低代码与网络安全：如何应对 SharePoint 漏洞带来的风险？

一、认识 SharePoint 漏洞及其危害

SharePoint 常见漏洞类型

近期，微软 SharePoint 平台被曝光存在严重漏洞，如远程代码执行（RCE）漏洞 CVE - 2024 - 38094，其 CVSSv3.1 得分高达 7.2 ，意味着潜在威胁相当大。此外，还存在 WebDAV 和 HTTP PUT 的安全隐患，可能出现 webdav 直接上传 webshell、通过程序文件上传漏洞上传 webshell 以及 webshell 权限过高导致被提权等情况。

漏洞带来的风险

这些漏洞一旦被利用，黑客可以获得对企业网络的初始访问权限，进行数据窃取、篡改等操作，导致企业数据泄露、业务中断，给企业带来巨大的经济损失和声誉损害。例如，攻击者可以使用代码启用 SharePoint 中的“在应用程序中打开”功能来访问和下载文件，同时仅在文件的审核日志中留下访问事件，从而逃避检测。

二、低代码环境下 SharePoint 漏洞的特殊性

低代码开发的特点

低代码开发平台使公民开发者能够快速进行应用开发，降低了开发门槛和时间成本。但这也可能引发“影子工程”项目，即未经 IT 部门正式批准的开发项目，增加了安全管理的难度。

对 SharePoint 漏洞的影响

在低代码环境下，更多非专业的开发者参与到 SharePoint 相关应用的开发中，他们可能缺乏足够的安全意识和技能，容易在开发过程中引入新的安全漏洞，或者无法及时发现和修复已有的 SharePoint 漏洞，从而放大了漏洞带来的风险。

三、应对 SharePoint 漏洞风险的策略

及时更新与修复

企业应尽快对 SharePoint 进行安全评估和更新，微软通常会发布针对已知漏洞的补丁程序。及时安装这些补丁可以有效修复漏洞，降低被攻击的风险。例如，对于 WebDAV 问题，可以在安装时直接不安装 WebDAV 组件来避免相关风险。

加强安全配置

对 SharePoint 进行合理的安全配置，如限制用户权限、设置访问控制列表、加强身份验证和授权机制等。确保只有授权用户能够访问敏感数据和执行关键操作，减少漏洞被利用的机会。

提高安全意识培训

对使用 SharePoint 的员工和开发者进行安全意识培训，特别是在低代码开发环境下，让他们了解 SharePoint 漏洞的危害和防范方法。例如，教育开发者如何编写安全的代码，避免引入新的安全隐患。

部署安全防护工具

可以部署专业的网络安全防护工具，如防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）等，实时监控 SharePoint 系统的网络流量，及时发现和阻止潜在的攻击行为。同时，也可以考虑使用专业的漏洞扫描工具，定期对 SharePoint 系统进行漏洞扫描和检测。

建立应急响应机制

制定完善的应急响应预案，当发现 SharePoint 漏洞被攻击时，能够迅速采取措施，如隔离受影响的系统、备份数据、恢复业务等，减少损失。定期进行应急演练，确保应急响应团队能够熟练执行预案。

总之，在低代码开发的大趋势下，企业必须高度重视 SharePoint 漏洞带来的网络安全风险，采取有效的应对策略，保障企业数据和业务的安全。