2.6.2　案例分析

1.HTTP方法測試

WebDAV是一種基于HTTP 1.1協議的通信協議，支持GET、POST、HEAD、PUT、DELETE等HTTP方法，這些方法使應用程序可對Web Server直接讀寫，并支持寫文件鎖定及解鎖，還可以支持文件的版本控制。

WebDAV雖然方便了網站管理員對網站的管理，但是也帶來了新的安全風險。如PUT方法自身不帶驗證機制，利用PUT方法可以向服務器上傳文件，所以惡意攻擊者可以上傳木馬等惡意文件；DELETE方法可以刪除服務器上特定的資源文件，造成惡意攻擊等有害操作。所以，如果要使用WebDAV，務必禁止不必要的HTTP方法，以防被其他攻擊者利用。

以下為我們團隊在對交易所進行測試時，發現使用不安全的HTTP方法的案例。使用OPTIONS請求，可返回網站支持的HTTP方法，由圖2.33可看出網站開啟了PUT、DELETE等有害方法。由于測試時及時反映給了廠商，廠商也及時進行了修復，故沒有利用該漏洞進行下一步測試。

顧及該漏洞危害巨大，如果各大交易所有此類開啟不安全HTTP方法的網站，建議及時修復，以規避不必要的安全風險。

圖　2.33

2.管理后臺探測

網站管理后臺對于測試人員來說已經相當熟悉了，這里再稍微解釋一下，管理后臺是對網站數據庫和文件的快速操作和管理系統，可使得前臺內容能夠得到及時更新和調整。管理后臺的功能繁多而強大，每個惡意攻擊者也會想盡辦法攻進后臺，一旦管理后臺被惡意攻擊者占領，基本也就宣布該權限下的“陣地”已經全部失守，所有數據也“任人宰割”。由此可見后臺保護的重要性，那么如何使得后臺不被攻破呢？最簡單的辦法就是把后臺藏起來。所以隱藏網站后臺也就成了保護網站的重要步驟。

我們團隊在對某交易所進行安全測試時，發現該交易所的管理后臺地址為其子域名的admin的MD5形式。對后臺進行弱口令測試后，發現確實存在弱口令，以此直接進入了后臺，所有數據一覽無余。圖2.34所示為測試時的登錄界面。

圖　2.34

我們建議：各大交易所如果有條件，可不將后臺管理入口暴露在外網中或設置可登錄的ip白名單；如果不得不將后臺管理入口置于外網，請盡量設置安全性高的驗證碼機制，使用安全性高的管理平臺和復雜度足夠的管理員密碼，以規避不必要的風險。

3.后臺服務組件配置測試

安全意識不佳的網站管理者在使用后臺服務組件時可能會選擇默認配置，并不做個性化的改動。當今的很多漏洞想要被用來發揮破壞性，也需要破除很多此類限制——在很多個性化的配置下，大多數漏洞是無法應用的。

我們團隊在對某交易所進行安全測試期間，發現訪問該交易所的門戶網站中不存在的目錄時，由于該網站的管理員配置不當，網站會爆出一些敏感信息，如物理路徑、真實IP等（見圖2.35）。這些信息會為攻擊者的后續攻擊提供便利，大大降低攻擊難度和成本。

4.弱口令及默認口令探測

弱口令沒有很明確的定義，一般指的是易被猜到或破解的口令，例如“123456”“abcabc”“qazwsx”等，或者易被猜到的如生日、姓名縮寫、身份證后6位等。

圖　2.35

默認口令是指很多網站后臺密碼或者用戶密碼為初始默認狀態，并沒有做二次更改的口令。例如“admin”“111111”或身份證后六位等。這種口令的易猜解易破解性，使得攻擊成本與難度大大降低。攻擊者有時可以輕易登錄相關賬號，進入用戶賬戶或網站后臺，獲取非法權限，做出惡意操作，如對用戶的相關信息進行更改，或發布一些惡意消息或文件，惡意修改網站信息和配置，導致網站信息混亂或攻擊者借此拿到更高權限，進行進一步攻擊等。

由此，培養相關工作人員的安全意識，對弱口令及默認口令及時修改，加強復雜度就顯得尤為重要，刻不容緩。

我們團隊對交易所進行測試時，就曾經以猜解弱口令的方式直達后臺，輕易拿下網站權限。正如前文所提到的關于安全意識的內容，一百個人里總有一個人在使用弱口令，而那一個人就會因為攻擊成本如此低廉而成為被攻擊的目標。