脚本之家 服务器常用软件
快捷导航
您的位置:首页网络编程相关技巧 → 防止删库跑路代码投毒

防止删库跑路及高级代码投毒技巧

 更新时间:2022年07月18日 10:21:00   作者:TodoCoder  
这篇文章主要为大家介绍了防止删库跑路及高级代码投毒技巧详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪

引言

事情是这样的,最近在做开源软件供应链安全相关的项目,之前没了解这方面知识的时候感觉服务器被黑,数据库被删,网站被攻,这些东西都离我们太遥远了,因为感觉好像都轮不到我们,直到我开始做这个项目,才发现网络安全,软件安全问题真的是无处不在。

今天我们来聊聊删库跑路和代码投毒。 我们从可操作性及易发现性还有后果及预防策略上来探讨一下。

删库跑路

在软件行业,“删库跑路”流传已久,对,就是删完库,跑在监狱的路上,这个对于安全来说简直是小儿科。

可操作性

1. 权限控制

像数据这么敏感的权限会控制的比较严格,比如人员的权限控制及防范:

  • 运维人员需进行双因素认证;
  • 防火墙或其他安全设备进行网络限制,仅允许从堡垒机才可访问至核心资产;
  • 数据库等系统资源账号密码托管在堡垒机中,堡垒机定期自动改密,运维人员无需知道数据库等系统资源的账号密码;
  • 严格控制后台资源的访问权限,做到访问权限最小化原则,给不同运维人员分配最小访问权限;
  • 设置数据库等高危操作命令的金库模式,执行高危命令时可触发阻断、二次审批等操作;
  • 根据实际情况设置更高级别安全限制,比如登录堡垒机时的IP地址、MAC地址限制,登录堡垒机的时间限制等等。

看到了没,首先第一步你让007来也不一定能搞定。就算侥幸跨过了第一步。。。然后就被警察抓走了。。。猪角卒。。

2. 数据备份

  • 数据定期备份。
  • 云厂商数据防护。
  • 异地多活。

就算删了也能快速恢复。

综上:你能删库的概率基本为0了,只要地球还在数据就还在

易发现性

这个不用多讲,即使能删库,有这个权限的人一根指头都能数清,那就是你了。。

影响后果

删库跑路一般是只会影响自己的公司,对其他企业或者人员没啥影响。但是对于你。。。。

相信你已经做出了你的选择。

代码投毒

代码投毒,是指攻击者在合法软件的开发、传播和升级过程中进行劫持或篡改,从而达到非法目的的攻击类型。鉴于当前超过99%的商业软件包含开源软件,一旦具有大规模用户基础的开源软件存在安全漏洞,势必会影响整个软件产业、甚至其他重要行业的供应链安全。

最近的案例

node-ipc 包的作者 RIAEvangelist 在以反战名义代码投毒投毒

他提交的是一段恶意攻击代码:如果主机的 IP 地址来自俄罗斯或白俄罗斯,该代码将对其文件进行攻击,将文件全部替换成 ❤。该作者是个反战人士,还特意新建了一个 peacenotwar 仓库来宣传他的反战理念。据悉,该 package 每周下载量达到了百万。另外,使用 Yarn 的开发者也受到了影响。

PyPI 官方仓库遭遇150+恶意包疯狂投毒

攻击者mega707通过模仿agoric,datadog等知名软件包进行钓鱼,当用户安装攻击者的恶意包时,攻击者可窃取用户信息,环境地址等敏感信息上传至指定服务器。

Fastjson官方披露高危漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响

2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。建议使用了 fastjson 的用户尽快采取安全措施保障系统安全。

可操作性

  • 包抢注攻击

攻击者通过向主流的软件包管理员(PyPI、Node.js npm、Maven、RubyGems、Docker Hub)投放大量「相似拼写名称」谐音的软件包或镜像,仿冒正规项目,从而让有恶意代码的代码包被安装到开发或生产环境。

  • 依赖库注入恶意代码

攻击者通过自身的攻击能力与掌握的漏洞,入侵软件、硬件供应商的办公与开发环境,直接向产品代码内植入后门,在设备上预安装的恶意软件 (相机、USB、电话等),实现恶意代码与后门的分发,最终进入被攻击目标的网络。

