4月第4周安全回顾 IIS服务器存漏洞 汇丰银行丢失敏感数据

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:
 
本周(080421至080427)信息安全威胁程度为为低。目前正进行得如火如荼的美国总统大选中,各候选人的支持者把战场拉到了互联网上,除了常规的互联网宣传攻势外更出现了黑客行动的影子:黑客利用候选人奥巴马的网站上的跨站脚本漏洞,将访问者重定向到候选人希拉里的网站上,结合之前在爱沙尼亚总统竞选中黑客针对某候选人网站发起DDOS攻击的报道,显示黑客攻击开始出现政治化的趋势。
 
媒体方面:本周值得关注的新闻集中在漏洞攻击、威胁趋势和电子商务安全领域。
 
漏洞攻击:Microsoft警告IIS服务器中存在严重漏洞;关注指数:高
 
新闻:周二,来自ITnews的消息,Microsoft当天发布安全公告称,旗下产品IIS Web服务器和MS SQL数据库服务器中存在一个严重的代码处理漏洞,如果黑客成功利用该漏洞,将可以在运行该这两种产品的服务器上得到系统权限。目前Microsoft已经确认,该漏洞影响的操作系统范围包括Windows XP SP2、Windows Server 2003、Windows Vista和Windows Server 2008。Microsoft还称,目前尚未接到有针对该漏洞的攻击报告,因此正在考虑是尽快还是等到稍晚一点的5月例行补丁升级周期,再发布针对该漏洞的补丁程序。
 
笔者观点:根据Microsoft在周四对该漏洞发布的补充公告称,该漏洞主要影响IIS Web服务器,尤其是当IIS Web服务器将ASP.NET代码的执行信任级别设置为完全信任时。而MS SQL数据库服务器所受的影响较小,因为MS SQL服务器上很少有将执行权限授予所有用户的情况。Microsoft还在补充公告中提供了解决这个漏洞的临时设置建议,用户可以在以下链接:  [url]http://www.microsoft.com/technet/security/advisory/951306.mspx[/url]中找到进一步的消息。
笔者建议:虽然这个漏洞对默认安装的IIS Web服务器和MS SQL数据库服务器的影响不大,对提供基于Windows ASP.net技术的网页空间提供商,或是对内部部门提供共享Web服务器的企业来说,却是一个严重的安全隐患,黑客在成功入侵并上传Webshell之后,将能够通过这个漏洞达到控制服务器的目的,并进一步进行恶意代码注入、敏感信息盗取等攻击。建议采用上述代码信息级别配置的相关用户,尽快根据Microsoft补充公告中的配置建议进行修改,并随时关注Microsoft的补丁公告,及时进行软件版本的升级。如果在配置调整过程中出现原有网站代码无法正确执行的情况,可通过修改代码或暂时禁用受影响功能来解决。
 
威胁趋势:新SQL Injection技术威胁Oracle数据库;关注指数:高
新闻:周四,来自TechTarget的消息,数据库安全专家David Litchfield日前公开了一种针对Oracle数据库的新SQL Injection技术,这种称为旁路注入(Lateral Injection)的技术的攻击手法,使用的是以往被认为安全的DATE和NUMBER两种数据类型。黑客能够借助这种新的技术,在Oracle数据库上执行其精心构造的数据库命令。
 
