企业运维安全管理实践的9大领域

运维安全作为企业安全保障的基石，特别是互联网企业，它不同于Web安全、移动安全、或者业务安全，因为运维安全位于最底层，或涉及到服务器、网络设备。基础应用等，一旦出现安全问题，会直接威胁到服务器的安全。而在企业日常运营中，运维安全事件的出现通常预示着这个企业的安全规范、流程有问题，这种情况下就会不止一台机器有同样的漏洞，会是一大片，甚至波及整个公司的核心业务。

分享6个经典的与运维安全相关的漏洞：

一次成功的漫游京东内部网络的过程（由一个开发人员失误导致）

首先研发人员将公司的代码发布到第三方代码托管平台，例如GitHub。

其次代码的某些配置里面有发邮件的功能，并且调用了公司的邮箱。

公司的邮箱与VPN的认证是互通的，且VPN没有双因素验证。

恶意用户通过这个账号登陆了企业的VPN，从而达到漫游内网的过程。

我是如何拿到高德7个vcenter和漫游内网的

首先研发人员将公司的代码发布到第三方代码托管平台，例如GitHub。

其次代码的某些配置里面有发邮件的功能，并且调用了公司的邮箱。

邮箱没有对通讯录遍历功能进行限制，导致遍历通讯录

对所有的用户进行一次弱口令的洗劫（参考图一的弱口令），是用Burpsuite破解（简称：BP）

得到一个运维或者运维组员工的邮箱，在邮件里面找到了明文密码.txt

百度某站漏洞导致敏感信息泄露Getshell（涉及至少66W+的用户数据含密码可内网）

上线前没有进行安全检查，.git目录外泄

检出源代码，得到UC_KEY

利用UC_KEY得到webshell

通过webshell内网

搜狐的zabbix,可导致内网渗透

zabbix默认口令（admin/zabbix）

执行正常命令测试命令执行模块

执行恶意命令使服务器反连到你的机器

得到zabbix权限的shell

提权的提权，内网的内网

558同城某业务多个站点存在弱口令导致Getshell（内网小漫游）

Tomcat业务manager模块存在并开启

配置了tomcat-users.xml，并且存在弱口令

上传war包得到webshell

提权的提权，内网的内网

神器而已之奇虎360某站GETSHELL内网漫游到webscan了

网站备份文件放在WEB根目录下，并且能被用户下载

网站代码存在漏洞

Shell之后漫游内网

---

运维管理实践一般包含以下9个内容：

1.信息安全治理与风险管理

2.物理安全

3.身份与访问控制管理

4.主机安全

5.通信与网络安全

6.灾难恢复计划与业务连续性

7.安全运营：部门角色及所承担责任

8.安全配置管理：安全上线步骤、数据泄露防护（DLP）脆弱性扫描与测试

9.运营安全参考标准与制度：包含ISO27001、行政性安全管理制度示例等内容

安全是一个整体，保证安全不在于地方有多强大，而是要找到自己薄弱的地方。不要片面对待安全，即认为不出安全事故就是天下太平，一定要有危机意识。

完整内容>>>>>运维安全管理必修课

课程地址：https://www.aqniukt.com/course/4502