从一个0day漏洞看数据中心防护效果大比拼

简介:

记得郭德纲有这么一个著名的段子:家中屋漏,外面下小雨,屋里下大雨;外面下大雨,全家人就只能站到院子里避雨。如果我们把屋子换成伞,外面下雨,伞里也下雨,你还会用这样的伞吗?

 

 

“简直是笑话,谁会用这样的伞?”,你可能会这么说。不过,是不是有漏雨的伞,咱先别着急下结论。这凡事都有个体验和比较。没有体验和比较,你就不知道到底什么样的伞叫好伞。

 

 

在前两天阿里云论坛的安全版块里有这么一个有趣儿的热帖。在这个帖子里,楼主讲了这么一个有趣儿的事儿:“我现在操作2个网站: 一个心理测试大百科www.A.com,部署在阿里云,开通云盾。另 一个是www.B.cn,部署在XX数码。 昨天这2个网站后台都发现了同样的警告框。但是只有XX数码上的www.B.cn中招了。 2个程序版本一样,为什么阿里云上的心理测试大百科www.A.com没中招呢? ”

 

楼主所谓的“中招”是指在他采用PHPCMS系统的网站后台多了一个超级管理员用户-pcmanage。而这个pcmanage超管用户并非他自己添加,而是被别人偷偷地加上去的。

 

 

好个从石头缝里蹦出来的孙悟空。开过网站的小伙伴想必都应该非常清楚事情的严重性了。PHPCMS系统的“超级管理员”就像它的命名一样,拥有对网站系统的一切权限。如果黑客拥有了攻击目标网站的超级管理员账号,后果可想而知。

 

 

那么,黑客是如何偷偷添加超级管理员账号的呢?简言之,黑客利用PHPCMS系统的0day漏洞,窃取了网站专门用来防护跨站攻击的Token,通过劫持管理员的HTTP会话,在管理员丝毫没有察觉的情况下,利用管理员的身份成功添加了超级管理员账户——一个无所不能的孙悟空。

 

 

有些拗口,别急,下面我们详细说说黑客是怎么攻击的。经过阿里云安全技术团队的分析,黑客当时是利用了PHPCMS系统存在的一个漏洞发起了CSRF攻击,最终添加了超管账号。

 

 

CSRF(Cross-site request forgery),中文名称跨站请求伪造,是在用户会话下通过第三方网站发起GET/POST的请求——这些请求用户未必知道和愿意做,可以把它视作一种HTTP会话劫持。下图是典型的CSRF攻击过程:

 

 

安全配图

图1: CSRF典型攻击过程

 

从上图可以看出,A网站通过cookie来识别用户(C),当用户成功进行身份验证之后浏览器就会得到一个标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问A网站会一直带上这个cookie。如果这期间浏览器被人控制着向A网站发起请求去执行一些用户不想做的功能(比如添加账号),这就是会话劫持了。因为这个不是用户真正想发出的请求,这就是所谓的“请求伪造”。此外,由于请求可以从第三方网站提交,所以前缀跨站二字,即从B网站发起。

 

 

PHPCMS系统对于CSRF的防护主要是通过在会话中加入令牌(Token)方式来实现,黑客恰恰是利用了0day漏洞在偷窃了Token后,发起了CSRF攻击并劫持了管理员的身份。

 

 

面对这样一个0day漏洞攻击,阿里云云盾如何实现有效防护的呢?众所周知,0day漏洞是没有补丁的,客观地讲,在防护的时候也无法采用针对性的防护手段。然而,阿里云云盾多层面纵深化防护体系对于未知攻击同样可以做到有效防护。

 

 

云盾在网络、系统以及应用上均有相应的防护策略,这些防护策略对于网站来说,就像一层层的防护网。更为关键的是,这些“防护网”是一体化的,是一个整体,并非彼此孤立。无论在网络流量攻击、还是系统入侵或是应用破坏上,黑客只要在入侵过程中触发任何一个防护点的策略,均会引发云盾整体的迅速响应。在上面的攻击过程中,由于黑客采取了“组合化”进攻手段,触发了云盾对某单项攻击手段的防护策略,从而导致整个攻击过程戛然而止。

 

 

既有点,也有面,点面结合,这正是云盾强大的地方。这种点面结合的整体防护体系考验的是多个安全子系统能否实现彼此无缝配合、策略分布式部署以及面向攻击的整体化视野。这样的防护体系不是简单部署一个DDoS防护系统、入侵防御系统或WAF系统就可以实现。

 

 

传统IDC数据中心普遍采取糖葫芦串式的防护手段,在服务器前部署一长串的防护设备,这些防护设备之间是独立工作,没有彼此关联关系。这种安全防护模型无疑增加了防御一方的建设和运营管理成本,而面对0day或者更为复杂攻击的时候却往往束手无策。

 

 

事实上,强大的云盾也不是一朝锻造而成,而是得益于阿里安全部十年攻防积累的数据和经验。其全面的DDoS防护、主机入侵防护、Web防护墙以及贴心而全面的网站安全体检服务,也是几十万网站站长选择阿里云的重要原因。

 

 