笔者观点:由于Oracle数据库的性能及安全性领先于其他数据库厂商的产品,因此Oracle数据库在大型企业应用的应用十分广泛,这也决定了Oracle数据库安全领域的敏感性。David Litchfield日前所公开的新Oracle攻击方法,其值得关注的地方在于,这种SQL注入新方法针对的是以往被认为是安全的数据类型(DATE和NUMBER),此外,它也没有像其他的SQL注入攻击那样,直接使用用户的输入数据,而是通过Web应用程序的缺陷将精心构造的SQL语句注入到Oracle的安全数据类型中,从而绕过了Oracle数据库对常规数据库攻击方法的安全防御措施。这也显示,虽然Oracle数据库对常见数据库漏洞的安全防御措施做得好,但也不意味着它是无懈可击的,去年中开始的Oracle漏洞公开活动也陆续挖掘出相当多的Oracle漏洞,如去年底出现的Oracle空指针等漏洞,而稍早一些时候进行的针对Oracle用户的调查也显示,超过三分之一的Oracle用户并没有对部署的Oracle数据库进行过补丁升级的操作。
笔者建议,由于安全业界对数据库安全的日益重视,对Oracle等企业中常用的数据库产品的漏洞挖掘和公开还将进一步继续,相应的,针对企业数据库产品的攻击手法和数量也会有相当大幅度的上升,企业的数据库应用将面临前所未有的威胁。因此,建议企业重视数据库安全并提高现有数据库部署的安全级别,根据应用需要和数据敏感程度,制定符合企业安全策略的数据库安全管理及响应策略,企业用户也可以适当关注目前市场上已经推出的诸多数据库安全产品,选择最适合自己的产品。
 
电子商务安全:汇丰银行丢失37万客户敏感数据显示银行内部的数据安全仍存在严重缺陷;关注指数:高
 
新闻:周四,来自金融媒体FTAdviser.com的消息,英国最大的银行汇丰银行(HSBC)当天承认,在一次邮件丢失中损失了37万客户详细资料。包含有这些敏感数据的磁盘是汇丰银行2月份从英国南安普敦寄到瑞士的过程中丢失的,目前仍没有找回。汇丰银行的发言人辩解称,当时是由于两个地区之间的网络通讯中断,汇丰银行出于业务处理速度的考虑才选择使用邮件快递的方式传送这些敏感数据的,这些敏感数据有密码保护,但没有经过加密处理。
 
笔者观点:汇丰银行对客户敏感数据丢失事件公开的技术细节,如包含大量敏感数据的光盘通过普通快递服务进行投递、只使用较弱的密码方式而不是加密方式对敏感数据进行保护等,显示汇丰银行在内部敏感数据的传输上仍存在相当大的安全问题,对其各内部部门之间的敏感数据使用和包含也没有一个安全的成型的管理流程,从而为这次敏感数据泄漏事件埋下了伏笔。尽管从当天的另外一个新闻:汇丰银行在其在线银行服务站点上使用VeriSign公司的EV SSL技术来看,汇丰银行对保护在线业务和用户权益也进行了相当大的投入,但还是远远不够的。根据笔者以前的项目经验,国内的许多银行也存在类似的安全问题,而且在线业务的安全程度和国外大型银行比起来也有相当大的差距。
笔者建议:汇丰银行的敏感数据丢失事件可说是为国内银行业敲响了警钟,国内银行业应提高对内部部门之间的敏感数据传输安全性的重视,同时制定对应的安全管理规范。同时,汇丰银行事件也再次显示了一个企业级的数据加密安全方案对银行业的重要性,无论敏感数据是在银行内部各部门之间进行交换,还是在银行与用户之间进行传输,都应该经过高强度的加密保护,这样,即使发生敏感数据载体丢失或失密的极端情况,也能最大限度保护银行及用户的财产和合法权益。





