网站常见安全风险 — 暴露的CMS

举报
天存信息 发表于 2021/06/16 10:53:14 2021/06/16
【摘要】 当后台变「前台」 一个暴露的CMS会经历些什么?

网站内容管理系统(CMS) 自诞生之日起,便是网站建设的一个重要领域。CMS 以其丰富多样的功能和简单易用的操作,有效地解决了用户网站建设与信息发布中常见的问题和需求,一直深受众多使用者的青睐。

正因如此,利用 CMS 对网站进行攻击,也就成为黑客的常用手段之一。无需太多复杂的技术手段,只需登录网站 CMS,黑客便可方便快捷地植入暗链和上传 WebShell。然而,大部分网站的安全防护策略会将 CMS 的各项功能列入白名单,或者说,来自 CMS 的操作其恶意与否通常难以辨别。

同时,部分网站的管理者贪图方便,经常将 CMS 入口直接暴露于网站首页。

明目张胆型的:
▲后台入口常见位置1
▲后台入口常见位置2
▲后台入口常见位置

也有下面这种此地无银三百两型的:

 User-agent: *

 Disallow: /d/
 Disallow: /e/class/
 Disallow: /e/config/
 Disallow: /e/data/
 Disallow: /e/enews/
 Disallow: /e/update/

▲某CMS系统默认的robots.txt文件

当然,也少不了这种欲盖弥彰型的:

▲换个名字我就不知道你是后台了吗?

对于黑客来说,暴露的后台入口如同黑夜中的灯塔,为入侵指明了方向。只需一组管理员(或仅为高权限编辑者)的账号密码,入侵网站服务器便轻而易举。若 CMS 同时存在 SQL 注入漏洞,用户使用弱口令甚至明文保存用户名密码,抑或验证方式过于简易等诸如此类的问题,只能让黑客仰天长啸:


天呐 !
简直瞬间拥有武林两大绝学
一阳指 + 狮吼功
即视感 !


不要以为这只是坊间笑谈的故事,来看一个真实的事故——

案例网站的首页醒目标明“后台入口在此,速来”,甚至还有注册功能(尝试后发现并未开放注册)。黑客的尝试方向已相对明确——寻获可登录的账号密码一组。

图4

随即点开一篇新闻内页,发布者看起来长得很像用户名。

图5

尝试登录后,查看错误提示:这个用户使用的是弱口令,直接登录成功了!

图6

从 CMS 来看,管理成员的权限划分也十分粗糙,其他高权限用户的信息发布情况一览无余。更可怕的是,高权限用户也使用了同一弱口令。

图7
图8

以此案例可见,暴露的 CMS 入口、显而易见的用户账号、弱口令,带来的后果不堪设想,简直是为心怀恶意者敞开了自家大门。

然而,灾难远未就此终结……

我们可以从网站的 whois 信息、首页的版权信息、友情链接以及搜索引擎里顺藤摸瓜,找出使用相同 CMS 的网站。相同的 CMS 往往意味着相似的安全隐患,比如下面这个:

图9

从新闻内页来看,管理者使用了昵称字段,看似避免了后台用户名的泄漏,可是网站偏偏画蛇添足,多出了个用户信息展示的功能,后台用户名还是暴露在外。

图10

利用这个不知为何存在的功能,可以遍历出后台所有的用户名。再加上 CMS 简单的登录验证,后台爆破变得异常容易,剩下的只是时间问题。

图11

从用户[aaaaaa]是一位超级管理员这一点,就足以令人相信,这个 CMS 后台还存在更多更严重的问题,网站服务器恐怕早已千疮百孔。

图12

一个暴露的 CMS 不仅要抵御各种注入,还要抗住各种暴力破解,更有社会工程学防不胜防。在现今的互联网环境下,很难判定网站的访问者是否怀有恶意。作为网站的管理平台,CMS 使用者主要是网站的管理人员,如果仅为了方便,便将其暴露于互联网之中,将会极大地增加网站的信息安全风险,实非明智之举。在 国务院办公厅关于印发政府网站发展指引的通知(国发办〔2017〕47号) 中,就明确要求“前台发布页面和后台管理系统应分别部署在不同的主机环境中,并设置严格的访问控制策略,防止后台管理系统暴露在互联网中”。

倘若我们的网站已如文中案例,由于各种原因很难再分离 CMS 了,还有解决办法吗?答案是肯定的。不过,我得先去向老师们汇报网站安全问题了。

欲知后续,且听下回再叙。(张旭 | 天存信息)

【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。