Yanlış yapılandırma yüksek riskli güvenlik açıklarına neden olur mu? Kripto para borsalarının Spring Boot Actuaotr çerçevesini nasıl doğru kullandığını görün
Spring boot'un avantajları birçok geliştirici tarafından bilinmektedir: hafiflik, azaltılmış kod boyutu, modülerlik vb. Bu nedenle blok zinciri endüstrisindeki birçok borsa tarafından kullanılmaktadır. Ancak, eşleştirme, geliştirme yapılandırması doğru şekilde yapılandırılmamışsa, sistemde yüksek riskli güvenlik açıkları olabilir ve küçük bir ayrıntı hatası büyük bir güvenlik olayına neden olur. Birçok kripto para birimi borsası, geliştirme verimliliğini artırmak için yaylı önyükleme kullanıyor
Web uygulamalarını daha verimli ve hızlı bir şekilde dağıtmak ve izlemek için, birçok borsa geliştiricisi mikro hizmet geliştirme için Spring Boot çerçevesini benimsemiştir.Çerçeve, yapılandırma için belirli bir yöntem kullandığından, geliştiricilerin artık bir şablon tanımlamasına gerek yoktur Yapılandırma, projeyi dağıtmak için daha verimli ve hızlıdır.
Spring Boot, daha iyi sağlık izleme için Actuaotr kullanıyor
Spring Boot'da Actuaotr, Spring Boot projesinde çok güçlü bir işlevdir ve uygulamaların izlenmesine ve yönetilmesine yardımcı olur.Huzurlu api istekleri ile uygulamaların çalışma durumunu izler, denetler ve toplar.Aktüatör aracılığıyla üretim ortamında izlenebilir. Mevcut uygulama sağlığı, sanal makine ve diğer bilgiler, mikro hizmetler için önemli bir bağlantı olan ön uç aracılığıyla görsel bir arayüzde görüntülenir.
Sektör geliştiricileri arasında güvenlik bilinci eksikliği, kullanıcı bilgilerinin sızmasına ve hatta ekonomik kayıplara yol açmıştır.
Blockchain 3.0'ın geliştirilmesiyle, bazı geliştiriciler zayıf güvenlik bilincine sahiptir.Actuaotr izleme uç noktalarını yapılandırırken, yanlış yapılandırma, sistem uygulama yapılandırma bilgileri ve metrik bilgi sızıntısı gibi ciddi güvenlik sorunlarına yol açabilir. Bunların arasında izleme yolu dinamik olarak kaydedilir. En son 100 istek kaydı, kullanıcı kimlik doğrulama alan verilerini içerir.Kullanıcı verileri, neredeyse tüm kullanıcı verilerinin güvenliğini tehdit edebilen kimlik doğrulama alanı değiştirilerek isteğe bağlı olarak değiştirilebilir.
Örneğin, geleneksel endüstrilerde, küresel şirketler ve devlet kuruluşlarının siber saldırıların neden olduğu kayıplar için her yıl 4 milyar ABD doları ödemesi gerekir. IBM'in verileri ayrıca, veri ihlalleri nedeniyle küresel şirketlerin ortalama yıllık kaybının 3,5 milyon ABD dolarından 3,8 milyon ABD dolarına, hatta bazılarının yüz milyonlara yükseldiğini gösteriyor.
Veri değerindeki artışla birlikte, bilgisayar korsanları, saldırı hedeflerini kuruluşta depolanan kullanıcı ve çalışan verilerine giderek daha fazla çevirmektedir.Kurumda bir veri sızıntısı meydana geldiğinde, kayıp sadece ekonomik faydalar değildir. Bir şirket bir veri ihlali yaşadığında, yalnızca ekonomik faydalarını kaybetmekle kalmayacak, aynı zamanda marka imajı üzerinde ciddi bir olumsuz etkiye sahip olacaktır.
Actuaotr'ın yanlış yapılandırılmasının neden olduğu DVP durumu arıza-güvenlik açığı tehlikeleri
30 Temmuz 2018'de DVP güvenlik açığı platformu, Spring Boot Actuaotr'ın yanlış yapılandırılmasının neden olduğu hassas bilgilerin ifşa edilmesine ilişkin yüksek riskli bir güvenlik açığı aldı ve üreticiyi mümkün olan en kısa sürede bilgilendirdi.
