匯聚數據牛人實踐精華網羅職場大佬成長秘籍
公眾號推文規則改變,關注CDO研習社并設為星標,以免錯過優質干貨,每天干貨不斷,與優秀數據從業者同行!回復「加群」加入免費群/知識星球/會員群,超值干貨等你來。
整理 | 萬佳、核子可樂
當今,數據庫可以說是網絡空間中每一項技術的實現基石。隨著世界各地越來越多邊緣智能設備接入互聯網,敏感數據暴露的風險也在隨之提升。過去幾年,大規模數據泄露事件越來越司空見慣,百萬甚至千萬條記錄的大規模泄露事件層出不窮。泄露的原因之一,就是直接接入互聯網的數據庫存在安全性差 / 未經驗證保護的問題。
最近,RedHunt 實驗室對網上公開的數據庫進行研究,結果令人震驚:
過對攻擊面管理(ASM)門戶“NVADR”的統計數據進行研究,RedHunt 實驗室發現約 40% 的暴露問題涉及未受驗證保護內容的意外公開。除了其中常見的源代碼 repo、內部文檔、查詢系統 / 門戶以及儀表板之外,最受關注也是最具安全影響的當然是未經驗證保護的數據庫。這些暴露在外的數據庫不僅常被發現,而且往往會極大影響并增加相關組織的攻擊面。
為了解互聯網上公開的數據庫安全現狀,RedHunt 實驗室選擇了 8 種數據庫作為研究對象,具體包括:
同時,他們還創建了一款掃描工具,力求以理想的速度與準確性覆蓋整個互聯網,同時避免觸碰到排除清單中的對象。RedHunt 實驗室決定在整個 IPv4 空間內使用統一的單個數據包掃描保持這一非侵入性要求。該工具的基本架構如下所示:
現在,看看具體的發現和影響。
MongoDB 是一款跨平臺且面向文檔的開源數據庫,也是目前使用類 JSON 存儲對象的高人氣 NoSQL 數據庫方案之一。雖然最新的 MongoDB 版本已經采取了嚴格的 ACL 策略,但其 2.6.0 之前的版本仍然默認監聽所有接口上的連接。換句話說,默認安裝下的 MongoDB 會直接向未經身份驗證的互聯網連接開放。
RedHunt 實驗室共發現了 21387 個未經驗證保護 / 公開的數據庫。
幸運的是,最新版本的 MongoDB 現在只默認監聽本地連接。但研究表明,這種暴露背后代表的不只是默認設置中的隱患,因為所發現的大部分非安全 MongoDB 其版本都要高于 2.6.0。下面來看關于非安全數據庫版本的基本情況:
盡管 MongoDB 團隊已經努力提出相關安全最佳實踐,但大部分數據庫仍然未受身份驗證保護、而且對互聯網直接開放。
是一款面向文檔的 NoSQL 數據庫,主要強調高性能搜索、分析與可視化。從本質上講, 為不同的軟件版本實施了不同的 ACL 策略,具體策略因許可證而異。在 說明文檔中可以看到,如果“您使用免費 / 基本許可證,則默認情況下禁用 安全功能。”但對于其他企業許可證,則直接啟用身份驗證。
在研究中,共確定了 20098 個暴露的 實例。這些易受攻擊的 IP 分布在 104 個國家共 982 座城市。
有趣的是,作為一個相當陳舊的版本,1.4.1 版居然在 使用量中排名第二,共有 577 個相關實例。下圖為各個版本的實際使用數量:
作為一項安全措施,最新版本的 會在默認安裝中顯示警告標頭,提示“未使用內置的安全功能”。
3Redis
Redis 是一套內存內數據結構存儲系統,可作為鍵值對數據庫、緩存或消息代理使用。Redis 專為受信環境下的受信客戶端所設計,因此本身并不具備強大的安全保護功能。盡管說明文檔明確提到“除網絡中的受信客戶端外,其他各方均不應有權訪問 Redis 端口”,但我們仍在互聯網上發現了大量 Redis 數據庫。
