2010-2011 WEB 零日漏洞安全報告
2010年1月12日上午7點鐘開始,全球最大中文搜索引擎百度”遭到黑客攻擊,長時間無法正常訪問。這是自百度建立以來,所遭遇的持續(xù)時間最長、影響最嚴重的黑客攻擊。回顧2010年,猖獗的WEB 零日漏洞攻擊似乎預示著,2011年又將是一個WEB 零日漏洞活躍的年份。各種安全漏洞的傳播仍將繼續(xù)擴大,僵尸網(wǎng)絡還將活躍并更加頻繁變換方位,而黑客也將繼續(xù)絞盡腦汁發(fā)明新的方式,以試圖逃過各種安全軟件的過濾。為此,杭州安恒信息技術有限公司攻防實驗室結合自身研究成果總結并發(fā)布2010-2011 Web 零日漏洞安全報告,從而呼吁整個互聯(lián)網(wǎng)關注Web時代信息安全的全新威脅及趨勢走向。
本期報告主要內(nèi)容:
- 2010-2011Web安全事件回顧
- 2010-2011Web 0day回放
- Web安全未來發(fā)展趨勢與挑戰(zhàn)
2010-2011Web安全事件回顧:
2011-3月MYSQL.com和sun.com被入侵
攻擊者通過MySQL.com上查看用戶的頁面進入,獲取到了數(shù)據(jù)庫、表及存儲用戶密碼的dump數(shù)據(jù)。更嚴重的是,攻擊者將用戶密碼數(shù)據(jù)公布在網(wǎng)上讓其他人進行破解。更糟糕的是MySQL產(chǎn)品負責人的密碼已被破解(竟然是4位數(shù)字:安全意識)。
2011-4月,索尼數(shù)據(jù)服務器被入侵
日本索尼公司5月1日在東京舉行新聞發(fā)布會,就公司網(wǎng)絡游戲用戶個人信息遭竊一事表示道歉,承認1000萬張信用卡資料可能外泄,已邀請美國聯(lián)邦調(diào)查局(FBI)展開調(diào)查。
2011-6月Google Gmail郵箱被攻擊
當Gmail用戶打開帶有Flash漏洞攻擊代碼的惡意網(wǎng)頁時,Gmail郵箱中將被黑客偷偷添加一個“間諜”帳戶。這個“間諜”帳戶不僅可以閱讀所有郵件,甚至還能冒充Gmail郵箱的主人向外發(fā)送郵件,從而使黑客達到發(fā)布惡意廣告、欺詐信息等目的。
Flash被廣泛應用在網(wǎng)頁視頻、網(wǎng)頁游戲等領域,國內(nèi)幾乎90%以上的電腦都安裝了Adobe Flash Player。同時,Gmail在國內(nèi)也擁有大量忠誠用戶。因此,F(xiàn)lash“間諜”漏洞的曝光將對Gmail郵箱安全造成極大威脅。
2011-6月新浪微博遭黑客攻擊
圖片為引入的蠕蟲JS文件:
6月28日晚,許多新浪微博用戶的微博賬號突然間大爆發(fā),短時間內(nèi)發(fā)布了多條帶有短鏈接的微博并對粉絲發(fā)同類私信。這其中不乏加V認證的用戶。而粉絲們收到該微博內(nèi)容后,受微博或私信中誘惑性文字的誘導,點擊該鏈接后,這一批用戶也遭受感染,進行批量發(fā)布帶有惡意短鏈接的微博。據(jù)分析,此次新浪微博大范圍遭受XSS攻擊,主要原因是新浪微博的名人堂過濾不嚴,導致執(zhí)行跨站腳本。當用戶點擊該惡意鏈接后,蠕蟲病毒就通過這些用戶繼續(xù)的進行傳播,通過執(zhí)行腳本,令受感染的微博帳號發(fā)布如下帶有誘惑性字樣的微博正文,并附上短鏈接:
郭美美事件的一些未注意到的細節(jié);
建黨大業(yè)中穿幫的地方;
讓女人心動的100句詩歌;
3D肉團團高清普通話版種子;
這是傳說中的神仙眷侶啊;
驚爆!范冰冰艷照真流出了;
楊冪被爆多次被潛規(guī)則;
傻仔拿錘子去搶銀行;
可以監(jiān)聽別人手機的軟件;
個稅起征點有望提到4000。
以上均為當前熱門話題,對用戶很具有誘導性。尤其是眾多加V認證的用戶受到感染,發(fā)布相關微博內(nèi)容后,病毒傳播的途徑更為廣泛,影響更為嚴重。在不到一個小時的時間,已經(jīng)有超過3萬用戶中招。
2010-2011Web 0day回放:
2010-5月nginx文件類型錯誤解析漏洞
漏洞分析:nginx默認以cgi的方式支持php的運行,譬如在配置文件當中可以以
location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}
的方式支持對php的解析,location對請求進行選擇的時候會使用URI環(huán)境變量進行選擇,其中傳遞到后端Fastcgi的關鍵變量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name決定,而通過分析可以看到$fastcgi_script_name是直接由URI環(huán)境變量控制的,這里就是產(chǎn)生問題的點。而為了較好的支持PATH_INFO的提取,在PHP的配置選項里存在cgi.fix_pathinfo選項,其目的是為了從SCRIPT_FILENAME里取出真正的腳本名。
2010-7月Struts2/XWork < 2.2.0遠程執(zhí)行任意代碼漏洞
