本期報(bào)告概要:
2010年1月12日上午7點(diǎn)鐘開始,全球最大中文搜索引擎“百度”遭到黑客攻擊,長(zhǎng)時(shí)間無(wú)法正常訪問。這是自百度建立以來,所遭遇的持續(xù)時(shí)間最長(zhǎng)、影響最嚴(yán)重的黑客攻擊。回顧2010年,猖獗的WEB 零日漏洞攻擊似乎預(yù)示著,2011年又將是一個(gè)WEB 零日漏洞活躍的年份。各種安全漏洞的傳播仍將繼續(xù)擴(kuò)大,僵尸網(wǎng)絡(luò)還將活躍并更加頻繁變換方位,而黑客也將繼續(xù)絞盡腦汁發(fā)明新的方式,以試圖逃過各種安全軟件的過濾。為此,杭州安恒信息技術(shù)有限公司攻防實(shí)驗(yàn)室結(jié)合自身研究成果總結(jié)并發(fā)布2010-2011 Web 零日漏洞安全報(bào)告,從而呼吁整個(gè)互聯(lián)網(wǎng)關(guān)注Web時(shí)代信息安全的全新威脅及趨勢(shì)走向。
本期報(bào)告主要內(nèi)容:
■ 2010-安全事件回顧;
■ 2010- 0day回放;
■ Web安全未來發(fā)展趨勢(shì)與挑戰(zhàn)。
2010-安全事件回顧:
? 2011-3月和被入侵
攻擊者通過上查看用戶的頁(yè)面進(jìn)入,獲取到了數(shù)據(jù)庫(kù)、表及存儲(chǔ)用戶密碼的dump數(shù)據(jù)。更嚴(yán)重的是,攻擊者將用戶密碼數(shù)據(jù)公布在網(wǎng)上讓其他人進(jìn)行破解。更糟糕的是MySQL產(chǎn)品負(fù)責(zé)人的密碼已被破解(竟然是4位數(shù)字:安全意識(shí))。
? 2011-4月,索尼數(shù)據(jù)服務(wù)器被入侵
日本索尼公司5月1日在東京舉行新聞發(fā)布會(huì),就公司網(wǎng)絡(luò)游戲用戶個(gè)人信息遭竊一事表示道歉,承認(rèn)1000萬(wàn)張信用卡資料可能外泄,已邀請(qǐng)美國(guó)聯(lián)邦調(diào)查局(FBI)展開調(diào)查。
? 2011-6月 Gmail郵箱被攻擊
當(dāng)Gmail用戶打開帶有Flash漏洞攻擊代碼的惡意網(wǎng)頁(yè)時(shí),Gmail郵箱中將被黑客偷偷添加一個(gè)“間諜”帳戶。這個(gè)“間諜”帳戶不僅可以閱讀所有郵件,甚至還能冒充Gmail郵箱的主人向外發(fā)送郵件,從而使黑客達(dá)到發(fā)布惡意廣告、欺詐信息等目的。
Flash被廣泛應(yīng)用在網(wǎng)頁(yè)視頻、網(wǎng)頁(yè)游戲等領(lǐng)域,國(guó)內(nèi)幾乎90%以上的電腦都安裝了Adobe Flash 。同時(shí),Gmail在國(guó)內(nèi)也擁有大量忠誠(chéng)用戶。因此,F(xiàn)lash“間諜”漏洞的曝光將對(duì)Gmail郵箱安全造成極大威脅。
? 2011-6月新浪微博遭黑客攻擊
圖片為引入的蠕蟲JS文件:
▲點(diǎn)擊查看原圖
6月28日晚,許多新浪微博用戶的微博賬號(hào)突然間大爆發(fā),短時(shí)間內(nèi)發(fā)布了多條帶有短鏈接的微博并對(duì)粉絲發(fā)同類私信。這其中不乏加V認(rèn)證的用戶。而粉絲們收到該微博內(nèi)容后,受微博或私信中誘惑性文字的誘導(dǎo),點(diǎn)擊該鏈接后,這一批用戶也遭受感染,進(jìn)行批量發(fā)布帶有惡意短鏈接的微博。據(jù)分析,此次新浪微博大范圍遭受XSS攻擊,主要原因是新浪微博的名人堂過濾不嚴(yán),導(dǎo)致執(zhí)行跨站腳本。當(dāng)用戶點(diǎn)擊該惡意鏈接后,蠕蟲病毒就通過這些用戶繼續(xù)的進(jìn)行傳播,通過執(zhí)行腳本,令受感染的微博帳號(hào)發(fā)布如下帶有誘惑性字樣的微博正文,并附上短鏈接:
