【运维安全】运维安全之应用发布安全隐患

安全的价值之一,便是为业务保驾护航。

建立坚固的壁垒,让攻击者进不来;构建纵深防御体系,让攻击者即使能进来也拿不走。

然而,影响业务的连续性、可用性不止是避免遭受攻击,安全隐患也可能潜伏在应用的上线流程中。

应用发布上线的情况比较多,比如应用申请配置域名,应用申请配置nginx外网转发,应用申请与外部合作伙伴进行接口联调;其中又会涉及到测试环境与生产环境,内部应用访问外部应用与内部应用接口被外部访问...稍有不甚将带来不容忽视的安全隐患:

1、未正确配置域名和备案信息


1.1 法律法规

安全合规,今年上级部门的检查明显有所加强。除了常规的网络安全防护检查,还会涉及到《非经营性互联网信息服务备案管理办法》相关的域名备案信息类检查。

1.2 安全事件

最近公司的一个域名就因为备案信息有问题,导致同一条光纤上的网站都被关停。事件流程大致如下:

某网站信息变更但未及时进行ICP备案信息更新,备案管理系统仍可查到原始备案信息-->上级相关部门发现备案信息不一致-->ICP备案管理系统中备案信息被清空-->上级部门下发指令整改或择日关停-->运营商接收指令并通知用户或直接关停。

简而言之,即:域名实际信息与备案信息不符、域名未注册将会面临网站被封的风险。然而,受影响的可能不止是备案信息不符的网站,还可能导致一大波网站中断服务。据某运营商解释道:关停只能是通过光纤来操作,在接收到指令时将关停不合规网站所在光纤;如果光纤上还有其他站点,将一并受牵连。

1.3 防范指南

在每个新业务上线时,安全组或相关人员检查待发布系统是否正确配置备案信息。一般而言,域名注册指一级域名,比如xxyy.com ;当业务方申请使用二级域名或其他多级域名时,比如zzz.xxyy.com,无需另行备案可直接使用xxyy.com的备案号。

另提供官方的备案信息查询地址:http://www.miibeian.gov.cn/icp/publish/query/icpMemoInfo_showPage.action

2、应用外网访问权限配置过多


2.1 需求不符的工单

最近,应用组的运维同学会收到这样的工单需求:申请将应用通过nginx配置发布到外网。如果没有特别需求,这是很合理的需求。

但是在沟通后,实际需求原来是:该应用需要访问外网。

即:该应用同时具备访问外网与提供外网服务权限(对外开放,增加攻击面)?

2.2 防范指南

专业的人,可能连基本的需求也会弄不清楚。

面对申请对外网开放的操作,作为上线前的最后一道管卡,需要谨慎处之。

3、同一应用配置发布到多个域名


3.1 线上应用另起炉灶

同样是来自应用运维同学的反馈:unsafe.war已经挂在线上环境www.xxyy.com下,现在业务方为了调试方便想申请将unsafe.war发布到线上环境www.zzxx.com中。

即:同一个应用将会有多个互联网入口?

3.2 防范指南

面对这种“不安全”的需求,给力的运维同学在通知安全后,毅然决然的对业务方说No。无论是从应用运维合规性,还是从安全性来说,都是不太合理的需求。

不过,此类情况可能会被“绕过”,如果业务方将包名稍加变动或运维同学记不住已经发布过,都将会被当做新应用来进行处理。对于安全方面而言,所有应用上线都应该经过安全评估(落地版SDL),这个“绕过”风险实则是可控可接受的;但是对于运维而言,可能会对日常的运营工作带来挑战。

4、测试域名对外二次安全隐患


4.1 测试域名外网开放

众所周知,测试环境可能会比较复杂,被攻击的概率也会高于生产系统。但是在实际的工作中,的确有一些应用需要将测试环境发布到公网,进行联调,进行测试。

首先,毫无疑问的是扩大了攻击面;

其次,若业务后续在该域名下申请挂更多war包,运维记不住,将会带来更大的攻击面,更多潜在的安全隐患

4.2 防范指南

由此可见,安全不仅只对业务有所要求(上线前的安全评估,落地版SDL),对于运维的操作规范或把关仍要求需注意。此外,定期的安全扫描与资产发现,针对外网开放测试环境的安全监控与风险评估,将会是及时准确发现安全问题的重要利器。

原文发布于微信公众号 - 我的安全视界观(CANI_Security)

原文发表时间:2018-10-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

谷歌可远程更改安卓设备密码,影响74%设备

根据纽约地区检察官办公室的一份报告所述,只要有法院命令,谷歌能够非常容易地远程重置旧版本Android系统的密码,调查人员可以轻易地查看设备上的内容。 这份报告...

2037
来自专栏Seebug漏洞平台

被忽视的攻击面:Python package 钓鱼

2017年6月2日,Paper 收录了一篇 fate0 的《Package 钓鱼》 文章,该文章讲述了作者在 PyPI 上投放恶意的 Python 包钓鱼的过...

41610
来自专栏美丽应用

小折腾:修改蓝牙耳机按键映射

2443
来自专栏FreeBuf

物联网究竟有多不安全?2016年IOT设备漏洞情况汇总

近年来,随着智能手机、可穿戴设备、活动追踪器、无线网络、智能汽车、智能家居等终端设备和网络设备的迅速发展和普及利用,针对IOT设备的网络攻击事件比例呈上升趋势,...

4197
来自专栏SDNLAB

99%的私有云环境中的安全风险

随着复杂性增加,基础设施组件之间的相互依赖性以及向基于云的基础架构的迁移以降低风险和成本,IT中断服务提供商Continuity Software发布了2016...

3177
来自专栏企鹅号快讯

想开发微信小游戏,先看看腾讯是如何制定规则的

关键时刻,第一时间送达! ? 作者 | 凌华彬、王哲 责编 | 徐威龙 一、前言 在第一篇文章《微信小游戏开发上手》中,我们给大家介绍了上手微信小游戏开发所需要...

1.1K5
来自专栏Golang语言社区

Golang语言-写一个检测 tcp udp 状态的包

因为要跟着 dockerpool 的基友写 Docker 管理的程序,所以今年的目标是学习 go 语言。 看完 go 的入门教程,高深的代码还看不懂,所以决定先...

3785
来自专栏张善友的专栏

Windows SharePoint Services 3.0 Service Pack 1

微软于2008年3月6日发布了Windows SharePoint Services 3.0 Service Pack 1,Windows SharePoint...

1909
来自专栏黑白安全

Adobe Acrobat又曝新漏洞:点击恶意PDF文档会“一键被黑”

安全专家总是不厌其烦地劝告人们“不要随意打开来源不明的文件”,最新的案例就来自 Adobe Acrobat 软件的一个漏洞。周二的时候,思科塔洛斯研究人员披露了...

843
来自专栏云加头条

李明:微信小游戏技术分享

我是Layabox的合伙人李明,今天我给大家分享一下微信小游戏的应用开发。第一个话题是小游戏和小程序的不同,大家都知道微信小游戏是微信小程序的一个类目。我今天解...

1.7K15

扫码关注云+社区

领取腾讯云代金券