本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/73947,如需转载请自行联系原作者

相关文章
|
3月前
|
开发框架 安全 .NET
文件上传绕过】——解析漏洞_IIS6.0解析漏洞
文件上传绕过】——解析漏洞_IIS6.0解析漏洞
81 4
|
1月前
|
安全 开发工具 Swift
Swift 是苹果公司开发的现代编程语言,具备高效、安全、简洁的特点,支持类型推断、闭包、泛型等特性,广泛应用于苹果各平台及服务器端开发
Swift 是苹果公司开发的现代编程语言,具备高效、安全、简洁的特点,支持类型推断、闭包、泛型等特性,广泛应用于苹果各平台及服务器端开发。基础语法涵盖变量、常量、数据类型、运算符、控制流等,高级特性包括函数、闭包、类、结构体、协议和泛型。
30 2
|
1月前
|
安全 算法 Linux
Linux 服务器还有漏洞?建议使用 OpenVAS 日常检查!
在数字化时代,Linux 服务器的安全至关重要。OpenVAS 是一款优秀的开源漏洞扫描工具,可以帮助及时发现并修复服务器中的安全隐患。本文将介绍 OpenVAS 的主要功能、使用方法及应对漏洞的措施,帮助用户加强服务器安全管理,确保企业数字化安全。
59 7
|
1月前
|
安全 Linux API
Linux服务器安全
人们常误认为服务器因存于数据中心且数据持续使用而无需加密。然而,当驱动器需维修或处理时,加密显得尤为重要,以防止数据泄露。Linux虽有dm-crypt和LUKS等内置加密技术,但在集中管理、根卷加密及合规性等方面仍存不足。企业应选择具备强大验证、简单加密擦除及集中管理等功能的解决方案,以弥补这些缺口。
27 0
|
2月前
|
监控 网络安全 调度
Quartz.Net整合NetCore3.1,部署到IIS服务器上后台定时Job不被调度的解决方案
解决Quartz.NET在.NET Core 3.1应用中部署到IIS服务器上不被调度的问题,通常需要综合考虑应用配置、IIS设置、日志分析等多个方面。采用上述策略,结合细致的测试和监控,可以有效地提高定时任务的稳定性和可靠性。在实施任何更改后,务必进行充分的测试,以验证问题是否得到解决,并监控生产环境的表现,确保长期稳定性。
113 1
|
2月前
|
SQL 安全 网络安全
守护数字资产:服务器迁移期间的安全挑战与对策
【10月更文挑战第4天】在数字化转型的浪潮中,服务器迁移成为企业不可避免的任务。然而,迁移过程中的安全挑战不容忽视。本文从安全考量的角度,探讨了服务器迁移期间可能遇到的安全问题,并提供了相应的对策和代码示例。
100 3
|
3月前
|
开发框架 安全 应用服务中间件
【文件上传绕过】——解析漏洞_IIS7.0 | IIS7.5 | Nginx的解析漏洞
【文件上传绕过】——解析漏洞_IIS7.0 | IIS7.5 | Nginx的解析漏洞
182 9
|
4月前
|
Rust 安全 开发者
惊爆!Xamarin 携手机器学习,开启智能应用新纪元,个性化体验与跨平台优势完美融合大揭秘!
【8月更文挑战第31天】随着互联网的发展,Web应用对性能和安全性要求不断提高。Rust凭借卓越的性能、内存安全及丰富生态,成为构建高性能Web服务器的理想选择。本文通过一个简单示例,展示如何使用Rust和Actix-web框架搭建基本Web服务器,从创建项目到运行服务器全程指导,帮助读者领略Rust在Web后端开发中的强大能力。通过实践,读者可以体验到Rust在性能和安全性方面的优势,以及其在Web开发领域的巨大潜力。
47 0
|
4月前
|
Rust 安全 Java
Rust语言在Web后端的应用:基于Actix-web构建高性能、安全可靠的服务器实践
【8月更文挑战第31天】随着互联网的发展,Web应用对性能和安全性要求不断提高。Rust凭借卓越的性能、内存安全及丰富生态,成为构建高性能Web服务器的理想选择。本文通过一个简单示例,展示如何使用Rust和Actix-web框架搭建基本Web服务器,从创建项目到运行服务器全程指导,帮助读者领略Rust在Web后端开发中的强大能力。通过实践,读者可以体验到Rust在性能和安全性方面的优势,以及其在Web开发领域的无限潜力。
203 0
|
4天前
|
人工智能 JSON Linux
利用阿里云GPU加速服务器实现pdf转换为markdown格式
随着AI模型的发展,GPU需求日益增长,尤其是个人学习和研究。直接购置硬件成本高且更新快,建议选择阿里云等提供的GPU加速型服务器。
利用阿里云GPU加速服务器实现pdf转换为markdown格式