网站漏洞真的防不胜防么?

百家 作者:知道创宇 2018-03-15 12:52:33 阅读:507

创宇君近日在安全媒体freebuf上看到一篇文章,作者称发现了某金融企业网站留有后门,而且是个0day。原文地址如下:

http://www.freebuf.com/articles/web/164609.html  有兴趣的可以看一看。

在这里我们不去讨论这个后门的真假和性质,创宇君看到MallBuilder这个系统的瞬间,突然打开了记忆的大门......


2017年,创宇君作为404积极防御实验室的一员,通过知道创宇安全大数据平台发现了某商场的两个系统漏洞,该商场使用的正是MallBuilder(v5.8.1.1)。

存在的漏洞文件


文件替换漏洞:

$pic 是一个固定路径拼接上用户访问时传递过来的 pname, 通过构造pname,可以替换网站上任意jpg后缀的图片。创宇君试了一下:


另一个是代码执行漏洞:

如果将 pname的值置为 test.php ,这段代码将先从指定的URL获取内容,命名为 test.php 保存。然后生成缩略图,再将test.php重命名为xxx.php.jpg 。


此时用多个线程去生成 test.php ,再用多个线程去尝试请求 test.php ,就有可能成功执行 test.php 中的代码。 

这两个漏洞由于当时属于0day,而且非常容易利用,企业网站往往只能任人宰割......

我们实验室小伙伴第一时间提交给了官方,据说官方也及时进行了修复(每天漏洞太多了,实在没有精力再去跟踪,摊手~)。


进入安全领域,特别是来知道创宇之后的这几年,见了太多漏洞,也见了太多因为各种各样安全问题造成很大损失的客户。有一部分原因是很多企业没有安全意识,很多网站完全是裸奔状态。而更为可怕的是,对于大多数企业,即使有安全意识也很难有方法防范。


一是此类漏洞安装的时候后门就已经存在了,企业很难注意到。二是大多数企业没有专门的安全部门,大部分公司是缺乏专业安全知识的,遇到这种问题很难去避免。


那么企业在没有专业安全人员或者人员较少的情况下,如何避免此类问题呢?创宇盾在开发的时候就提出了,去人工化帮助网站进行防御。

所以我们采用了创宇盾历史累积的攻击模型,网站接入后可以直接识别并阻断利用过程,无需人工参与的方式,常见攻击手法直接挡住,特殊的漏洞添加防御规则也就可以防御啦,不仅大大减少了企业专业安全人员不足的问题,更为重要的是防御能力是人工远不可能达到的。

更多精彩文章精选

棋牌游戏易招黑,DDoS防御要常备

DDoS核导弹已引爆,全球17万网络设备可能已受核辐射

【聚焦两会】代表们的安全观

知道创宇云安全已在全球部署多个海外CN2数据中心

等保2.0 | 知道创宇出招助企业应对安全挑战


知道创宇云安全

-----------------------

让你的网站更安全

微博 ID:知道创宇云安全


点击“阅读原文”进入云安全防御平台

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接