Struts2的核心是使用的webwork框架,而webwork又是使用的XWork來處理action的,并且通過調(diào)用底層的getter/setter方法來處理http的參數(shù),它將每個http參數(shù)聲明為一個ONGL(這里是ONGL的介紹)語句。當我們提交一個http參數(shù):
user.address.city=Bishkek&user['favoriteDrink']=kumys
ONGL將它轉(zhuǎn)換為:
action.getUser().getAddress().setCity("Bishkek")
action.getUser().setFavoriteDrink("kumys")
這是通過ParametersInterceptor(參數(shù)過濾器)來執(zhí)行的,使用用戶提供的HTTP參數(shù)調(diào)用ValueStack.setValue()。
除了支持參數(shù)的設置和讀取,ONGL支持另外一些session、scope等等,而且ONGL支持調(diào)用java靜態(tài)方法,這樣子就可以成功進行調(diào)用java靜態(tài)方法來進行攻擊,比如調(diào)用java.lang.RunTime. getRuntime().exec()來執(zhí)行命令
2010-9月ASP.NET的Padding Oracle Attack漏洞
ASP.net中引入資源文件(JS等),通常使用了WebResources.axd?d=xyz來實現(xiàn)的。WebResource.axd有一個特點,便是會對錯誤的密文(即d=xyz中的xyz)產(chǎn)生500錯誤,而對正確的密文產(chǎn)生404錯誤,這便形成了足夠的提示。 通過窮舉破解出站點的Machine Key,也就是網(wǎng)站所使用的密鑰,就可以下載網(wǎng)站私密文件(web.config)或者修改ViewState等等 。
2011-3月Resin Web服務器解析漏洞
安恒安全團隊研究發(fā)現(xiàn):Resin 在處理servlet mapping時支持使用正則表達式來進行處理,將url-pattern轉(zhuǎn)化為正則表達式的時候沒有進行安全校驗,并且在進行正則表示匹配的時候使用的匹配方式是匹配輸入串中與模式匹配的子串,結合上面點,攻擊者能夠構造特殊的url來使得web服務器調(diào)用特定的servlet來進行解析,從而產(chǎn)生解析漏洞。
2011-3月Yahoo Mail跨站漏洞
安恒安全團隊研究發(fā)現(xiàn):Yahoo Mail XSS漏洞,利用跨站漏洞可以成功劫持受害者瀏覽器。
2011-3月21CN Mail跨站漏洞
安恒安全團隊研究發(fā)現(xiàn):21CN XSS漏洞,利用跨站漏洞可以成功劫持受害者瀏覽器。
2011-3月中國移動139Mail跨站漏洞
安恒安全團隊研究發(fā)現(xiàn):139mail XSS漏洞,利用跨站漏洞可以成功劫持受害者瀏覽器。
2011-4月網(wǎng)易旗下163Mail跨站漏洞
安恒安全團隊研究發(fā)現(xiàn):網(wǎng)易旗下所有郵箱系統(tǒng) XSS漏洞,利用跨站漏洞可以成功劫持受害者瀏覽器。
2011-4月 QQMail跨站漏洞
安恒安全團隊研究發(fā)現(xiàn):騰訊QQ MAIL XSS漏洞,利用跨站漏洞可以成功劫持受害者瀏覽器。
2011-4月HOT Mail跨站漏洞
HOT MAIL XSS漏洞,利用跨站漏洞可以成功劫持受害者瀏覽器。
2011-5月阿里旺旺遠程ActiveX溢出0DAY
安恒安全團隊研究發(fā)現(xiàn):淘寶阿里旺旺的一個dll中的圖像文件名函數(shù)存在一個棧溢出漏洞,可以遠程執(zhí)行任意代碼;imageMan.dll的圖像文件名函數(shù)存在一個棧溢出漏洞,可以執(zhí)行任意代碼。
2011阿里旺旺在本地開啟一個隨即端口開放http服務,并在所有IP上監(jiān)聽,并通過此端口獲得用戶認證的token,通過獲得的token可直接登陸網(wǎng)站。獲得監(jiān)聽端口的token需要對應的URL,而此URL可很容易猜解到。導致可通過遠程獲得目標token,并登陸網(wǎng)站。
圖為2011-5月 阿里旺旺token劫持漏洞:
2011-7月Nginx %00空字節(jié)執(zhí)行任意代碼(php)漏洞
Possible Arbitrary Code Execution with Null Bytes, PHP, and Old Versions of nginx
Ngnix在遇到%00空字節(jié)時與后端FastCGI處理不一致,導致可以在圖片中嵌入PHP代碼然后通過訪問xxx.jpg%00.php來執(zhí)行其中的代碼
In vulnerable versions of nginx, null bytes are allowed in URIs by default (their presence is indicated via a variable named zero_in_uri defined in ngx_http_request.h).