在研究中,共發現了 20528 個非安全 Redis 數據庫。
由于 Redis 實例的部署量已經相當驚人,為了亡羊補牢、開發人員決定自 3.2.0 版本起引入“保護模式”——Redis 會僅回復來自環回接口的查詢。通過其他地址進行接入的客戶端會收到一條錯誤提示,說明應如何正確配置 Redis。盡管采取這項安全修復措施,但我們研究中發現的大部分公開 Redis 實例使用的正是 3.2 以上版本。
與 Redis 類似, 是另一套通用型分布式內存緩存系統,通常用于數據庫加速功能。在安全性方面, 同樣不具備任何身份驗證機制,而且默認監聽所有接口。結合過往的拒絕服務放大攻擊來看,這樣的設置無疑具有巨大的安全風險。
令人震驚的是,我們在研究中共發現 25575 個暴露在外的 服務器。
各版本的使用量如下圖所示:
5Apache CouchDB
CouchDB 是一款極具人氣的 NoSQL 數據庫,與 MongoDB 頗有相通之處。自誕生以來,CouchDB 一直遵循“默認開放”原則,這也導致默認安裝配置極易受到攻擊影響。
我們共在互聯網上發現 1977 個非安全 CouchDB 實例。
值得慶幸的是,隨著 3.0 版本的發布,CouchDB 開發人員終于決定用“默認安全”替代作死性質的“默認開放”方法。其要求我們在初始化數據庫之前設置管理賬戶,因此能夠大大降低風險水平——結合實際觀察,網上公開暴露的大部分 CouchDB 數據庫使用的版本也確實為 3.0 以下。
6Apache
Apache 是一套開源 NoSQL 分布式數據庫,強調可擴展性、高可用性與性能。但從安全角度來看,其默認安裝配置很可能面臨安全威脅。援引 說明文檔中的解釋:
在默認情況下,這些(安全)功能會被禁用, 可被集群內其他成員輕松發現。換句話說, 開箱即用的特性會給惡意攻擊者提供巨大的攻擊面。
在我們的研究中,共發現 3340 個 數據庫以未經任何驗證保護的形式暴露在互聯網上。
下圖所示,為易受威脅影響的各 版本。有趣的是,其中 v2.0.15 幾乎占所有暴露數據庫中的 70%。
也是一套開源數據庫,利用帶有動態模式的 JSON 文檔進行實時數據處理。默認情況下, 提供一個具有全局范圍內所有權限、但卻未經密碼保護的 admin 內置賬戶。有意思的來了:Web 管理界面將始終以 admin 權限接入,無需任何身份驗證。更要命的是,用戶根本無法在 Web 管理 UI 上啟用身份驗證功能。對這套數據庫施加保護的唯一方法,就是變更集群監聽連接的接口。
在我們的研究中,共發現 570 個暴露在互聯網上的 數據庫。
令人意外的是,在暴露在外的數據庫中出現了一個相當陳舊的版本——1.16.2-1(發布于 2015 年)。下圖為各暴露 的相關版本數量:
8HBase
Apache HBase 也被稱為 Hadoop 數據庫,是一種分布式大數據存儲系統。Hadoop 生態系統相當復雜,涵蓋 HDFS、YARN 以及 等多個依賴項。很明顯,其驗證過程也相當復雜。HBase 需要通過嚴格遵循 SASL 的 在 RPC 層級上實現授權。同樣的,HBase 的默認安裝配置中沒有任何身份驗證要求 (hbase-default.xml):
在我們的研究中,總計發現 1846 個非安全 HBase 實例。
