思客云開源軟件安全漏洞檢測系統(tǒng)_第1頁
思客云開源軟件安全漏洞檢測系統(tǒng)_第2頁
思客云開源軟件安全漏洞檢測系統(tǒng)_第3頁
思客云開源軟件安全漏洞檢測系統(tǒng)_第4頁
思客云開源軟件安全漏洞檢測系統(tǒng)_第5頁
已閱讀5頁,還剩1頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

思客云開源軟件安全漏洞檢測產(chǎn)品隨時信息技術(shù)的發(fā)展和國家網(wǎng)絡(luò)安全法的發(fā)布,信息和網(wǎng)絡(luò)安全問題越來越受到重視。而如今的黑客攻擊最主要的手段就是利用應(yīng)用系統(tǒng)中所存在的安全漏洞。近幾年,特別是“心臟出血”安全漏洞曝發(fā)以后基于開源軟件漏洞2017年增長20%隨時信息技術(shù)的發(fā)展和國家網(wǎng)絡(luò)安全法的發(fā)布,信息和網(wǎng)絡(luò)安全問題越來越受到重視。而如今的黑客攻擊最主要的手段就是利用應(yīng)用系統(tǒng)中所存在的安全漏洞。近幾年,特別是“心臟出血”安全漏洞曝發(fā)以后,利用應(yīng)用系統(tǒng)中常見的開源軟件的漏洞進行大規(guī)模的黑客攻擊行為屢見不鮮,他們最常用和最簡單的方法就是通過一個已知的開源框架的安全漏洞,對同一類型的應(yīng)用系統(tǒng)發(fā)動相同的攻擊,如針對相同的銀行的網(wǎng)銀類系統(tǒng),或者是針對政府的門戶網(wǎng)站類系統(tǒng)進行大規(guī)模的攻擊,如果被攻擊的應(yīng)用系統(tǒng)還沒有及時及對開源框架的漏洞進行修復(fù),就可以很輕松地拿下這個應(yīng)用系統(tǒng)。根據(jù)權(quán)威機構(gòu)對開源項目所收集到的統(tǒng)計數(shù)據(jù)預(yù)測到,基于開源軟件漏洞的網(wǎng)絡(luò)攻擊活動數(shù)量在2017年增長20%。開源軟件漏洞管理——軟件安全保障新挑戰(zhàn)據(jù)統(tǒng)計,商業(yè)軟件項目的免費版本數(shù)量已經(jīng)超過了50%甚至更多,而開源軟件產(chǎn)品所占比重從2011年的3%增長到了現(xiàn)在的33%。平均每一款商業(yè)軟件都會使用超過100個開源組件,而且三分之二的商業(yè)應(yīng)用代碼中已知是存在安全漏洞的。以JAVA應(yīng)用為例,由于開發(fā)的模式和開發(fā)框架技術(shù)的發(fā)展,幾乎很難找到一個完全不使用開源框架的應(yīng)用系統(tǒng),如JAVA的開源開發(fā)框架:Struts,Spring,Hibernate等幾乎成了JAVA應(yīng)用系統(tǒng)開發(fā)的標(biāo)準(zhǔn)配置,無論是政府門戶網(wǎng)站,銀行的網(wǎng)上銀行系統(tǒng),電商的銷售平臺,企業(yè)內(nèi)部OA系統(tǒng),甚至移動應(yīng)用的服務(wù)器端系統(tǒng)都是在使用這些開源框架。但Struts2的安全漏洞卻是一波為平一波又起,如下圖,2016年4月26日,Struts2漏洞血洗互聯(lián)網(wǎng)。如下圖,是Apatch官網(wǎng)從2013年4月以后所統(tǒng)計的Struts2開源軟件的安全漏洞就有55個之多:

ApacheStruts2DocumentationCHILDPAGESNHomeSecurityBulletinsApacheStruts2DocumentationCHILDPAGESNHomeSecurityBulletins82-001kS2-002LS2-003S2-004S2-005S2-006S2-007S2-008S2-009S2-010S2-011S2-012S2-013S2-0140Spacetools■ ?S2-026—SpecialtopobjectcanbeusedtoaccessStruts'internalsS2-027—TextParseUtil.translateVariablesdoesnotfiltermaliciousOGNLexpressionsS2-028—UseofaJREwithbrokenURLDecoderimplementationmayleadtoXSSvulnerabilityinStruts2basedwebapplications.S2-029—ForceddoubleOGNLevaluation,whenevaluatedonrawuserinputintagattributes,mayleadtoremotecodeexecution.S2-030—PossibleXSSvulnerabilityin11SNInterceptorS2-031—XSLTResultcanbeusedtoparsearbitrarystylesheetS2-032—RemoteCodeExecutioncanbeperformedviamethod:prefixwhenDynamicMethodInvocationisenabled.S2-033—RemoteCodeExecutioncanbeperformedwhenusingRESTPluginwith!operatorwhenDynamicMethodInvocationisenabled.S2-034—OGNLcachepoisoningcanleadtoDoSvulnerabilityS2-035—ActionnamecleanupiserrorproneS2-036—ForceddoubleOGNLevaluation,whenevaluatedonrawuserinputintagattributes,mayleadtoremotecodeexecution(similartoS.S2-037—RemoteCodeExecutioncanbeperformedwhenusingRESTPlugin.S2-038—ItispossibletobypasstokenvalidationandperformaCSRFattackS2-039—GetterasactionmethodleadstosecuritybypassS2-040—Inputvalidationbypassusingexistingdefaultactionmethod.S2-041—PossibleDoSattackwhenusingURLValidatorS2-042—PossiblepathtraversalintheConventionpluginS2-043——UsingtheConfigBrowserplugininproductionS2-044—PossibleDoSattackwhenusingURLValidatorS2-045—PossibleRemoteCodeExecutionwhenperformingfileuploadbasedonJakartaMultipartparser.S2-046—PossibleRCEwhenperformingfileuploadbasedonJakartaMultipartparser(similartoS2-045)S2-047—PossibleDoSattackwhenusingURLValidator(similartoS2-044)S2-048—PossibleRCEintheStrutsShowcaseappintheStruts1pluginexampleinStruts2.3.xseriesS2-049—ADoSattackisavailableforSpringsecuredactionsS2-050—AregularexpressionDenialofServicewhenusingURLValidator(similartoS2-044&S2-047)S2-051—AremoteattackermaycreateaDoSattackbysendingcraftedxmlrequestwhenusingtheStrutsRESTpluginS2-052—PossibleRemoteCodeExecutionattackwhenusingtheStrutsRESTpluginwithXStreamhandlertohandleXMLpayloadsS2-053——ApossibleRemoteCodeExecutionattackwhenusinganunintentionalexpressioninFreemarkertaginsteadofstringliteralsS2-054—AcraftedJSONrequestcanbeusedtoperformaDoSattackwhenusingtheStrutsRESTpluginS2-055—ARCEvulnerabilityintheJacksonJSONlibrary思客云開源軟件安全漏洞檢測系統(tǒng)思客云正是根據(jù)用戶目前所面臨的這一問題,結(jié)合多年的安全漏洞檢測技術(shù)經(jīng)驗,獨立自主地研發(fā)一套自動化開源軟件安全漏洞檢測系統(tǒng)。該系統(tǒng)是在企業(yè)內(nèi)部建立一個開源框架漏洞應(yīng)急響應(yīng)云平臺,它能夠在漏洞發(fā)布的最短時間內(nèi)自動化主動地探測開源框架漏洞的發(fā)布信息,到在企業(yè)內(nèi)部對所有應(yīng)用系統(tǒng)是否使用有安全漏洞的開源框架的具體情況進行快速檢測,并及時通知應(yīng)用系統(tǒng)的相關(guān)管理人員進行快速修補。將這一安全漏洞事件的危害降到最小。