郭美美事件的一些未注意到的細(xì)節(jié);
建黨大業(yè)中穿幫的地方;
讓女人心動(dòng)的100句詩(shī)歌;
3D肉團(tuán)團(tuán)高清普通話版種子;
這是傳說中的神仙眷侶啊;
驚爆!范冰冰艷照真流出了;
楊冪被爆多次被潛規(guī)則;
傻仔拿錘子去搶銀行;
可以監(jiān)聽別人手機(jī)的軟件;
個(gè)稅起征點(diǎn)有望提到4000。
以上均為當(dāng)前熱門話題,對(duì)用戶很具有誘導(dǎo)性。尤其是眾多加V認(rèn)證的用戶受到感染,發(fā)布相關(guān)微博內(nèi)容后,病毒傳播的途徑更為廣泛,影響更為嚴(yán)重。在不到一個(gè)小時(shí)的時(shí)間,已經(jīng)有超過3萬(wàn)用戶中招。
2010- 0day回放:
? 2010-5月nginx文件類型錯(cuò)誤解析漏洞
漏洞分析:nginx默認(rèn)以cgi的方式支持php的運(yùn)行,譬如在配置文件當(dāng)中可以以這樣的方式支持對(duì)php的解析,如下:
~ \.php$ {
root html;
127.0.0.1:9000;
index.php;
/$;
;
}
對(duì)請(qǐng)求進(jìn)行選擇的時(shí)候會(huì)使用URI環(huán)境變量進(jìn)行選擇,其中傳遞到后端的關(guān)鍵變量由nginx生成的$決定,而通過分析可以看到$是直接由URI環(huán)境變量控制的,這里就是產(chǎn)生問題的點(diǎn)。而為了較好的支持的提取,在PHP的配置選項(xiàng)里存在cgi.選項(xiàng),其目的是為了從里取出真正的腳本名。
? 2010-7月/XWork < 2.2.0遠(yuǎn)程執(zhí)行任意代碼漏洞
的核心是使用的框架,而又是使用的XWork來處理的,并且通過調(diào)用底層的/方法來處理http的參數(shù),它將每個(gè)http參數(shù)聲明為一個(gè)ONGL(這里是ONGL的介紹)語(yǔ)句。當(dāng)我們提交一個(gè)http參數(shù):
user..city=&user['']=kumys
ONGL將它轉(zhuǎn)換為:
.().().("")
.().("kumys")
這是通過r(參數(shù)過濾器)來執(zhí)行的,使用用戶提供的HTTP參數(shù)調(diào)用.()。
除了支持參數(shù)的設(shè)置和讀取,ONGL支持另外一些、scope等等,而且ONGL支持調(diào)用java靜態(tài)方法,這樣子就可以成功進(jìn)行調(diào)用java靜態(tài)方法來進(jìn)行攻擊,比如調(diào)用java.lang.. ().exec()來執(zhí)行命令
? 2010-9月ASP.NET的 漏洞
中引入資源文件(JS等),通常使用了.axd?d=xyz來實(shí)現(xiàn)的。.axd有一個(gè)特點(diǎn),便是會(huì)對(duì)錯(cuò)誤的密文(即d=xyz中的xyz)產(chǎn)生500錯(cuò)誤,而對(duì)正確的密文產(chǎn)生404錯(cuò)誤,這便形成了足夠的提示。 通過窮舉破解出站點(diǎn)的 Key,也就是網(wǎng)站所使用的密鑰,就可以下載網(wǎng)站私密文件(web.)或者修改等等 。