Hadoop 還附帶一套 WebUI 管理界面,允許外來者輕松訪問甚至對文件系統(HDFS)進行全面的讀取 / 寫入操作。我們琮注意到,這些易受攻擊的數據庫還提供一個未經驗證保護的 HTTP WebUI,直接通過端口 50070 暴露在互聯網上。該 WebUI 的存在能夠顯著簡化攻擊者的入侵流程,因此進一步擴大了攻擊面。
我們還發現,大部分非安全數據庫也同時開啟了端口 2181(),相當于給攻擊者留了另外一扇門。Hadoop 生態系統中各個組件的“協同參與”,顯著增加了這套數據庫的整體攻擊面。
下圖所示,為前十大易受攻擊的 Hadoop 版本:
9要點總結
下面,我們來聊聊可能導致暴露問題的各項因素:
默認設置不安全
在研究中,我們發現這些數據庫之間最驚人的相似之處,就是默認不帶安全配置。有些朋友會認為這是為了實現可用性與安全性間的平衡,但必須承認這是個需要關注的大問題。我們不可能指望用戶在安裝完成后主動添加各類安全保障方案。好消息是,部分數據庫開發者已經開始采取“默認安全”策略來解決這個問題。
缺乏安全意識
在發現這么多暴露在互聯網上的數據庫后,我們覺得開發人員的安全意識可能仍然比較淡薄。從以上統計數據可以清晰看出,盡管某些數據庫也提供安全安裝選項,但出于某種原因,最終結果仍然是直接暴露在網上。在構建面向互聯網的產品時,理解安全上下文非常重要。因此本文呼吁各位開發人員在設置任何基礎設施之前,請務必認真閱讀官方說明文檔(特別是安全性配置部分)。
存在大量未跟蹤資產,包括影子 IT 與高價值信息
如果未能及時發現,影子 IT(即未得到正確跟蹤的已部署基礎設施)可能導致關鍵數據意外泄露。作為“皇冠上的明珠”,高價值信息資產一旦受到損害,可能給組織造成重大業務影響。此類高價值資產需要在整個開發生命周期中得到持續的跟蹤與管理,確保在暴露事件發生之前即得到關注與保護。
10實際影響
數據庫暴露很可能帶來毀滅性的后果,包括現有數據外流、信息濫用、權限提升以及入侵等等。這類典型違規事件很可能給組織聲譽造成破壞性影響,并嚴重沖擊消費者對組織的評價與信心。
11寫在最后
如今,我們已經正式迎來萬物互連的新時代。從以上統計數據可以看出,互聯網上相當一部分數據庫仍然極易受到攻擊影響。這也讓我們再次深切意識到,已經無數被強調的正確資產管理理念并沒有得到實際推行。在本文的最后,我們要再給您提個醒——請馬上檢查一下,您的組織內有沒有不該公開發布的數據庫被暴露在外。
原文鏈接:
電腦大于等于號怎么打?多種方法輕松搞定
新用戶專享:「香港/美國云服務器」新購6折 低至9元/月!點擊查看活動介紹>>>
在電腦操作中,遇到打出大于等于號的問題,常常讓人感到煩惱。這個看似簡單的符號,卻讓許多人感到困惑。今天,我將詳細為大家介紹如何在電腦上輸入大于等于號。
鍵盤直接輸入
電腦鍵盤上確實有專門用于輸入大于等于號的按鍵。通常情況下,這個按鍵位于回車鍵的左邊,直接按下即可。但若鍵盤上只顯示等號,那我們得借助Shift鍵。在辦公日常中,不少初學者可能并不了解這一操作。尤其在編寫數學公式或編程作業的小型筆記本電腦上,此類情況較為常見。在許多電腦的默認輸入法中,不按Shift鍵是無法打出大于等于號的。一旦掌握了這一方法,以后在普通文檔中輸入這個符號就會變得十分簡單。
