- A+
显示不全请点击全屏阅读
昨天的文章说到员工行为难管控的以下三个体现点,受到很多甲方安全运营者的赞同。
1、滥用云笔记及网盘
2、将公司代码存储在Github、oschina、Bitbucket等。
3、员工企业邮箱与外部个人账号密码一致。
除了这些,我们在人员安全检测服务过程中还发现很多这方面的问题,今天接着把这些问题一一列出来,以便于我们后面说明怎么解决,案例中讲到的所有故事都是绝对真实。
4、在邮件、QQ、钉钉等沟通工具中直接发送密码。
任何地方发送或者存储密码等敏感的东西,都有很大可能被人搞走,光搞掉目标的邮箱或者QQ,就有一只手都数不过来的方式。所以把密码、私钥、敏感报告这些东西直接明文发送,是我们这些搞人员安全测试的人最喜欢搞的点。
案例:乌云网[巨人网络员工邮箱弱口令导致大量敏感信息泄露]
密码设置的再复杂也无济于事。
5、随意打开陌生人发送的文件或链接
给目标发木马或XSS、CSRF漏洞链接,这种渗透方式相信有不少人用过,对国内非安全岗位员工的安全意识而言,用公开的office或者pdf漏洞绑木马发送,都是在浪费时间,根本用不着这么费劲。之前给一家估值数百亿美元的企业做渗透测试,本身这家企业有一支非常专业的安全团队,团队小伙伴搞了整整几天系统和应用,都没有什么大的进展。
眼看第二天就要交报告,于是我打开官网,让团队专门写木马的小伙伴,生成一个免杀过绝大部分世界级杀毒软件的木马(免杀:杀毒软件正常运行的情况下执行木马无任何提示),跟官网客服小妹妹聊了三分钟投诉产品问题,接着发送木马给她,说是产品照片,不到两分钟,小姑娘运行了木马,当天几个小时内,通过小姑娘的电脑作为跳板,将这家企业内网漫游了一圈,数千万的数据截了图写进报告。
其实当时不止客服,通过邮件给商务发木马、通过论坛私信给管理员发木马、通过邮件给售后发木马,全部成功运行木马。最讽刺的,我是直接发的exe文件,可见国内人的安全风险辨别能力如何。
还有一次给中国最大的互联网企业做渗透测试,小伙伴拿到一个员工内部聊天软件账号密码之后,在一个视频播放器上捆绑木马,视频同放在压缩包里,压缩包命名为“优衣库嵊州版”,接着在内部一个相亲群里发送视频的下载链接,成功运行木马的员工不下于两位数,下载的人数达到40位,你们这些上市企业白领上班都在干嘛!最终通过抓取员工电脑浏览器里保存的密码,入侵了大量的内部系统。
6、内部系统设置弱口令或默认密码不更改。
这里的内部系统指的OA系统、企业邮箱、运营后台、运维系统(不限于nagios 、cacti、zabbix、Jenkins/Hudson)、VPN等等,其中重灾区在企业邮箱,曾经给一家会员数量上亿的上市企业做渗透测试,在不知道员工邮箱列表和默认密码的情况下,纯属靠以下几种组合,撞出60多个邮箱的密码,下载的邮件达30G+。
组合一:个人信息组成的密码
利用普通人的真实姓名生成拼音作为用户名(如[email protected]),这个字典是常备字典,密码以相同的用户名+123,如wangwei123、Wangwei123、wangwei@123,更多的变换下数字,改为521、520、1234、321、123456等, 再针对性一点的,密码大多是姓名加生日,如wangwei1984、Wangwei0906。
这个组合的密码特点是大小写数字都包含,符合大部分密码强度要求。
组合二:企业默认密码
组合为企业域名或名字+年份,比如personsec@2016,除此还有后面数字换为123、321、123456等,也有默认是名字拼音加工号。
组合三:讲臭了的弱口令
如123456、123456789、qq123456、1qaz2wsx、1q2w3e4r、等等。仅仅乌云搜索弱口令就出现14000多条的结果。
今天结束,剩下已经准备好的场景list达到大几十个,比如不安全使用及私建wifi、捡路边的U盘等硬件设备、私自使用红杏出墙等代理插件,我们根据这些场景做成了有趣的室内外大屏幕动画视频和海报、贴士、手册,甚至视频里面的故事情节都是从现实人员安全检测服务中提炼,期待明日内容。
我们给企业客户的墙面安全意识小贴士:
Tags:
企业安全,
如果您喜欢我的博客,欢迎点击图片定订阅到邮箱 也可以点击链接【订阅到鲜果】
如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