? 2011-3月Resin Web服務(wù)器解析漏洞
安恒安全團(tuán)隊(duì)研究發(fā)現(xiàn):Resin 在處理 時(shí)支持使用正則表達(dá)式來進(jìn)行處理,將url-轉(zhuǎn)化為正則表達(dá)式的時(shí)候沒有進(jìn)行安全校驗(yàn),并且在進(jìn)行正則表示匹配的時(shí)候使用的匹配方式是匹配輸入串中與模式匹配的子串,結(jié)合上面點(diǎn),攻擊者能夠構(gòu)造特殊的url來使得web服務(wù)器調(diào)用特定的來進(jìn)行解析,從而產(chǎn)生解析漏洞。
? 2011-3月Yahoo Mail跨站漏洞
安恒安全團(tuán)隊(duì)研究發(fā)現(xiàn):Yahoo Mail XSS漏洞,利用跨站漏洞可以成功劫持受害者瀏覽器。
? 2011-3月21CN Mail跨站漏洞
安恒安全團(tuán)隊(duì)研究發(fā)現(xiàn):21CN XSS漏洞,利用跨站漏洞可以成功劫持受害者瀏覽器。
? 2011-3月 中國(guó)移動(dòng) 跨站漏洞
安恒安全團(tuán)隊(duì)研究發(fā)現(xiàn): XSS漏洞,利用跨站漏洞可以成功劫持受害者瀏覽器。
? 2011-4月 網(wǎng)易旗下跨站漏洞
安恒安全團(tuán)隊(duì)研究發(fā)現(xiàn):網(wǎng)易旗下所有郵箱系統(tǒng) XSS漏洞,利用跨站漏洞可以成功劫持受害者瀏覽器。
? 2011-4月 跨站漏洞
安恒安全團(tuán)隊(duì)研究發(fā)現(xiàn):騰訊MAIL XSS漏洞,利用跨站漏洞可以成功劫持受害者瀏覽器。
? 2011-4月 HOT Mail跨站漏洞
HOT MAIL XSS漏洞網(wǎng)頁(yè)游戲網(wǎng)絡(luò)安全錯(cuò)誤,利用跨站漏洞可以成功劫持受害者瀏覽器。
? 2011-5月 阿里旺旺遠(yuǎn)程溢出0DAY
安恒安全團(tuán)隊(duì)研究發(fā)現(xiàn):淘寶阿里旺旺的一個(gè)dll中的圖像文件名函數(shù)存在一個(gè)棧溢出漏洞,可以遠(yuǎn)程執(zhí)行任意代碼;.dll的圖像文件名函數(shù)存在一個(gè)棧溢出漏洞,可以執(zhí)行任意代碼。
2011阿里旺旺在本地開啟一個(gè)隨即端口開放http服務(wù),并在所有IP上監(jiān)聽,并通過此端口獲得用戶認(rèn)證的token,通過獲得的token可直接登陸網(wǎng)站。獲得監(jiān)聽端口的token需要對(duì)應(yīng)的URL,而此URL可很容易猜解到。導(dǎo)致可通過遠(yuǎn)程獲得目標(biāo)token,并登陸網(wǎng)站。
圖為2011-5月 阿里旺旺token劫持漏洞:
▲點(diǎn)擊查看原圖
? 2011-7月Nginx 空字節(jié)執(zhí)行任意代碼(php)漏洞
Code with Null Bytes, PHP, and Old of nginx
Ngnix在遇到空字節(jié)時(shí)與后端處理不一致,導(dǎo)致可以在圖片中嵌入PHP代碼然后通過訪問xxx.jpg.php來執(zhí)行其中的代碼
In of nginx, null bytes are in URIs by (their is via a named in .h).
have the to opt-out of URIs with null bytes. , not all of them do; in , the does not.
