教育行业安全风险与攻防实践.pptxVIP

教育行业安全风险与攻防实践教育行业安全风险与攻防实践 教育行业安全风险概览01攻防对抗实践02以攻促防,共筑安全新高度03CONTENTS目 录 教育行业安全风险概览01CONTENTS目 录 行业风险概览《某移动教学应用数据库发生信息泄露，信息遭售卖！》《陕西某大学遭美情报机构网络攻击，再敲网络安全警钟》安全风险事件《郑州一高校近万名学生个人信息遭泄露》 电信诈骗: 两在校学生遭遇电信网络诈骗,分别被骗2万余元 身份冒用: 广西某高校1457名学生“被开银行卡”！ …… ……风险类型占比社会工程学网络攻击恶意软件其他数据泄漏 行业风险概览PS:数据来源于教育漏洞报告平台2022年教育行业网络攻击类型TOP5攻击类别事件报告数总占比敏感信息泄漏1024026%18%44%弱口令7267SQL注入5472逻辑缺陷4365文件上传260114%11%7%11000100009000800070006000500040003000200010000逻辑缺陷文件上传漏洞SQL注入漏洞任意文件下载敏感信息泄露代码执行漏洞命令执行漏洞XSS漏洞其他漏洞弱口令未授权访问 行业风险概览高校院系和校区，业务系统部署模式错综复杂运营人员安全意识较差，对信息发布未经脱敏处理第三方软件开发商产品多，供应链攻击重灾区教育行业安全风险主要因素事件/通用占比 (中危及以上)通用型漏洞事件型漏洞50%50%第三方软件开发商教务系统学工系统身份认证系统其它类业务系统 攻防对抗实践02CONTENTS目 录 攻防对抗实践WebVPN业务系统群组教职工/学生群体WebVPN 、统一身份认证系统的建设有效减少了弱口令的风险attacker教职工/学生群体成主要攻击群体获取到前置系统身份凭证或与内网建立联系为主要目的 攻防对抗实践弱口令主要攻击系统:统一身份认证系统/WebVPN常见弱口令组合:学号 / 姓名 -> 获取路径 搜索引擎: site: 学号1.账户: 学号 / 姓名全拼 密码: 学号2.账户: 学号 / 姓名全拼 密码: 身份证后6位3.账户: 学号 / 姓名全拼 密码: 姓名首字母+学号教育行业常见信息收集途径ID CardnamephoneID number学号PhoneId number……某教学app数据泄漏某行业软件信息泄漏……页面未脱敏信息百度云资源搜索……第三方软件开发商社会工程学闲鱼/Github等历史泄漏信息搜索引擎关联信息 攻防对抗实践钓鱼邮件社会工程学传统钓鱼内容/社会工程学1.反诈意识较深，防范意识高2.周期长，需要时间建立信任3.社会发展因素，一般的小便宜懒得占attacker教职工/学生群体 攻防对抗实践定向“撒饵“，主打愿者上钩网课又长又枯燥，价位也很低，还先刷后付，完全不用担心呢这么便宜还是先刷后付，我就不信你不上当大学生最懂大学生当代大学生懒惰请求加为好友xx网课平台网课代刷，xx乐跑代跑，全校均可下单，诚信交易，先刷后付，先刷后付，先刷后付！学长,真的吗？先刷后付?是的,2元一科,纯人工,刷完付款，需要请提供账号密码以及课程id好的,账号xx,密码xx….XX大学新生交流群怎么这么多选修网课啊！怎么还要每学期跑20次2公里啊！我太难啦！！！！那么针对学生群体主要还是根据需求去定向撒饵，主打愿者上钩，那么在疫情期间可能都有修不完的网课。随着疫情的放开，一些高校就开始关注学生的身体素质，安排了一系列的跑步指标等。那么可以根据这类需求去发布一些具有诱惑性的短文。突破心灵防线，从0信任到全寝希望。 攻防对抗实践业务系统群组业务系统对接统一身份认证后并没有对应用自身的路由访问进行权限检验未授权漏洞仍然可以继续利用attacker教职工/学生群体Cas Server未授权访问0day漏洞/Nday漏洞黑盒Fuzz静态文件识别法 攻防对抗实践DWR:/dwr/interface/{ScriptName}.jsAjaxPro:/ajaxpro/{NameSpace}, {ClassName}.ashx通过检索JS文件内容获取AJAX请求地址第三方组件地址暴露: 如 Apache CXF , Apache AXIS, ASP.NET WebService(.asmx) 地址暴露框架配置问题导致Debug页面依然存在 。 如：swagger-ui，dwr 攻防对抗实践AjaxPro2, CVE-2021-23758，Fuzz实践MethodParameter参数数量Submit URL :/ajaxpro/{NameSpace}, {ClassName}.ashx?method={Method} Header: X-AjaxPro-Method:{Method} Content-Type: applicati