
  • 大发11选5官网

  • Directx11 游戲編程入門教程
  • 專題主(zhu)要學習(xi)DirectX的(de)初級編程入門學習(xi),對Directx11的(de)入門及初學者有(you)...... 詳細
About IT165 - 廣告服務 - 隱(yin)私聲明 - 版(ban)權(quan)申明 - 免責(ze)條款(kuan) - 網(wang)站(zhan)地圖 - 網(wang)友(you)投稿(gao) - 聯系方式
本站(zhan)內(na)容來自于互聯網(wang),僅供(gong)用于網(wang)絡技術學習(xi),學習(xi)中(zhong)請遵循相關(guan)法(fa)律法(fa)規
大发11选5官网 | 下一页