来自 资讯 2021-06-10 18:00 的文章

cdn防御cc_网站防御查询_怎么防

cdn防御cc_网站防御查询_怎么防

ImmuniWeb>安全博客2018年10大开源软件缺陷4.5k 12 8 4 14更多14 5 8 2019年1月23日星期三,按应用程序安全系列阅读时间:7分钟。影响开源产品或技术的最大安全漏洞导致大量安全事件。开源框架、组件和库是当今web应用程序开发和维护不可分割的一部分。2017年,一份报告发现,多达96%的应用程序包含开源组件。与所有软件一样,这些组件并不总是安全的。独立的安全研究人员与开源开发人员和供应商合作,在发现安全漏洞时,及时发现并减轻这些漏洞。开源漏洞通常通过NIST国家漏洞数据库进行跟踪。好消息是,在大多数情况下,开源供应商在发现漏洞时能够迅速修补。单凭这一点,还不足以保证应用程序的安全。Equifax漏洞(在公众意识中引发漏洞修补问题的安全事件,使该组织损失至少2.427亿美元)是由于未能应用两个月前修复了该漏洞的安全更新而导致的。这就提出了一个重要的问题:供应商/供应商可以修补缺陷,但公司在将这些补丁应用到自己的实现中之前是不安全的。以下是2018年10个新的开源安全漏洞和漏洞。10: Magento扩展中的漏洞被Magecart滥用参考:CVE-2016-4010发现:2018年10月攻击类型:PHP对象注入据认为至少有12个不同的Magecart黑客团体。目标始终是支付卡的详细信息——Magecart是英国航空公司和TicketMaster的幕后黑手。Magecart的妥协方法各不相同,但其中一个小组的目标是Magento扩展。2018年10月,据披露,至少有20个不同的扩展都包含类似的漏洞;而且都是Magecart攻击的目标。该攻击是一个PHP对象注入,滥用PHP unserialized()函数,允许插入恶意代码。Magento平台本身也包含相同的漏洞,ddos防御代码,通过将PHP unserialize()函数替换为json_decode()来修复该漏洞。不幸的是,扩展作者并没有这么做。在披露的时候,研究人员willemdegrot知道有20个扩展是目标,但不知道它们是哪一个。他只发现了两个。第一个是Webcooking_SimpleBundle Magento扩展,已向制造商报告,并在数小时内修复。第二个是TBT_奖励,作者几个月前就放弃了。由于这一问题无法解决,这突出了遗留软件的巨大问题,因此需要更换。9: Peakaboo攻击参考:CVE-2018-1149披露:2018年9月攻击类型:权限升级/破坏身份验证Peakaboo漏洞影响运行NUUO固件的一些互联网连接记录设备。这包括诺的闭路电视监控和存储硬件生产线的各种产品。该漏洞是在一些NUUO产品使用的开源web服务器中发现的,它允许攻击者远程访问以查看甚至更改视频片段。在零日概念验证之前,没有记录到对Peakaboo的恶意攻击,但这是2018年与物联网设备相关的最突出的开源漏洞。允许黑客远程控制监控设备对数据保护和隐私以及潜在的物联网DDoS攻击来说无疑是个坏消息。8: Jenkins Data Leaks参考文献:CVE-2018-1999001和CVE-2018-1999043披露:2018年1月、7月和8月漏洞类型:数据暴露Jenkins是一个基于Java的web应用服务器,旨在帮助软件开发的某些阶段。它是许多基于开源的供应链的一部分,因此经常处理敏感的内部数据。在认证漏洞被破坏的情况下,攻击者可能访问这些数据而不留下任何痕迹,这种认证缺陷在2018年一直困扰着詹金斯。今年发现的第一个问题并没有在NVD上追踪,谍盾高防服务器怎么cdn管理,而是由安全研究人员Mikail Tunç报告的。他发现10-20%的Jenkins服务器配置错误的用户身份验证。这些服务器公开了敏感的专有代码和登录凭据。今年夏天,赛博方舟的研究人员又发现了两个缺陷,这一点更加复杂。这些新的漏洞将允许恶意用户绕过对詹金斯服务器的身份验证,从而获得对任何敏感数据的免费、无痕迹的访问。7: BatchOverflow漏洞触礁以太坊智能合约世界参考:CVE-2018–10299披露:2018年4月攻击类型:BatchOverflow在以太坊的ERC-20智能合约中发现了一个BatchOverflow漏洞,当时区块链安全公司PeckShield检测到一个荒谬的大型BEC代币交易(0x800000000000000000000000000,000000000000000000000000000000000000)。