据 ZDNET 报道,有超过 45000 个中国网站由于使用 ThinkPHP 框架受到了攻击。

图片 1

style=”text-decoration: underline; color: #3366ff”>读书笔记第一部分对应原书的第一章,主要介绍了Web应用程序的发展,功能,安全状况。

这些攻击针对的是使用 ThinkPHP 构建的网站,ThinkPHP 是一个中国的 PHP
框架,在中国 Web 开发领域非常受欢迎。

企业需要自我保护的网络安全攻击类型不断增长和发展。保持公司的安全意味着深入了解最常见的威胁,以及可能被忽视的网络攻击类别。从如何使用最小权限原则到需要监控的连接,我们会查看最常见的网络攻击类型以及如何提升2019年的安全性。

图片 2

所有攻击都是在中国网络公司 VulnSpy 在 ExploitDB 上发布了 ThinkPHP
的漏洞后开始的,这是一个免费托管验证漏洞代码的网站。

水坑式网络钓鱼攻击

Web应用程序的发展历程

早期的万维网仅由Web站点构成,只是包含静态文档的信息库,随后人们发明了Web浏览器用来检索和显示那些文档,但这些信息只是由服务器单向传送给浏览器,并不需要验证用户的合法性,所有用户同等,提供同样的信息。

所以当时一个Web站点的安全威胁主要来自于Web服务器系统与相关软件的(诸多)漏洞。攻击者入侵站点后并不能得到敏感信息,至多修改一下服务器上的静态文件,歪曲站点的内容,或者利用服务器本身做一些“非法的事情”。

经过几十年的发展,而今的万维网和早期的万维网早已不可同日而语,Web上的大多数站点实际上就是应用程序,它们功能强大,在服务器与浏览器之间进行双向信息传送。“注册,登录,金融交易,搜索,内容创作”等等这些内容以动态的方式成为解决用户特殊需求的方案,它们处理诸多信息包括私密和高度敏感的信息,因此,安全问题变的至关重要:如果人们认为Web应用程序会将他们的信息泄露给未授权的访问者,他们就会拒绝这个Web应用程序。

验证漏洞代码利用 ThinkPHP 的 invokeFunction
方法,在底层服务器执行恶意代码。该漏洞可以被远程利用,并且允许攻击者获得对服务器的控制权。

水坑攻击是受感染的网站,可以利用软件或设计中的漏洞来嵌入恶意代码。一个众所周知的例子是消费者网站恶意软件活动MageCart。至少有六个犯罪集团使用此工具包,特别是在支付卡信息浏览漏洞利用中,该漏洞使用主要零售商的结账页面上的JavaScript代码来窃取凭据。

Web应用程序的常见功能

创建Web应用程序的目的是执行可以在线完成的任何有用功能:

  1. 购物(Taobao,JD,Amazon)
  2. 社交网络(BBS,SNS)
  3. 微博(Weibo)
  4. 博客(Bloggers)
  5. 银行服务(BOC,ICBC)
  6. Web搜索(Baidu)
  7. Web邮件(QQmail,企业Mail)
  8. 交互信息(Dingding,QQ,iMassges)

企业内部已广泛使用Web应用程序来支持关键业务功能,这类应用程序可以访问各种高度敏感的数据和功能:

  1. 使用HR应用程序,访问工资信息,绩效反馈。
  2. 连接关键体系架构的管理接口:Web和邮件服务器。
  3. 共享文档,管理工作流程,项目跟踪。
  4. ERP软件通过Web浏览器访问。

为降低成本,企业圈内开始推崇所谓“云计算”业务,并将此业务开发交于外包企业实施和托管,将ERP搬至网上。在这些所谓的“云”解决方案中,业务关键功能和数据向数目更庞大的潜在攻击者开发,而组织却越来越多地依赖于不受其控制的安全防御。

在12月11日,互联网上就开始出现相应的攻击。而且攻击次数在接下来的几点都在不断增加。

去年,发现了此类攻击,这次活动在全球范围内侵入了超过4万台机器,使用漏洞攻击和利用弱配置等攻击技术,这是通过定位托管热门网站的CMS服务器,运行HP
Data
Protector的备份服务器,DSL调制解调器和物联网设备以及其他基础设施来实现的。消费者被欺骗并从合法网站转移到假冒网站,然后攻击者通过诈骗服务和浏览器扩展向超过9,000家公司传播恶意软件和恶意代码。

