来自 CC防护 2021-02-08 14:13 的文章

ddos处理_怎么防御_新加坡cdn抗攻击

ddos处理_怎么防御_新加坡cdn抗攻击

在Vera(印刷行业使用的数字资产管理平台)上发现了一个经过身份验证的远程代码执行(RCE)漏洞。该应用程序允许经过身份验证的用户更改网站上的徽标。攻击者可以使用此功能上载恶意(.aspx)文件并在服务器上远程执行代码。 影响恶意用户可以利用此漏洞在服务器上远程执行代码。这将允许攻击者危害为应用程序服务的主机,ddos如何免费防御,从而在托管应用程序的内部网络上获得立足点。此漏洞已在Vera版本4.9.1.26180上得到确认。 技术分析以下步骤可用于重现该漏洞:导航到应用程序所在的URL。使用凭证登录网站;导航到"管理"选项卡下的"品牌"部分;进入品牌页面后,如何设置防御cc,找到功能以更改徽标或使用"选择文件"选项选择新徽标; 创建一个包含要执行的代码的ActiveServerPageExtended(aspx)文件,并将其重命名为。巴布亚新几内亚.aspx; 概念证明如下:在在目录列表在在上传文件到服务器;上传后,右击logo图片占位符,ddos无限防御,选择"查看图片";页面在服务器上加载并执行ASP代码。网址:https://example.com/VproofWorkflow/customer/1001//%3cfilename%3e.png.aspx?  此时,攻击者可以在服务器上执行远程代码。 缓解供应商没有公开披露软件版本,我们试图获得一个固定版本也没有得到回应。我们相信,ddos云防御系统,由于我们客户的软件已经修复,所以他们的支持渠道可以提供固定版本。以下是一些缓解文件上载漏洞的一般建议:作为最佳实践,应用程序应该有一个可以上传到服务器上的扩展的白名单。应检查传入文件的扩展名,以防数据被篡改;使用允许上载的文件类型,同时在服务器上存储文件时,免费ddos防御vps,服务器应生成文件名并附加扩展名,而不是使用客户端发送的文件名。这将自动阻止文件执行,即使内容是恶意的。 结论像这样的非常简单的文件上传漏洞仍然普遍存在于各种组织使用的软件产品中。可以通过应用安全开发实践或在开发期间使用安全代码扫描等安全审核工具来防止这些问题。此漏洞已分配给CVE-2019-15123,并已在我们负责的披露流程之后向供应商披露。 时间轴2019年8月16日向Viki披露的漏洞;Viki在2019年8月16日至11月期间默默地为我们的客户提供服务。