Press "Enter" to skip to content

谈一谈今天看乌云漏洞库的感受

今天白天从起床开始便打开了乌云镜像漏洞库,开始浏览2016年提交的各种漏洞。

在看的过程中有十分迷惑的地方,有半知半懂的地方,还有一些觉得简单到不可思议的漏洞。

不希望今天看了一天的东西过了几天就忘的一干二净,因此夜里写下这篇文章作为今天的一个总结。

今天新得知了几种漏洞类型,虽然这些已经是一年前的事情,但是谁能一口咬定这些不会出现在某个懒惰的管理员管理的服务器上呢?新了解到的漏洞包括imageMagick代码执行漏洞,WebLogic反序列化漏洞,Structs2远程代码执行漏洞。其中的imageMagick漏洞我已经认真的了解并且弄懂了它的原理(并在探索的过程中熟悉了一个常见的Linux反弹shell的语句的原理)。另外两个漏洞等到有时间一定也要弄清楚。

除了这种发生在外部服务中的难以避免的漏洞,更多漏洞的出现是因为对服务器错误的配置,对用户输入过滤不严格导致的。

在众多漏洞中,未授权访问很多,我主要看到的是这一种:

修改get/post参数访问其它具有平行关系的信息。(如用户A访问了用户B的信息)

类似的因为post/get参数造成的安全问题,还有用户信息(如身份证号,手机号)直接明文作为一个参数在数据包中传递导致的信息泄露。

我看到的另外一个被白帽子们用来大展手脚的是文件上传(尤其是图片木马)。在可以上传文件的地方通过各种方式绕过检测进而上传目标文件并使其成功被服务器解析。

我还看到出现在忘记密码进而修改密码的地方的两种弱智漏洞。

  • 在修改密码前需要进行验证的问题答案(如原来的密保问题答案,手机验证码等)居然被返回到客户端进而在本地进行校验,这种方式的校验通过抓包很容易通过。
  • 提交验证时真实用户的验证途径可以在上传时被修改。(如陌生人尝试用邮箱111@qq.com进行忘记密码进而修改密码的操作,提交的数据包使得用户ID指向了111@qq.com对应的真实用户,但是验证用邮箱却被陌生人恶意抓包修改为自己的邮箱,进而得到了进行真实用户密码修改的验证码。)

再者就是弱口令漏洞SQL注入漏洞

弱口令是永远会存在的问题,如果不能保证用户设置一个强度足够的密码,那么程序员应该设置(每次登陆失败都会改变的)验证码,对登陆次数进行限制防止暴力破解。

对于SQL漏洞,我现在还只有粗略的理解,这个寒假我一定要弄的清楚透彻。

Be First to Comment

发表评论

电子邮件地址不会被公开。 必填项已用*标注

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax