继去年阿里云、腾讯云相继出现挂机事件后,近日谷歌云全球首席执行官 Thomas Kurian 发表的一份非同寻常的联合声明中,他们俩就这次故障向广大会员道歉,并表示此事件“极其令人沮丧、极其令人失望”。
事情起因
由于谷歌云的错误配置,导致了他的用户UniSuper(一个金融服务商)的私有云账户被删除。由于账户被删除导致了里面的数据丢失。
这次事件对UniSuper基金的50多万会员造成了影响,他们无法访问自己的退休金账户整整一星期。服务在系统宕机一个多星期后开始陆续恢复,而投资账户的余额数据也将尽快更新。UniSuper的首席执行官Peter Chun向会员们保证,这次故障并非网络攻击,且没有个人数据泄露,问题出在谷歌的云服务上。
原来世界就是个草台班子啊,所以大家不要觉得自己的工作多low,自己多菜,世界都是一样的草台班子而已。
配置(接口)信息泄漏
漏洞原理
随着前后端分离架构的优势越来越明显,前后端分离的应用场景也越来越广,为了前后端程序员在实际开发中能够有统一的接口文档去调试,因此也随着衍生出了很多API接口文档以及调试工具,如swagger、docway、yapi、Web Api HelpPage等。但是在使用过程中,如果不注意安全配置,很容易通过接口泄露敏感数据。
漏洞危害
攻击者通过调用、未授权访问接口的方式,获取大量敏感信息,如接口存在文件上传功能的话,攻击者可以直接利用该漏洞获取服务器权限。
检测方法
1.通过工具爬虫或扫描得到接口文档的路径,从而找到相关的接口信息进行访问。
如API接口文档Swagger-UI信息泄漏,使用Dirsearch工具对目标网站进行扫描。
发现存在Swagger-UI信息泄漏
接口文档泄漏的接口信息
可以查看具体的接口信息,尝试进行测试调用
2.对网页源代码的查看,找到相关的源码(如相关JS),进而发现相关接口。
查看源代码,寻找引用的js
在开发者工具中点击相关JS,并寻找敏感接口,如图中,发现系统的文件上传接口
对发现的每个接口都尝试进行调用,若接口未做好鉴权,则会成功调用对应功能,对网站系统造成影响。
修复建议
1、限制对于相关API文档目录的访问
2、对于网站的每个接口都做好鉴权
星球推广了
星球中还涉及护网面试、网络安全实习面试、offer选择、web安全、java代码审计、应急响应、安全意识培训ppt、护网方案、清单等
趁着优惠还在,大家抓紧入手吧。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...