DVP güvenlik araştırmacısına göre: Bu durumda, saldırgan, web sitesinin hassas bilgilerini ve kullanıcının kişisel bilgilerini elde etmek için bu uygunsuz yapılandırmayı kullanabilir ve hatta bir dizi hassas işlemi gerçekleştirmek için bu arabirimler aracılığıyla kullanıcının hesabını kontrol edebilir.
Aşağıdaki bağlantı, bu güvenlik açığını herkes tarafından keşfedilen ve gösteren DVP güvenlik açığı platformunun ayrıntılarıdır.
https://dvpnet.io/info/detail/id/653
Geliştirici bunu doğru şekilde yapılandırmazsa, bilgisayar korsanlarının hassas veriler elde etmesine neden olur. Örneğin, arabirim genel ağda görünürse veya erişimi kısıtlayacak şekilde yapılandırılmamışsa, bilgisayar korsanları bazı web sitelerinin hassas verilerini elde etmek için yerel uç noktayı izlemek için aşağıdaki Çalıştırıcıyı kullanabilir.
Aktüatör tarafından sağlanan arayüzler aşağıdaki tabloda gösterilmektedir:
Bilgisayar korsanlarının gözünde bu uç noktaların rolü:
DVP gerçek durumu: Güvenlik açığı onarıldıktan sonra satıcı güvenlik açığı kaldırma işlemi tamamlandı
Saldırgan, / env uç noktasına erişerek sızdırılan ortam yapılandırma bilgilerini elde etti
Kullanıcının hassas bilgilerini elde etmek için bu arayüz aracılığıyla kullanıcı talebinde taşınan kimlik doğrulama bilgilerini veya tanımlama bilgisini edinin.
Hassas kullanıcı bilgilerini elde ederek doğrudan kullanıcı hesabına da giriş yapabilirsiniz.
Saldırgan, / configprops uç noktasına erişerek uygulamada yapılandırılan özellik bilgileri raporunu elde etti
Saldırgan, / dump bitiş noktasına erişerek çalışan programın iş parçacığı bilgilerini alır.
Saldırgan, tüm otomatik yapılandırma adayları dahil olmak üzere / autoconfig uç noktasına erişerek sızdırılan uygulamanın otomatik yapılandırma raporunu elde etti. Aynı zamanda, her bir adayın otomatikleştirilmiş konfigürasyonu için ön koşulların karşılanıp karşılanmadığını da listeler.
Saldırgan, sızan uygulama bağlamında oluşturulan tüm çekirdekleri / fasulye uç noktasına erişerek elde etti
Hata düzeltme
DVP tarafından sağlanan gerçek durumlardan, yukarıdaki istek arayüzünün herhangi bir güvenlik kısıtlaması olmaksızın genel ağa maruz kalması durumunda ciddi kullanıcı bilgisi sızıntısı sorunlarına neden olma olasılığı çok yüksektir.
Ancak Spring Boot, dağıtım sırasında ilgili yapılandırma yapılandırıldığı sürece güvenlik kısıtlama işlevleri sağlar.
1. Hesap parolası erişimini artırın
Uygulama özelliklerinde aktüatörün bağlantı noktasını belirtin, güvenlik işlevini etkinleştirin ve erişim yetkisi doğrulamasını yapılandırın. Bu sırada, aktüatör işlevine eriştiğinizde bir oturum açma penceresi açılır. Erişime izin vermeden önce doğrulamak için hesap şifresini girmeniz gerekir
2. Arayüzü devre dışı bırakın
Örneğin, / env arayüzünü devre dışı bırakmak için aşağıdaki gibi ayarlayabilirsiniz:
endpoints.env.enabled = false
Yalnızca dış dünyaya bazı arayüzler açmak istiyorsanız, önce tüm arayüzleri devre dışı bırakın ve ardından gerekli arayüzleri etkinleştirin.
endpoints.enabled = false
endpoints.metrics.enabled = true
Aynı zamanda, ayrı bir Aktüatör yönetim portu, İnternete açık olmayacak şekilde ayarlanabilir ve yapılandırılabilir.
Referans: https://xz.aliyun.com/t/2233
