隨著互聯(lián)網(wǎng)的興起���,人們的衣食住行都離不開(kāi)網(wǎng)絡(luò)��,信息與數(shù)據(jù)的價(jià)值及其安全的重要性越來(lái)越凸顯�。人們對(duì)于在網(wǎng)絡(luò)中留存私密信息�����,從原來(lái)的無(wú)所畏懼變得如履薄冰����,一個(gè)“不小心”就可能讓這些敏感信息處于裸奔狀態(tài),如被不法分子獲取�����、利用,造成的后果將不堪設(shè)想����。
為了營(yíng)造健康和諧的社會(huì)風(fēng)氣����,打造清朗的網(wǎng)絡(luò)空間環(huán)境,如何有效防護(hù)��、安全存儲(chǔ)私密及敏感信息����,成為備受關(guān)注的熱門(mén)話(huà)題,也是網(wǎng)絡(luò)安全工作中必不可少的重要環(huán)節(jié)���。
敏感信息泄露的主要途徑
敏感信息泄露的主要途徑包括信息傳輸��、敏感信息顯示����、客戶(hù)端代碼注釋���、錯(cuò)誤處理測(cè)試等�。
1)信息傳輸。通常需要對(duì)流量信息響應(yīng)頭和響應(yīng)體出現(xiàn)的系統(tǒng)登錄用戶(hù)名密碼��、郵件賬戶(hù)密碼���、認(rèn)證的令牌等明文信息進(jìn)行脫敏�,系統(tǒng)網(wǎng)站���、郵件服務(wù)器等用戶(hù)名密碼信息一旦泄露�,會(huì)造成賬戶(hù)隱私安全危機(jī)�。
2)敏感信息顯示。一般存在于網(wǎng)頁(yè)比如phpinfo()信息����、框架版本號(hào)、開(kāi)發(fā)語(yǔ)言信息��、中間件類(lèi)型版本信息���、操作系統(tǒng)版本信息���、編輯器備份文件信息、版本管理工具文件信息、管理后臺(tái)地址信息���、探針文件信息����、源碼備份文件信息���、網(wǎng)站一些測(cè)試頁(yè)面信息、網(wǎng)絡(luò)拓?fù)湫畔⒌?;這些敏感信息可能會(huì)被攻擊者利用進(jìn)而獲取更多敏感信息,甚至作為攻擊網(wǎng)站服務(wù)器獲取數(shù)據(jù)庫(kù)權(quán)限的突破口���。
3)客戶(hù)端代碼注釋�����。由于開(kāi)發(fā)者對(duì)客戶(hù)端代碼進(jìn)行注釋?zhuān)W(wǎng)絡(luò)上的爬蟲(chóng)工具獲取到注釋內(nèi)容從而泄露敏感信息�����,比如某智能門(mén)禁系統(tǒng)客戶(hù)端核心代碼包含注釋可導(dǎo)致大量用戶(hù)信息泄露��。
4)錯(cuò)誤處理測(cè)試���。網(wǎng)站系統(tǒng)等默認(rèn)報(bào)錯(cuò)頁(yè)面應(yīng)重新設(shè)計(jì)自定義報(bào)錯(cuò)頁(yè)面��,以免暴露系統(tǒng)敏感信息��。如某SQL server沒(méi)有對(duì)錯(cuò)誤進(jìn)行正確的處理�����,直接展示詳細(xì)的錯(cuò)誤信息���,導(dǎo)致數(shù)據(jù)庫(kù)列名等敏感信息泄露。
基于上述問(wèn)題����,盛邦安全Web應(yīng)用防護(hù)系統(tǒng)(RayWAF),利用敏感信息泄露規(guī)則檢測(cè)功能和敏感詞防護(hù)功能�,可幫助客戶(hù)全面處理敏感信息泄露檢測(cè)及防護(hù)問(wèn)題。
“查”——敏感信息泄露檢測(cè)功能
可針對(duì)流量中響應(yīng)頭和響應(yīng)體檢測(cè)敏感信息�。其中,敏感信息根據(jù)業(yè)務(wù)特點(diǎn)定義����,由于不同的業(yè)務(wù)領(lǐng)域所包含的敏感信息不同,RayWAF支持自定義正則表達(dá)式和字符串形式敏感信息��,一經(jīng)檢測(cè)到指定的敏感信息,RayWAF支持全部隱藏或部分隱藏��、替換或擦除等處置動(dòng)作����,實(shí)現(xiàn)一經(jīng)發(fā)現(xiàn)、立刻防護(hù)的高效率模式�����。
如下圖1所示�,敏感信息檢測(cè)規(guī)則配置選項(xiàng),敏感信息檢測(cè)規(guī)則一旦被觸發(fā)��,RayWAF便可按規(guī)則配置告警級(jí)別��,并以郵件�����、短信等方式及時(shí)通知相關(guān)人員��,并快速同步處置結(jié)果����,記入攻擊日志,方便后續(xù)溯源分析等閉環(huán)工作����。
圖1-RayWAF敏感信息檢測(cè)規(guī)則配置界面
“防”——敏感詞防護(hù)功能
可根據(jù)用戶(hù)業(yè)務(wù)特點(diǎn)增加不同的敏感詞,實(shí)現(xiàn)對(duì)網(wǎng)站頁(yè)面的全面檢測(cè)�。如圖2敏感詞防護(hù)規(guī)則配置所示,RayWAF支持對(duì)HTTP請(qǐng)求體��、HTTP請(qǐng)求參數(shù)�、HTTP響應(yīng)體、HTTP請(qǐng)求URL位置雙向檢測(cè)��,并可觸發(fā)繼續(xù)�����、通過(guò)���、阻斷��、封禁���、重定向等及時(shí)響應(yīng)動(dòng)作,對(duì)敏感信息進(jìn)行多選擇性���、高靈活性的有效防護(hù)�。
圖2-RayWAF敏感詞防護(hù)規(guī)則配置界面