不同電腦型號的鍵盤布局存在些許差別。比如,聯想部分系列電腦的鍵盤按鍵尺寸和布局可能與戴爾電腦不盡相同。雖然它們都是標準鍵盤,但這些細微的差別有時可能會誤導使用者。不過,關于大于等于號這個鍵的基本布局和操作方式,倒是普遍適用的。
輸入法助力
使用輸入法輸入大于等于號是個非常方便的做法。現在多數輸入法都配備了豐富的符號庫。在Word或Excel等辦公軟件中,若需輸入該符號,無需在鍵盤上尋找按鍵,直接借助輸入法即可。以搜狗輸入法為例,輸入“”這個拼音,符號庫便會顯示大于等于號,點擊即可輸入。而且,許多輸入法還提供了快捷鍵功能。比如,訊飛輸入法中,通過特定的組合鍵,就能快速打開符號選擇界面,輕松找到大于等于號。
撰寫學術論文或制作財務報表時,使用這種輸入法非常便捷。尤其當需要輸入眾多符號且對鍵盤符號布局不太熟悉時。此外,不同的輸入法還會根據用戶的使用習慣持續更新和優化符號輸入功能。因此,嘗試多種輸入法的功能,無疑能顯著提升日常工作的效率。
字符映射表查找
在Windows操作系統里,字符映射表是個非常實用的工具,能幫助我們輕松打出特殊符號,包括大于等于號。要找到電腦中的字符映射表功能,不同版本的Windows系統操作略有差異。以為例,你只需在搜索欄輸入“字符映射表”,就能找到它。接著,在眾多符號中找到大于等于號,選中后先復制,再粘貼到需要的地方。這種辦法對于那些不太常見、難以通過鍵盤或輸入法輸入的特殊符號尤其有用。
在設計帶有特殊符號的海報時,若需挑選獨特的符號,比如大于等于號,字符映射表便能發揮其作用。盡管這種做法比前兩種方法更為復雜,但在需要精確查找特定符號時,其可靠性卻相當高。
操作系統影響
不同的操作系統對輸入大于等于號的影響各不相同。在Windows系統中,正如前文所述,有多種方法可以實現。然而,在蘋果的Mac系統里,情況則有所不同。Mac系統的鍵盤布局和操作邏輯與Windows截然不同。通常,用戶需要借助特定的快捷鍵,或在輸入法中尋找特殊符號的輸入功能。例如,在使用等軟件時,若要輸入大于等于號,就必須遵循Mac的操作規則。
在Mac系統使用過程中,手勢操作等特色功能可能被更加重視。同時,蘋果的操作系統在更新時,偶爾也會對符號輸入方式做出調整。因此,蘋果用戶需時刻留意系統更新,了解操作方式可能發生的變動。
輸入法版本差異
即便是同一款輸入法的不同版本,輸入大于等于號的方法也可能有所差異。以搜狗輸入法為例,它的版本在不斷更新。在舊版本中,某些符號的輸入快捷菜單布局可能不盡相同。而新版本,由于增加了更多功能或優化了算法,使得符號輸入更加智能和高效。這或許會改變大于等于號的輸入方法。比如,舊版本中的一個快捷鍵,在新版本中可能變成了另一種操作方式。
用戶若想熟練輸入大于等于號等符號,必須更新輸入法至最新版本,同時也要了解不同版本的操作區別。這樣,在工作和學習中需要輸入符號的場合,才能提高輸入的正確率和效率。
多種方法組合使用
在實際操作中,我們可以將上述方法靈活結合。若鍵盤輸入無效,可能是鍵盤出了問題,或是輸入法設置不當。這時,我們可立即切換至輸入法的符號庫,或使用字符映射表。新電腦裝機初期,對功能和操作可能不太熟悉,采用這些組合方法,能幫助我們更快地輸入大于等于號。
辦公族和學生朋友們,都不要只依賴一種手段。面對各種環境和各式電腦,靈活應變才是上策。
在使用電腦打字時,你是否曾輸入大于等于符號時遇到什么有趣的事或遇到難題?歡迎在評論區分享你的經歷,別忘了點贊并轉發這篇文章。
四川、湖北、香港、臺灣、日本、韓國、美國獨立服務器新購8折,點擊查看配置>>>