? 2011-8月 HTTP 畸形Range選項(xiàng)處理遠(yuǎn)程拒絕服務(wù)漏洞
HTTP 是軟件基金會(huì)的一個(gè)開放源代碼的網(wǎng)頁(yè)服務(wù)器,可以在大多數(shù)電腦操作系統(tǒng)中運(yùn)行,由于其跨平臺(tái)和安全性被廣泛使用,是最流行的Web服務(wù)器端軟件之一。
HTTP 在處理Range選項(xiàng)生成回應(yīng)時(shí)存在漏洞,遠(yuǎn)程攻擊者可能利用此漏洞通過發(fā)送惡意請(qǐng)求導(dǎo)致服務(wù)器失去響應(yīng),導(dǎo)致拒絕服務(wù)。此漏洞源于 HTTP 在處理Range頭選項(xiàng)中包含的大量重疊范圍指定命令時(shí)存在的問題,攻擊者可通過發(fā)送到服務(wù)器的特制HTTTP請(qǐng)求耗盡系統(tǒng)資源,導(dǎo)致失去響應(yīng),甚至造成操作系統(tǒng)資源耗盡。
? 2011-8月跟蹤功能多個(gè)跨站腳本漏洞
存在多個(gè)安全漏洞,允許惡意用戶進(jìn)行腳本注入攻擊。
部分傳遞給table, 和index名的輸入在跟蹤功能中使用前缺少過濾,可被利用注入任意HTML和腳本代碼,當(dāng)惡意數(shù)據(jù)被查看時(shí)可以目標(biāo)用戶瀏覽器安全上下文執(zhí)行惡意代碼。
Web安全未來發(fā)展趨勢(shì)與挑戰(zhàn)
常規(guī)的、為大眾所認(rèn)同的注入、跨站等攻擊技術(shù)現(xiàn)在普遍越來越少,導(dǎo)致對(duì)于安全級(jí)別較高的Web應(yīng)用發(fā)起攻擊比以前苦難很多。
隨著攻擊者對(duì)于Web應(yīng)用的研究越來越深入,新的0day將會(huì)被越來越多的發(fā)掘出來,至此一些大型的Web應(yīng)用,商業(yè)級(jí)別和安全性較高的站點(diǎn)都會(huì)因?yàn)樵创a被竊取,或者反編譯等手段,使得Web應(yīng)用0day的挖掘會(huì)越來越多。
保障Web安全,就不得不保障源代碼的安全,對(duì)發(fā)布的Web應(yīng)用都需要進(jìn)行加密保護(hù)。
傳統(tǒng)的攻擊技術(shù),成功攻擊網(wǎng)站的案例越來越少,隨著安全意識(shí)的整體提升,傳統(tǒng)的基于輸入、輸出的過濾會(huì)越來越嚴(yán)格,但是web應(yīng)用的邏輯漏洞確是不能被忽略的。
另外隨著Web應(yīng)用的發(fā)展,Web的功能越來越強(qiáng)勁,對(duì)于SNS社區(qū)的發(fā)展網(wǎng)頁(yè)游戲網(wǎng)絡(luò)安全錯(cuò)誤,人與人之間的交流愈發(fā)頻繁,相反的攻擊發(fā)生的概率也會(huì)越高,尤其是基于Web系統(tǒng)邏輯功能API的調(diào)用攻擊(CSRF),在輔予社會(huì)工程學(xué)的技術(shù),攻擊也依然會(huì)無(wú)所不能。
核心互聯(lián)網(wǎng)應(yīng)用面臨嚴(yán)峻挑戰(zhàn)。網(wǎng)上銀行、網(wǎng)上營(yíng)業(yè)廳、網(wǎng)絡(luò)購(gòu)物、網(wǎng)游、DNS服務(wù)器等,很多惡意攻擊者出于不良的目的對(duì)Web 服務(wù)器進(jìn)行攻擊,想方設(shè)法通過各種手段獲取他人的個(gè)人賬戶信息謀取利益。