这两次发生在两个不同的地址。以当时的汇率计算,这些交易的美元价值简直是荒唐可笑。许多加密货币交易所立即暂停接受ERC-20存款。OKEx(香港,世界第三大交易所)宣布,"我们正在暂停所有的ECR-20令牌的存款,因为发现了一个新的智能合同损坏-"BATCHOFFULL"。通过利用该漏洞,攻击者可以生成大量的令牌,并将其存放到正常地址中。这使得许多ERC-20代币容易受到攻击者的价格操纵。"PeckShield在其他十几个ERC-20智能合约中发现了类似的缺陷,并试图联系作者。由于缺乏对智能合约的任何中央安全概述,该公司在修复缺陷方面的努力变得更加困难。"PeckShield评论道:"以太坊区块链中宣扬的‘代码即法律’原则,没有传统的知名安全响应机制来补救这些脆弱的合同。"。6: WordPress GDPR Compliance extension主动利用参考:CVE-2018-19207披露:2018年11月攻击类型:权限升级在Van Ons WP GDPR Compliance(又名WP GDPR Compliance)中发现了一个权限提升漏洞,当时几个WordPress博客管理员注意到他们网站上有异常活动,并讨论了其影响WordPress支持论坛。对不同运营商使用的插件进行比较,ddos防御安全用智能,将问题缩小到GDPR兼容插件。此时,DDOS防御需要宽带吗,主持人要求向插件作者提出这个问题,并结束讨论。当时,该插件有10万个活动安装。插件开发人员在24小时内修复了该漏洞。与此同时,Wordfence报告称,"通过利用此漏洞将users can register选项设置为1,并将新用户的默认角色更改为‘administrator’,攻击者只需填写/wp处的表单即可-登录.php?操作=注册并立即访问特权帐户。从这一点上说,他们可以将这些选项更改为正常,并安装一个包含网页外壳或其他恶意软件的恶意插件或主题,以进一步感染受害者网站。最明显的妥协症状是拥有管理员权限的新用户。5: 事件流参考:未跟踪披露:2018年11月攻击类型:加密劫持恶意软件交付事件流是NPM开源JavaScript存储库中的一个流行包。该包有助于数据流的传入节点.JS是NPM最受欢迎的软件包之一。2018年11月,防御ddos关闭哪些端口,我们发现代码中引入了一个新的依赖项,即一个名为flatmap stream的包。该代码的最终功能是窃取系统上可以找到的任何Copay应用程序的凭证,最终窃取其中包含的任何加密货币。NVD中没有跟踪利用漏洞,因为事件流似乎已被更人性化的缺陷破坏。在获得原始作者的信任后,攻击背后的用户通过Right9ctrl获得了包的完全所有权。这种恶意依赖几乎是在所有权转移之后立即增加的。Right9ctrl的用户页面已从GitHub中消失,事件流的恶意版本已被关闭。4: jQuery八年零日参考:CVE-2018-9206披露:安全研究人员2018年10月;黑客2015年或更早。攻击类型:任意文件上传安全研究人员Larry Cashdollar与开发人员Sebastian Tschan合作,在一个jQuery插件中发现了一个漏洞,并在10月份发布了一个概念证明。该漏洞允许攻击者在易受攻击的web服务器上上载任意文件。这包括可能导致恶意软件分发、敏感数据暴露或网站接管的代码包。虽然这种脆弱性本身的后果已经够严重的,但令人震惊的是,这个缺陷大约有8年的历史了。2010年2.3.9apache更新首次引入该漏洞,直到2018年才被发现。也就是说,安全专业人士没有解决这个问题。早在2015年,YouTube上就有黑客利用该漏洞的教程。更神秘的黑客圈很可能更早就意识到了这个漏洞。3: "Memcrash"DDoS攻击参考:CVE-2018-1000115披露:2018年2月攻击类型:放大DDoS 2018年2月,在线代码库GitHub遭遇历史上最大的DDoS攻击,峰值为每秒1.35 TB。这一记录甚至没有保持一周,因为几天后,NETSCOUT Arbor确认了一个新的DDoS攻击,达到了1.7tbps。这两种攻击都滥用了开源内存缓存协议Memcached。Memcached是为处理高流量流量而设计的。如果攻击者有权限