該檢測系統(tǒng)是一套集開源軟件安全漏洞收集,開源軟件安全檢查管理、安全檢查漏洞報警及發(fā)布、安全策略執(zhí)行、開源軟件安全漏洞知識分享等為一體的綜合性開源軟件安全漏洞應(yīng)急響的平臺級系統(tǒng)。這套系統(tǒng)將大大地方便企業(yè)級用戶在開源軟件組件漏洞曝露的改變傳統(tǒng)軟件安全測試工具的使用方式,成為企業(yè)級的產(chǎn)品解決方案。思客云■開源代碼檢測漏洞最多的項目ToplO崛目呂橙測配苴zbg-webl.0-2.5.1-3doud-5caner252椅婚情開源代踴辟zbg-Webl.&-2.5.1-3 血⑴訴盼1■開源代碼檢測漏洞最多的項目ToplO崛目呂橙測配苴zbg-webl.0-2.5.1-3doud-5caner252椅婚情開源代踴辟zbg-Webl.&-2.5.1-3 血⑴訴盼1showcasecloudStanerjfirial_demQelixra-scAner2-5^■1showcase—『cloud-web3.1出現(xiàn)次數(shù)最多的漏洞ToplO漏洞名CVE-2016-3082y^CVE-2017-CVE-2016-3082y^CVE-2017-12611CVE-2017-12611CVE-2016-a093CVE-2016-4436192.163.0.ISiOO/dcHjd&ecure/task/listTatal>具體一個項目的檢測詳情報告:查看白名單導(dǎo)出報吉下載查看白名單導(dǎo)出報吉下載Exce服告項目名稱:<JAVA_Webgoat>項目版本:11.0序號名稱版本已知風(fēng)險踣徑操作1struts2-rest-plugin2.3.7CVE-2017-9805 臼CVE-2017-9793 E3lib\lib\WebGoat5.0\WebContent\WEB-INRIib\stnjts2-rest-plugin-2.3.7.jarCVE-2016-0785CVE-2016-4003CVE-2013-4316CVE-2013-4310CVE-2013-2248CVE-2013-2251CVE-2013-2135CVE-2013-2115CVE-2013-1966CVE-2012-4387CVE-2011-3923CVE-2011-1772struts2-coreCVE-2016-3093lib\lib\WebGoat5.0\WebContent\WEB-INF\lib\stnjts2-core-.jar宙計struts2-coreCVE-2016-3093lib\lib\WebGoat5.0\WebContent\WEB-INF\lib\stnjts2-core-.jar宙計CVE-2015-5209CVE-2014-0112CVE-2014-7809CVE-2014-0116CVE-2014-0094CVE-2012-4386CVE-2017-12611CVE-2016-4461CVE-2016-3082>思客云開源軟件漏洞管理平臺提供不同開發(fā)語言下的開源軟件的每個漏洞的解釋說明,修復(fù)建議和參考資料:思客云開源框架安全漏洞知識平臺rW開源框架漏洞知識庫:■US導(dǎo)入漏洞庫曰0JAVAOMaven卜。xmltoolingrW開源框架漏洞知識庫:■US導(dǎo)入漏洞庫曰0JAVAOMaven卜。xmltooling-chOjackrabbitswagger-parserSQLitemqttZuuloWittptomcat-nativeCVE-2018-1308漏洞名稱(CVE):ImproperRestrictionofXMLExternalEntityReference('XXE')漏洞名稱(CVE): XML外部擴展漏洞名稱(CNNVD): ApacheSolrDatalmportHandler安全漏洞bOxmlsec日€3SolrLO遠(yuǎn)程反序列化代碼執(zhí)行漏洞(CVE-2019I1-0XML外瀚囑(CVE-2(H8~13O8)ICVE^^:CVE-2018-1308CNNVg號:CNNVD-201804Y15危險等級:High影響版本:solr-core:1.2.0-6.6.2;solr-core:7.0.0-7.2.1j-0XML外部擴展(CVE-2018-8010)!0跨站點腳本(XSS)(CVE-2015-8795)1-0跨站點腳本(XSS)(CVE-2014-3628)〔??缯军c腳本(XSS)(CVE-2015-879

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論