什麼是漏洞?
在阿裡雲,漏洞通過威脅高低被分為應急漏洞、高危漏洞、中危漏洞、低危漏洞。威脅類型分為資産漏洞、安全違法違規内容(如暴力恐怖、涉政、色情内容等)、網頁篡改、挂馬暗鍊、垃圾廣告。
漏洞具體是指在硬體、軟體、協定的具體實作或系統安全政策上存在的缺陷,進而可以使攻擊者能夠在未授權的情況下通路或破壞系統。
常見的漏洞與危害
SQL注入漏洞
SQL注入攻擊(SQL Injection),簡稱注入攻擊、SQL注入,被廣泛用于非法擷取網站控制權,是發生在應用程式的資料庫層上的安全漏洞。在設計程式,忽略了對輸入字元串中夾帶的SQL指令的檢查,被資料庫誤認為是正常的SQL指令而運作,進而使資料庫受到攻擊,可能導緻資料被竊取、更改、删除,以及進一步導緻網站被嵌入惡意代碼、被植入後門程式等危害。
跨站腳本漏洞
跨站腳本攻擊(Cross-site scripting,通常簡稱為XSS)發生在用戶端,可被用于進行竊取隐私、釣魚欺騙、竊取密碼、傳播惡意代碼等攻擊。
XSS攻擊使用到的技術主要為HTML和Javascript,也包括VBScript和ActionScript等。XSS攻擊對WEB伺服器雖無直接危害,但是它借助網站進行傳播,使網站的使用使用者受到攻擊,導緻網站使用者帳号被竊取,進而對網站也産生了較嚴重的危害。
弱密碼漏洞
弱密碼(weak password) 沒有嚴格和準确的定義,通常認為容易被别人(他們有可能對你很了解)猜測到或被破解工具破解的密碼均為弱密碼。
HTTP報頭追蹤漏洞
HTTP/1.1(RFC2616)規範定義了HTTP TRACE方法,主要是用于用戶端通過向Web伺服器送出TRACE請求來進行測試或獲得診斷資訊。當Web伺服器啟用TRACE時,送出的請求頭會在伺服器響應的内容(Body)中完整的傳回,其中HTTP頭很可能包括Session Token、Cookies或其它認證資訊。攻擊者可以利用此漏洞來欺騙合法使用者并得到他們的私人資訊。該漏洞往往與其它方式配合來進行有效攻擊,由于HTTP TRACE請求可以通過客戶浏覽器腳本發起(如XMLHttpRequest),并可以通過DOM接口來通路,是以很容易被攻擊者利用。
Struts2遠端指令執行漏洞
Apache Struts是一款建立Java web應用程式的開放源代碼架構。Apache Struts存在一個輸入過濾錯誤,如果遇到轉換錯誤可被利用注入和執行任意Java代碼。
網站存在遠端代碼執行漏洞的大部分原因是由于網站采用了Apache Struts Xwork作為網站應用架構,由于該軟體存在遠端代碼執高危漏洞,導緻網站面臨安全風險。CNVD處置過諸多此類漏洞,例如:“GPS車載衛星定位系統”網站存在遠端指令執行漏洞(CNVD-2012-13934);Aspcms留言本遠端代碼執行漏洞(CNVD-2012-11590)等。
架構釣魚漏洞(架構注入漏洞)
架構注入攻擊是針對Internet Explorer 5、Internet Explorer 6、與 Internet Explorer 7攻擊的一種。這種攻擊導緻Internet Explorer不檢查結果架構的目的網站,因而允許任意代碼像Javascript或者VBScript跨架構存取。這種攻擊也發生在代碼透過多架構注入,肇因于腳本并不确認來自多架構的輸入。這種其他形式的架構注入會影響所有的不确認不受信任輸入的各廠商浏覽器和腳本。
檔案上傳漏洞
檔案上傳漏洞通常由于網頁代碼中的檔案上傳路徑變量過濾不嚴造成的,如果檔案上傳功能實作代碼沒有嚴格限制使用者上傳的檔案字尾以及檔案類型,攻擊者可通過 Web 通路的目錄上傳任意檔案,包括網站後門檔案(webshell),進而遠端控制網站伺服器。
是以,在開發網站及應用程式過程中,需嚴格限制和校驗上傳的檔案,禁止上傳惡意代碼的檔案。同時限制相關目錄的執行權限,防範webshell攻擊。
應用程式測試腳本洩露
由于測試腳本對送出的參數資料缺少充分過濾,遠端攻擊者可以利用洞以WEB程序權限在系統上檢視任意檔案内容。防禦此類漏洞通常需嚴格過濾送出的資料,有效檢測攻擊。
私有IP位址洩露漏洞
IP位址是網絡使用者的重要标示,是攻擊者進行攻擊前需要了解的。擷取的方法較多,攻擊者也會因不同的網絡情況采取不同的方法,如:在區域網路内使用Ping指令,Ping對方在網絡中的名稱而獲得IP;在Internet上使用IP版的QQ直接顯示。
阿裡雲網站漏洞掃描
阿裡雲漏洞掃描(CSS)是數字化轉型中的最佳網際網路掃描實踐,可幫助您自動發現網站關聯資産,并進行高效精準的自動化漏洞滲透測試和
敏感内容監測等,保障上線前和線上應用環境的安全性。
漏洞掃描采用啟發式2.0爬蟲實作全面深度的頁面爬取,使用具有滲透測試能力的漏洞檢測插件幫助您全面檢測安全隐患。同時内置多層驗證規則,確定檢測結果的高精準度,并提供詳細的漏洞描述和解決方案幫助企業有效了解、驗證、跟蹤和修複漏洞,減少相關業務風險。
漏洞掃支援網站内容風險和挂馬篡改等檢測。基于深度學習技術, 提供圖檔、視訊、文字等多媒體的内容風險和挂馬篡改智能識别服務,幫助您降低色情、暴力、恐怖等違規風險以及被黑客惡意篡改的風險。
資料來源:國家資訊安全漏洞共享平台
通過漏洞掃描對主機進行漏洞檢測:
通過配置IP位址與域名進行掃描(域名效果會更好),進行整體的ECS漏洞檢測。
通過漏洞掃描以後,可以看到執行個體存在的漏洞的分布情況。
點選具體漏洞,可以知道漏洞的具體情況,以及修複辦法。
總結
提高基線水位能夠有效降低被攻擊、滲透的機率,定期對業務進行漏洞掃描并進行及時的修複可以大大降低。