近日,在为某国企单位进行网络安全保障期间,盛邦安全RayAPI产品监测到智慧食堂管理系统信息查询接口存在未鉴权风险,可导致大量敏感信息泄露,包括账号信息、身份照片及系统运行日志等,随后,安全研究人员对该风险进行了详细的验证。
验证步骤
1、RayAPI发现智慧食堂管理系统信息查询接口存在未鉴权风险。
2、关联攻击检测策略进行分析,发现针对该接口存在漏洞利用攻击尝试。
3、查看接口返回信息,发现存在手机号、身份证信息等敏感数据泄露事件。
4、对接口敏感信息进行检测分析,发现除个人隐私信息外,还涉及大量账号信息,其中包括各类摄像头、售卖机和消费机等终端的管理IP及账号口令。
5、进行主动验证测试,发现通过该接口可以直接批量获取敏感信息。
我们的建议
近年来,随着企业信息化、数字化的转型与升级,智慧园区建设当中也不断引入各类新型系统来打通管理流程,例如智慧食堂管理系统,此类系统往往涉及大量员工个人信息,并与其他企业管理系统通过API接口互通,同时又容易被安全运维人员所忽视。对此,我们从系统建设与安全治理两方面给出如下建议:
1、系统建设层面
(1)加强API接口权限控制,尤其针对涉敏类接口,除必要的认证手段之外,还应设定合理的访问频率限制,防止接口被恶意爬取;
(2)加强敏感数据管控措施,尤其针对个人隐私信息,一方面需建立必要的加密传输手段,另一方面需减少非必要的数据内容传输,防止数据过度暴露。
2、安全治理层面
(1)做好接口暴露风险检测。以RayAPI为例,通过对接口类型、调用内容与访问轨迹等条件的关联检测,识别敏感接口的误暴露风险情况;
(2)做好接口异常行为检测。以RayAPI为例,通过对接口访问频次、数据调用规模的趋势分析,识别可能存在的接口攻击行为,并配合安全基线要求设定访问控制策略。
原文始发于微信公众号(盛邦安全WebRAY):单位敏感数据泄露,罪魁祸首竟然是食堂管理系统
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论