Web应用程序的优点

  1. HTTP是用于访问万维网的核心通信协议,它是轻量级的,无须连接,这提供了对通信错误的容错性。这使得用户可以在任何网络配置下进行安全通信。
  2. 每个Web用户在其PC端和移动端上都默认装有浏览器,而Web应用程序可以在任何浏览器上运行。
  3. 现今的Web界面使用标准的导航和输入控件,这保证了用户不需要通过学习就可以即时熟悉这些功能。
  4. 用于开发Web应用程序的核心技术和语言工具相对简单,并且有大量的开源代码和资源可供整合。

利用 ThinkPHP
漏洞就进行攻击的组织也不断增加。现在有:最初的网络攻击者、D3c3mb3r组织、以及使用
ThinkPHP 漏洞感染 Miori IoT 服务的服务器组织。

如果攻击者经常访问您和您的员工经常使用的网站,则可以实现更有效的水坑攻击。除此之外,请始终确保您的软件是最新的,以便攻击者无法利用漏洞来完成这些类型的网络攻击。最后,确保您有一个方法来密切关注网络流量并防止入侵。

Web应用程序安全

应用程序各不相同,所包含的漏洞也各不相同,许多应用程序是由开发人员独立开发,还有许多开发人员对自己所编写的代码可能引起的安全问题略知一二,于是一些开发人员从未在开发应用时未曾考虑到的攻击方式在使用过程当中相继出现了,而新技术的开发也会引入新的漏洞。

针对Web应用程序最严重的攻击,是那些能够绕到后端系统的无限访问权限的攻击。

在Web应用程序的整个发展过程中,直到今天,甚至可预见的未来,攻击者与防御者的战斗仍然在继续,且没有解决的迹象。

此外,NewSky Security 还发现有攻击者正在基于 ThinkPHP 站点运行 Microsoft
Powershell命令。

第三方服务漏洞

“本站点是安全的”

大多数网站声称自己使用128位安全套接层(Secure Socket Layer,
SSL)技术设计,遵循支付卡行业(PCI)标准,来证明自己的加密协议是无懈可击的。

但实际上,大多数Web应用程序不安全,不仅仅是技术应用上的,还有开发人员在基础设计上的漏洞:

  1. 不完善的身份验证措施
  2. 不完善的访问控制措施
  3. SQL注入
  4. 跨站点脚本
  5. 信息泄露
  6. 跨站点请求伪造

SSL在机密性与安全性上是出色的技术,但它的问题在于它并不能抵御直接针对某个应用程序的服务器或客户端组件的攻击,而许多成功的攻击都恰恰属于这种类型。

所以SSL并不能阻止上述任何漏洞或许多其他使应用程序受到威胁的漏洞。

D3c3mb3r组织是这些攻击者中团队规模最大的,专门攻击一些使用 ThinkPHP
不被关注的网站。但这个小组并没有做任何特别的事情,他们找到容易受攻击的主机,然后运行一个echo hello d3c3mb3r

今天的连接性激增意味着企业越来越依赖第三方服务来备份,存储,扩展或MSSP。攻击者越来越多地通过与可以访问您的数据中心或系统的其他企业的连接来渗透您的网络。据研究数据来看,一半以上的企业因通过第三方供应商进入而遭受了入侵,其中一个案例是破坏性的Home
Depot漏洞违规行为,攻击者利用第三方供应商凭据窃取了超过5600万的客户信用额度和借记卡详细信息。

核心安全问题:用户可提交任意输入

Web应用程序有个根本性问题,即无法控制客户端,所以用户几乎可向服务器端提交任意输入。所以应用程序必须假设用户输入的都是恶意信息。

这个核心问题表现在多个方面:

  1. 用户可干预客户端与服务器间传送的所有数据。
  2. 用户可按任何顺序发送请求,并可在应用程序要求之外的不同阶段不止一次提交或根本不提交参数。
  3. 用户交不限于使用一种Web浏览器访问应用程序,这导致大量各种各样的工具可以协助攻击Web应用程序。

绝大多数针对Web应用程序的攻击都涉及向服务器提交信息:

  1. 更改隐藏的HTML表单字段提交的产品价格,以更低价格欺诈性购买。
  2. 修改在HTTP Cookie中的会话令牌,支持另一个验证用户的会话。
  3. 利用应用程序处理过程中的逻辑错误删除某些正常提交的数据。
  4. 改变由后端数据库处理的某个输入,从而注入一个恶意数据库查询以访问敏感数据。

超过 45000个主机被攻击

根据 Shodan
搜索,目前有超过 45800
台机器运行 ThinkPHP 的 Web 网站可访问。其中40000 个 托管在中文 IP
地址上。

这也是为什么受到攻击的网站大部分是中文网站。

随着越来越多组织了解到这种入侵 Web
服务器的方法,对中国网站的攻击也将会不断增加。

F5 实验室还公布 ThinkPHP
漏洞技术分析和验证代码是如何工作的,点击这里查看。

(文/开源中国)    

