2.6.2　案例分析

1.HTTP方法测试

WebDAV是一种基于HTTP 1.1协议的通信协议，支持GET、POST、HEAD、PUT、DELETE等HTTP方法，这些方法使应用程序可对Web Server直接读写，并支持写文件锁定及解锁，还可以支持文件的版本控制。

WebDAV虽然方便了网站管理员对网站的管理，但是也带来了新的安全风险。如PUT方法自身不带验证机制，利用PUT方法可以向服务器上传文件，所以恶意攻击者可以上传木马等恶意文件；DELETE方法可以删除服务器上特定的资源文件，造成恶意攻击等有害操作。所以，如果要使用WebDAV，务必禁止不必要的HTTP方法，以防被其他攻击者利用。

以下为我们团队在对交易所进行测试时，发现使用不安全的HTTP方法的案例。使用OPTIONS请求，可返回网站支持的HTTP方法，由图2.33可看出网站开启了PUT、DELETE等有害方法。由于测试时及时反映给了厂商，厂商也及时进行了修复，故没有利用该漏洞进行下一步测试。

顾及该漏洞危害巨大，如果各大交易所有此类开启不安全HTTP方法的网站，建议及时修复，以规避不必要的安全风险。

图　2.33

2.管理后台探测

网站管理后台对于测试人员来说已经相当熟悉了，这里再稍微解释一下，管理后台是对网站数据库和文件的快速操作和管理系统，可使得前台内容能够得到及时更新和调整。管理后台的功能繁多而强大，每个恶意攻击者也会想尽办法攻进后台，一旦管理后台被恶意攻击者占领，基本也就宣布该权限下的“阵地”已经全部失守，所有数据也“任人宰割”。由此可见后台保护的重要性，那么如何使得后台不被攻破呢？最简单的办法就是把后台藏起来。所以隐藏网站后台也就成了保护网站的重要步骤。

我们团队在对某交易所进行安全测试时，发现该交易所的管理后台地址为其子域名的admin的MD5形式。对后台进行弱口令测试后，发现确实存在弱口令，以此直接进入了后台，所有数据一览无余。图2.34所示为测试时的登录界面。

图　2.34

我们建议：各大交易所如果有条件，可不将后台管理入口暴露在外网中或设置可登录的ip白名单；如果不得不将后台管理入口置于外网，请尽量设置安全性高的验证码机制，使用安全性高的管理平台和复杂度足够的管理员密码，以规避不必要的风险。

3.后台服务组件配置测试

安全意识不佳的网站管理者在使用后台服务组件时可能会选择默认配置，并不做个性化的改动。当今的很多漏洞想要被用来发挥破坏性，也需要破除很多此类限制——在很多个性化的配置下，大多数漏洞是无法应用的。

我们团队在对某交易所进行安全测试期间，发现访问该交易所的门户网站中不存在的目录时，由于该网站的管理员配置不当，网站会爆出一些敏感信息，如物理路径、真实IP等（见图2.35）。这些信息会为攻击者的后续攻击提供便利，大大降低攻击难度和成本。

4.弱口令及默认口令探测

弱口令没有很明确的定义，一般指的是易被猜到或破解的口令，例如“123456”“abcabc”“qazwsx”等，或者易被猜到的如生日、姓名缩写、身份证后6位等。

图　2.35

默认口令是指很多网站后台密码或者用户密码为初始默认状态，并没有做二次更改的口令。例如“admin”“111111”或身份证后六位等。这种口令的易猜解易破解性，使得攻击成本与难度大大降低。攻击者有时可以轻易登录相关账号，进入用户账户或网站后台，获取非法权限，做出恶意操作，如对用户的相关信息进行更改，或发布一些恶意消息或文件，恶意修改网站信息和配置，导致网站信息混乱或攻击者借此拿到更高权限，进行进一步攻击等。

由此，培养相关工作人员的安全意识，对弱口令及默认口令及时修改，加强复杂度就显得尤为重要，刻不容缓。

我们团队对交易所进行测试时，就曾经以猜解弱口令的方式直达后台，轻易拿下网站权限。正如前文所提到的关于安全意识的内容，一百个人里总有一个人在使用弱口令，而那一个人就会因为攻击成本如此低廉而成为被攻击的目标。