信息安全案例：信息展示最小化原则

2015-01-28 10:26:12 大云网　点击量：评论 (0)

在每次给CISP们进行信息安全技术培训和意识培训时，我一般都会强调一个理念，信息展示最小化，即给你的用户展示的信息应该是你需要向他展示的信息，除此之外的任何信息都是需要保护的。相信很多学员在培训时听

在每次给CISP们进行信息安全技术培训和意识培训时，我一般都会强调一个理念， “信息展示最小化”，即给你的用户展示的信息应该是你需要向他展示的信息，除此之外的任何信息都是需要保护的。相信很多学员在培训时听了，但是并没有真正意识到信息最小化原则的意义，或者是觉得这样做太麻烦。如果对此不能理解，请参见以下的真实案例。 2008年奥运会前，我实施了北京的很多政府网站渗透测试，在其中一个政府门户网站测试中，渗透进入了网站中。采取的方法和利用都很简单，利用了系统开放日志和一个脚本开发的问题。北京市各政府门户网站，都属于首都之窗政府网站群的一部分，但是这些网站，有些是集中托管在首信机房中，也有的是自己管理。出于安全的考虑，首都之窗网站群集中由首信公司进行安全保障，其中有一项保障机制就是各门户网站应开放自己的网站访问日志给首信公司进行集中采集，集中分析。我进行渗透测试的网站也不例外，由于网站是构建在IIS上的，因此管理人员采取了将日志存放目录设置为网站的目录，可以从web访问（此方式可能为首信的统一要求），首信通过定制开发的程序，每天从互联网上通过web下载将日志下载到日志服务器上进行保存。发现此问题问题后，我安排了一名测试人员将日志下载下来，让他通过日志访问记录，尝试还原出网站的目录和文件结构基本情况。在还原的过程中，测试人员看到了以下的日志记录：

从以上记录中，可以看出网站上存在一个/admin/yhglqwe.asp的脚本文件，因为访问记录上的返回值200，表示访问成功。随后测试人员尝试直接通过http://www.xxxx.gov.cn/admin/yhglqwe.asp直接从互联网访问此脚本,意外的发现访问成功，并且打开了测试网站系统的用户管理页面，测试表明已经可以对用户进行操作。幸好我们只是测试人员，不是一名攻击者，否则系统上会多几个后门账户了。总结问题的原因：网站对脚本的调用没有进行限制，正常情况下应该登录验证后才能调用此脚本，而脚本并无此验证功能，只有调用到就可以操作用户。开发人员通过给脚本起一个无规律的名称，因为攻击者不知道文件的名称，无法调用而保证安全。但是，日志系统把这一秘密给暴露了。问题的解决：最终在防火墙上设置策略，只允许来自首都之窗的日志采集服务器的IP地址对日志进行访问（当时考虑到还可以采用FTP，采集日志需进行验证，由于首都之窗的采集日志程序已经开发确定为从Web下载，无法修改，因此放弃）。案例给我们的启示：在信息安全中，我们无法保障我们的系统会存在什么样的问题，但是，我们应该保证我们的系统尽量减少信息的泄露，也许就是这简单的工作，就能保障你的系统免受一次可能的攻击。如果没有这个日志开发的要求，我相信被测试网站的这个漏洞也很难被发现，因为我们无法知道这个调用用户管理功能的脚本德名称。为了你的信息系统安全，请记住“信息展示最小化”原则。