与当前供应商一样,企业需要了解以前的供应商,他们可能没有从系统中删除您的信息,并且在第三方出售或与另一个未知方共享您的数据时违反了保密规定。因此,您的公司需要了解您的所有通信流,包括那些与第三方供应商,供应商或云服务的通信流,以及处理此类攻击的深入事件响应。

关键问题因素

  1. 不成熟的安全意识
  2. 独立开发
  3. 欺骗性的简化
  4. 迅速发展的威胁形势
  5. 资源与时间限制
  6. 技术上强其所难
  7. 对功能的需求不断增强

开发人员的技术能力,开发时间的限制,开发资源的有限利用,单一框架多程序开发使用,大量增加第三方插件,为实现功能对数据库或程序直接进行二次开发而忽视二开的安全措施,以上这些种种行为大大增加了安全问题的出现率。

Web应用程序攻击

新的安全边界

Web应用程序的广泛应用使得典型组织的安全边界发生了变化,以往我们关注防火墙与防御主机,而现在我们应该更关注Web应用程序本身。

Web应用程序接收用户输入的方式多式多样,数据传输的方式也多式多样,这每一步都是潜在攻击的关口,尤其是PHP,Java,JS这些语言和平台的“聚合”,每一个连接方式都成为了攻击关口。

于是站点的安全边界从服务器本身延伸到了第三方插件,聚合接口,API,某一行代码,跨域连接方式。

Web应用程序安全边界发生变化的另一原因,在于恶意攻击者利用一个良性的易受攻击的应用程序攻击任何访问它的用户,并控制用户的浏览器,如果用户位于企业内部,那么从用户的可信位置攻击者可向本网络改动攻击。

对于使用Web应用程序的网络攻击类别,SQL注入是最常见的攻击之一。攻击者只需将其他SQL命令插入应用程序数据库查询,允许他们从数据库访问数据,修改或删除数据,有时甚至可以执行操作或向操作系统本身发出命令。这可以通过多种方式完成,通常通过客户端
服务器Web表单,通过修改cookie或使用服务器变量(如HTTP标头)来完成。

Web应用程序安全的未来

目前网络上的Web应用程序仍然充满了漏洞,整个行业也没有统一而成熟的意识。

但随意着行业的发展,各种漏洞也在被不断的修复,现有的漏洞也变得更难以发现和利用。

而攻击目标也由传统的服务器端应用程序转向用户应用程序。

 


 

版权所有,转载请注明出处。

转载自 《黑客攻防技术宝典Web实战篇@第2版》读书笔记1:了解Web应用程序 |
XDY.ME@Dy大叔的日常

图片 3

Web应用程序攻击的另一个示例是通过反序列化漏洞进行管理的。许多序列化和反序列化规范存在固有的设计缺陷,这意味着系统会将任何序列化的流转换为对象而不验证其内容。在应用程序级别,公司需要确保反序列化端点只能由受信任的用户访问。

为Web应用程序提供必要的最低权限是限制这些类型的网络安全攻击以免破坏网络的一种方法。确保您对数据库服务器的连接和流的完全可见性也很重要,并为任何可疑活动设置警报。

攻击者一旦访问你的网络可以做什么?

勒索软件:攻击者可以使用所有类型的网络攻击来阻止访问您的数据和操作,通常是通过加密,以期获得支付。数据销毁/盗窃:一旦攻击者突破了你的外围,没有控制,他们就可以访问关键资产,如客户数据。这可能会被破坏或被盗,造成无法估量的品牌损失和法律后果。加密:这些类型的网络攻击通常在用户将恶意加密挖掘代码下载到其计算机上时启动,或者通过使用SSH凭据进行暴力破解。转向攻击其他内部应用程序:如果黑客攻击某个区域,他们可以利用用户凭据升级其权限或横向移动到另一个更敏感的区域。这就是为什么隔离关键资产以及利用简单和早期的胜利,例如将公司的生产部门与开发分开,这一点非常重要。

最常见的网络安全攻击类型始终在不断发展

由于网络攻击的种类繁多,以及将已知数量转化为新威胁的细微变化,整个生态系统的可见性对于受到良好保护的IT环境而言至关重要。

除了使用微分割来分离环境之外,您还可以创建使用应用程序分段保护端点和服务器的策略。这有助于阻止违规行为升级,强大的细分策略可以使用最小权限原则保护您的通信流。

除此之外,包括突破检测和事故响应在内的可视控制的互补控制可确保在雷达下无任何险恶之处。

声明:本网站发布的内容以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8306;邮箱:hyg@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户
你是否能抵御这些常见类型的网络攻击?