## 前言 昨天晚上有朋友將公網上的一臺 redis 密碼設定為 123456，並且覺得沒什麼影響，再結合我之前畢業設計時被刪庫勒索，以及工作中碰到的網路安全相關的事情，就有了本篇感想，網路安全離我們並不遠！ ## 畢設 MongoDB 被刪庫 哪是答辯前的一天，我發現系統無法登入了，檢視日誌，報 error not found，連線資料庫一看，好傢伙，新聞報道中的勒索事件就發生在了我身上。  說實話，當時看到這個還有點小激動，甚至發了一條朋友圈（第一次碰到這種事，且由於資料不是很珍貴，跑一遍程式碼就重新生成了） 後臺檢視 mongo 的日誌，發現不存在暴力破解密碼的現象，黑客直接登入，然後一上來就是 drop（換句話說，即使我給了他 BTC，我的資料也不可能恢復）  我思來想去，終於想起來，我把配置檔案提交到 Github 上了，裡面的密碼恰好是我 mongo 的密碼，且有段時間倉庫還是 public 的，不過奇怪的是，配置檔案中用的是 ``mongodb://127.0.0.1:27017`` , 並不是我伺服器的 IP，至於黑客是如何搞到伺服器 IP 的，就不得而知了。 這兒要強調的是，**敏感資料不可提交到 Github 等公共倉庫**，聽搞安全的同事說，這世上不知道有多少臺掃描器在 24h 監控著 Github 上的敏感資料。 ## 攝像頭直播  哪天是測試部的同事在測試**弱口令漏洞**，結果就發現了一臺公網上的攝像頭，使用者名稱 root ，密碼 admin123，然後我就登入了上去，看他們在廚房直播做飯。（是一家餐館的攝像頭） 還好是廚房，這要是家裡的攝像頭，隱私全沒了。。。 ## Harbor 任意管理員註冊漏洞 由於業務需求，3月份的時候，我給我們部門部署了一個公網 harbor，當時開發任務又多又急，部署完測試能用後，就一直沒有去管過它。(**使用者註冊功能也沒關！！！**) 直到前幾天排查 harbor redis 記憶體佔用過高問題時，瞄了一眼使用者管理，發現問題不簡單，好幾個奇怪的使用者，部門群裡問了大家，都說不知道。 後來一查，是 harbor 有漏洞，並且這個漏洞利用特別簡單，就是在註冊 payload 中新增 ``"has_admin_role":true`` 即可。[Harbor任意管理員註冊漏洞復現||CVE-2019-1609](https://cloud.tencent.com/developer/article/1595234)  ## 小結 本篇文章結合三件發生在我身上的網路安全事件，旨在提醒大家，網路安全離我們不遠，希望大家能學習一些基本的安全常識，保護自身財產不受