互聯網暴露面應用系統敏感信息泄露的檢測發現

■ 中國移動通信集團河南有限公司業務支撐中心 田菁菁 馬文 許慧云

編者按：本文通過對互聯網暴露面應用系統敏感信息泄露的檢測發現進行介紹，總結出針對性的檢測發現方法，提出了安全管理的要求措施，基于企業的安全管理場景提供了一些建議和思考。

如今企業部署安裝的IT 應用系統越來越多、越來越復雜，同時也對其承載企業敏感信息的安全管理工作提出了更高的要求。

當企業IT 應用系統中的敏感信息發生泄露后，企業卻往往后知后覺，不知所措。因此本文提出了兩種常見的企業敏感信息風險場景及其對應的檢測發現方法——應用管理地址探測與源代碼信息泄露探測，同時介紹了使用一些低成本的技術方式最大限度地發現風險情況。

應用管理地址探測

在企業應用系統被攻擊的案例中，因應用系統自身的管理地址暴露于互聯網所占比例很高，其中也包含一些常見的Web 中間件的管理地址，如Tomcat、WebSphere等Web 中間件的管理功能頁面。針對應用管理地址的攻擊方式通常為注入攻擊和暴力破解，其中以弱口令和默認帳號密碼猜測為主。以Tomcat 為例，管理員為了維護方便，通常會啟用Manager管理頁面，如圖1 所示。

在一些舊版本中，Tomcat的Manager 管理功能的帳號和密碼在“conf/tomcatusers.xml”文件中進行配置，使用一些默認的帳號和密碼，或者弱口令等。通過上述攻擊方法，攻擊者可以在較短時間內獲取攻擊收益。例如，針對Tomcat 管理功能的某些暴力破解核心代碼中，對Tocmat的管理地址進行提交用戶名和密碼的操作，如果返回的結果頁面中包含“Tomcat Web Application Manager”或“Tomcat Host Manager”等關鍵詞，則表示已經通過弱口令進入其管理地址端。

圖1 Tomcat 開啟了Manager 功能的登錄頁面

由此可見，針對企業應用系統的管理地址的探測發現非常有必要。安全管理人員可以通過對企業應用系統的管理地址及常見中間件的管理地址進行探測發現，進行針對性的安全加固和防護。

在探測方式上，可以采用“管理地址字典+登錄信息關鍵詞字典”的方式，即首先通過“應用系統訪問URL 地址+管理地址字典”進行HTTP 模擬訪問，對于訪問成功且字典類型為中間件的信息，則直接認定為存在管理地址泄露。如果成功訪問操作所使用的字典類型為普通的登錄地址字典，還需要再次進行登錄信息關鍵詞字典進行匹配，即發現網頁源碼中使用了“username”“password”及“loginid”等關鍵詞且存在對應的input輸入框，則認為存在管理地址泄露。如表1 所示。

字典庫需要能夠分類，并支持不斷地添加和維護，持續豐富。通過使用字典庫的形式，企業可以在無需介入業務部門具體業務的情況下，對應用系統的管理地址泄露情況進行探測，能夠以較低的成本實現對管理地址的安全管控。

表1 探測字典示例

源代碼信息泄露探測

除了企業應用系統管理地址泄露外，另一個常見的敏感信息泄露問題是企業應用系統的源代碼泄露。隨著軟件行業的蓬勃發展，越來越多的開發人員將自己的代碼分享到一些源碼管理網站，比如最為著名的GitHub 網站。

近年來發生過多起大型企業代碼敏感信息泄露事件，這會給企業造成極其嚴重后果：一是源代碼自身以及配置的帳號密碼等信息被惡意利用，導致攻擊者無需過高的技術手段即可攻擊企業應用系統；二是開發技術、業務能力、工程進度，甚至戰略投入方向可能被競爭對手掌握，導致企業經濟損失。

企業在對內做好常規的源代碼安全管理的同時，還應在外部進行源代碼信息泄露的常態化探測。與管理地址探測類似，可以使用爬蟲技術進行探測，即根據代碼分享網站（如GitHub、gitee.com 等）公開API 或使用網頁爬蟲技術定期進行關鍵字爬取，獲取命中的源碼工程相關內容，內容至少包含源碼的URL 路徑、源碼的上下文內容、源碼更新時間，以及命中的關鍵詞。如表2 所示。

以GitHub 為例，可以使用其開放API 能力進行關鍵詞的檢索。圖2 為偽代碼邏輯示例。

首先通過GitHub 的公開API 進行登錄，登錄成功后，使用關鍵詞進行搜索，默認搜索100 頁。之后對搜索結果進行分析，解析出代碼倉庫地址、用戶名及最后修改時間。如圖3 所示。

表2 常見關鍵詞示例

防范及思考

通過對應用系統管理地址、企業源代碼信息泄露的探測研究，筆者發現企業往往在上述兩方面的安全管控工作比較薄弱，企業應該建立整體的信息安全防控體系。針對此類風險，根據實際的應用經驗，筆者提出如下建議：

1.建立完善的企業敏感信息管理制度，并進行預案化，責任到人，同時加強企業敏感信息保護宣傳，增強企業員工的保密意識。

2.對應用系統確需對外開放的管理地址、確需公開的源代碼工程進行白名單化，并對白名單內的管理地址進行針對性的加固，對源代碼工程進行代碼級別審核。

3.將應用系統管理地址、源代碼信息泄露探測作為常態化監測任務，發現問題后通過電話、即時通訊軟件、加急或重大級別的工單進行迅速處置，并進行閉環跟蹤。

4.除企業內部員工外，還要對離職員工、承包商及其員工、合作伙伴等實施企業敏感信息保護管理要求，必要時進行法律合同約束。

結語

圖2 偽代碼邏輯示例

圖3 探測發現的源代碼泄露案例

企業敏感信息保護應是統一的、立體的，這對互聯網暴露面資產的應用系統尤為重要。本文針對應用系統管理地址及企業源代碼信息泄露的探測發現進行研究和實踐，提出的技術和管理方式能夠使企業以較低成本發現和治理應用系統的風險點。