Individual modules have the ability to opt-out of handling URIs with null bytes. However, not all of them do; in particular, the FastCGI module does not.
2011-8月Apache HTTP Server畸形Range選項處理遠程拒絕服務漏洞
Apache HTTP Server是Apache軟件基金會的一個開放源代碼的網(wǎng)頁服務器,可以在大多數(shù)電腦操作系統(tǒng)中運行,由于其跨平臺和安全性被廣泛使用,是最流行的Web服務器端軟件之一。
Apache HTTP Server在處理Range選項生成回應時存在漏洞,遠程攻擊者可能利用此漏洞通過發(fā)送惡意請求導致服務器失去響應,導致拒絕服務。此漏洞源于Apache HTTP Server在處理Range頭選項中包含的大量重疊范圍指定命令時存在的問題,攻擊者可通過發(fā)送到服務器的特制HTTTP請求耗盡系統(tǒng)資源,導致Apache失去響應,甚至造成操作系統(tǒng)資源耗盡。
2011-8月phpMyAdmin跟蹤功能多個跨站腳本漏洞
phpMyAdmin存在多個安全漏洞,允許惡意用戶進行腳本注入攻擊。
部分傳遞給table, column和index名的輸入在跟蹤功能中使用前缺少過濾,可被利用注入任意HTML和腳本代碼,當惡意數(shù)據(jù)被查看時可以目標用戶瀏覽器安全上下文執(zhí)行惡意代碼。
Web安全未來發(fā)展趨勢與挑戰(zhàn)
- 常規(guī)的、為大眾所認同的注入、跨站等攻擊技術現(xiàn)在普遍越來越少,導致對于安全級別較高的Web應用發(fā)起攻擊比以前苦難很多。
- 隨著攻擊者對于Web應用的研究越來越深入,新的0day將會被越來越多的發(fā)掘出來,至此一些大型的Web應用,商業(yè)級別和安全性較高的站點都會因為源代碼被竊取,或者反編譯等手段,使得Web應用0day的挖掘會越來越多。
- 保障Web安全,就不得不保障源代碼的安全,對發(fā)布的Web應用都需要進行加密保護。
- 傳統(tǒng)的攻擊技術,成功攻擊網(wǎng)站的案例越來越少,隨著安全意識的整體提升,傳統(tǒng)的基于輸入、輸出的過濾會越來越嚴格,但是web應用的邏輯漏洞確是不能被忽略的。
- 另外隨著Web應用的發(fā)展,Web的功能越來越強勁,對于SNS社區(qū)的發(fā)展,人與人之間的交流愈發(fā)頻繁,相反的攻擊發(fā)生的概率也會越高,尤其是基于Web系統(tǒng)邏輯功能API的調(diào)用攻擊(CSRF),在輔予社會工程學的技術,攻擊也依然會無所不能。
- 核心互聯(lián)網(wǎng)應用面臨嚴峻挑戰(zhàn)。網(wǎng)上銀行、網(wǎng)上營業(yè)廳、網(wǎng)絡購物、網(wǎng)游、DNS服務器等,很多惡意攻擊者出于不良的目的對Web 服務器進行攻擊,想方設法通過各種手段獲取他人的個人賬戶信息謀取利益。