预防策略

1)企业内部维护可信软件仓库,尽量减少企业人员从各种未知渠道下载软件。

2)监测服务器和PC运行软件的异常操作和流量,甚至提前对软件进行沙盒检测,主动发现潜在隐患。

3)全面梳理和维护企业在用软硬件信息,在供应链攻击曝光时做到快速止损定损。

4)使用官方渠道下载的IDE;软件分发及升级采用HTTPS等加密传输;避免内置远程控制能力;定期自检官网代码和执行程序是否存在恶意篡改。

对于企业级的,可以引入DevSecOps ,把安全扫描引入到DevOps流程当中,做好预警通知的能力,第一时间发现并修复软件漏洞。

最后

不管是删库跑路还是代码投毒,这些都是法律的红线,调侃归调侃,玩笑归玩笑,笑过以后,希望每个开发者都应该有敬畏之心,不然就只能到包吃包住的地方摸鱼了。

以上就是防止删库跑路及高级代码投毒技巧的详细内容,更多关于防止删库跑路代码投毒的资料请关注脚本之家其它相关文章!

您可能感兴趣的文章:

相关文章

  • 网络编程之get与post的区别与联系

    网络编程之get与post的区别与联系

    这里来说说get与post的区别与联系,对这方面不懂的鹏哟可以参考下。
    2011-04-04
  • Unity中webgl使用避雷要素指南

    Unity中webgl使用避雷要素指南

    这篇文章主要介绍了Unity中webgl使用过程中会踩过的坑,以及如何解决这些问题,有需要的朋友可以借鉴参考下,希望可以对广大读者朋友能够有所帮助
    2021-09-09
  • Git 教程之标签详解

    Git 教程之标签详解

    本文主要介绍Git 标签的内容知识,这里整理了相关资料及详细说明Git 相关命令用法,有兴趣的小伙伴可以参考下
    2016-09-09
  • 数据类型和Json格式分析小结

    数据类型和Json格式分析小结

    数据类型和Json格式,需要的朋友可以参考下。
    2009-10-10
  • alt键 chr码值对应列表查看方法

    alt键 chr码值对应列表查看方法

    有时候在开发过程中,需要知道chr的码值,有时候有些东西记不住就可以用下面的方法。
    2009-09-09
  • Sublime将数据json格式化的操作方法

    Sublime将数据json格式化的操作方法

    这篇文章主要介绍了Sublime将数据json格式化的操作方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2023-06-06
  • 算法系列15天速成 第十二天 树操作【中】

    算法系列15天速成 第十二天 树操作【中】

    先前说了树的基本操作,我们采用的是二叉链表来保存树形结构,当然二叉有二叉的困扰之处,比如我想找到当前结点的“前驱”和“后继”,那么我们就必须要遍历一下树,然后才能定位到该“节点”的“前驱”和“后继”,每次定位都是O(n),这不是我们想看到的,那么有什么办法来解决呢
    2013-11-11
  • Git冲突处理指南之如何高效解决代码冲突问题

    Git冲突处理指南之如何高效解决代码冲突问题

    我们在日常使用Git的过程中经常会发生一些意外情况,如果处理不当,则可能会出现代码丢失的假象,这篇文章主要给大家介绍了关于Git冲突处理指南之如何高效解决代码冲突问题的相关资料,需要的朋友可以参考下
    2024-08-08
  • 微信小程序搭建及解决登录失败问题

    微信小程序搭建及解决登录失败问题

    这篇文章主要介绍了微信小程序搭建及解决登录失败问题的相关资料,需要的朋友可以参考下
    2016-09-09
  • VSCode如何巧用正则表达式快速处理字符段

    VSCode如何巧用正则表达式快速处理字符段

    正则真的好用,平时工作用正则最多的地方就是在编辑器里做查找替换,下面这篇文章主要给大家介绍了关于VSCode如何巧用正则表达式快速处理字符段的相关资料,需要的朋友可以参考下
    2022-11-11

最新评论