最后,再回到文章开始时候提到的雨伞。这伞好不好,最关键还是要看漏不漏雨;而漏雨不漏雨,只有用过的人才知道。

相关文章
|
1月前
|
云安全 安全 网络安全
云端防御战线:云计算环境下的网络安全与信息防护
【2月更文挑战第30天】 随着企业数字化转型的深入,云计算已成为支撑现代业务的关键基础设施。然而,云环境的开放性、复杂性和动态性也给网络安全带来了前所未有的挑战。本文聚焦于分析云计算环境中的网络安全威胁、信息安全风险以及相应的防护策略。通过综合运用加密技术、身份认证机制、入侵检测系统和安全事件管理,我们构建了一个多层次的安全防线,旨在为云服务提供全方位的保护。此外,文中还探讨了合规性在保障信息安全中的重要性,并提出了未来云计算安全研究的方向。
|
1月前
|
存储 监控 安全
云端防御战线:云计算环境中的网络安全与信息防护策略
【2月更文挑战第30天】 随着企业数字化转型的加速,云计算以其弹性、可伸缩性和成本效益成为支撑现代业务架构的关键平台。然而,云服务的广泛采用也引入了新的安全挑战,从数据泄露到服务中断,风险无处不在。本文探讨了在云计算环境下维护网络安全和信息安全的高级策略和技术,分析了云服务模型特有的安全威胁,并提出了综合防御框架以保护云基础设施和数据。通过深入剖析身份认证、加密技术、入侵检测系统以及合规性监控等关键技术手段,文章旨在为读者提供一套全面的参考方案,确保在享受云计算带来的便利时,也能有效地规避潜在的网络风险。
|
1月前
|
云安全 机器学习/深度学习 安全
云端防御战线:云计算安全与网络防护策略
【2月更文挑战第30天】 在数字转型的浪潮中,云计算已成为企业IT架构的核心。然而,随着云服务应用的普及,网络安全威胁也随之增加。本文将深入探讨云计算环境中面临的安全挑战,并剖析如何通过一系列先进的技术手段和策略来加强数据保护,确保信息资产的安全。我们将讨论包括加密技术、身份认证、入侵检测系统、安全事件管理等在内的多种安全措施,并分析这些措施如何协同工作以形成一个多层次的防御体系。
|
1月前
|
运维 安全 网络安全
DDoS攻击升级,解读防御DDoS攻击的几大有效方法
DDoS攻击升级,解读防御DDoS攻击的几大有效方法
59 0
|
1月前
|
SQL 安全 网络安全
构筑网络长城:网络安全漏洞解析与防御策略
【4月更文挑战第30天】 在数字化时代,网络安全已成为维护信息完整性、确保数据流通安全和保障用户隐私的关键。本文将深入探讨网络安全的核心问题——安全漏洞,并分享关于加密技术的最新进展以及提升个人和企业安全意识的有效方法。通过对常见网络威胁的剖析,我们旨在提供一套综合性的网络防御策略,以助力读者构建更为坚固的信息安全防线。
|
16天前
|
存储 安全 物联网
网络防御先锋:洞悉网络安全漏洞与加固信息防线
【5月更文挑战第30天】 在数字化的浪潮中,网络安全已成为维护信息完整性、确保数据传输安全的重要领域。随着技术的进步,网络攻击手段不断升级,了解和防御这些安全威胁变得日益重要。本文将探讨网络安全中的漏洞挖掘、加密技术和提升个体及组织的安全意识等方面,以期为读者提供全面而深入的网络安全知识,帮助构建更为坚固的信息防线。
|
29天前
|
SQL 监控 安全
构筑网络堡垒:网络安全漏洞剖析与防御策略
【5月更文挑战第17天】随着信息技术的迅猛发展,网络安全成为维护信息完整性、保障用户隐私的关键。本文深入分析了网络安全中常见的漏洞类型及其成因,并探讨了加密技术在数据保护中的应用。同时,强调了提升安全意识在防范网络威胁中的重要性。通过综合措施,构建多层次的网络安全防护体系,为个人和组织的数字资产提供坚实的保障。
|
1月前
|
存储 安全 算法
网络防御先锋:揭秘网络安全漏洞与加固信息防线
【5月更文挑战第15天】在数字时代的风口浪尖,网络安全已成为维护信息完整性、确保数据流通安全的关键。本文将深入探讨网络安全中存在的漏洞、加密技术的进展以及提升安全意识的重要性,旨在为读者构建一道坚固的信息防线提供知识支持和实践指导。
18 2
|
1月前
|
存储 安全 物联网
网络防御前线:洞悉网络安全漏洞与加固信息防线
【5月更文挑战第4天】 在数字化时代,网络安全已成为维护信息完整性、确保数据传输安全的关键阵地。本文将深入探讨网络安全领域的重要议题—包括识别和应对安全漏洞、应用加密技术以及提升个体和企业的安全意识。通过对这些关键要素的剖析,我们旨在为读者提供一个关于如何构建坚固网络防御体系的全面视角。
34 6
|
1月前
|
SQL 安全 算法
网络防线的构筑者:洞悉网络安全漏洞与加固信息防护
【4月更文挑战第22天】在数字化浪潮下,网络安全和信息安全成为维护社会稳定、保障个人隐私的重要基石。本文将深入探讨网络安全中存在的漏洞问题,介绍现代加密技术,并强调提升全民安全意识的必要性。通过对这些关键知识点的分享,旨在为读者提供一个关于如何构建和维护一个安全网络环境的全面视角。

热门文章

最新文章