大家好,我这次讲的话,可能会稍微轻松随意一些。我是知道创宇的,我的网名叫余铉,负责整个研究部,web应用生态系统,用了系统以后,就能更好的理解了,这个生态系统里面,涉及到各个层面上,里面存在的一些安全问题。这个安全问题能保持一些事件,大规模的数据中间,有很多网站。我们如何第一时间内发现这些应用安全动态,有助于我们在我们的这些监控层面,防御层面里面,把相关的景色特征给快速的打上。
我自己来一个定义,在这个里面,基于BS的软件我都把它定义成这个应用,不像我们看到的一些门户网站,微博等等这样一些,包括我们使用的一些安全的产品,只要是基于BS结构,或者是内部的管理的软件,都把它定义成这个应用。
第一部分它的一个生态系统,最底层这个应用开发的自己的框架,PAD,还有其他。基于这个框架之上,基于有些应用,基于这个开发的,有一些是做自己的私有框架,私有团队开发的,包括一些SNS论坛,包括一些国内外比较流行的一些系统。在往上走,第三层,主要倾向于这个倾向,第一个就是使用的比较多的,还有这个是发布了一个评价,再往上走,web用出来以后,用一些比较成熟的API,比如像一些广告,比如地图,我们上点评网上去看一些这些东西的时候,会把地址,通过这个地图搞出来。这四层,每一层都可以解决安全问题,后面就给大家分享,每一层的一些事件。
一个web应用,基础的支撑的层面,操作系统,然后是一个存储,数据库存储,内存存储,文件存储。再上面是web容器,再上面是服务端语言等等,基于这些之后,再往上走就是web应用包的框架,包括bbs,还有jQuerb等等,最顶层是我们的浏览器,肯定都是基于这个,还基于一些浏览器,实际上就是这样一个GS等等。八层里面,数据输入从上到下,每一层有一个非常关键的一点就是一致性,如果每一层对待安全问题的一致性,这里面是比较流行的。
我们看分类,这里面分为三大类,开元、闭源,私有的。到底是哪个安全?实际上都不一定,我想说的是,像开元,世界上影响很大,安全技术肯定是最高的,因为他通过,面向这些大众会比较多,无论是白帽子黑客,还是黑帽子黑客,及时的提交,双方会及时地响应,把这个进行修补,进化的路线很快速,比这些私有的要快速很多,文字的应用性、安全性,还是非常高的。
而且闭源,大客户所使用的,还是功能性上的一些问题,安全各方面反馈的会比较少,因为一些客户使用的这些情况,还不是那么的必备。我这里举一个例子,像某国内的邮箱系统,在广告里面号称我是最安全的,前两天看到的,之后我就笑了,他继续说,因为我们把这个数据进行了特有的加密,并且我们的系统支持访问,也是为国家串改,我们是百分之百的安全的,我就拿和这个系统,进行登录,做了一些测试,很快就发现很多比较严重的攻击,这样的系统国内应该会比较多。很多政府单位都会使用,经常会用做APP类似的攻击,或者直接读文件,一些比较敏感的,使用这样的系统,经常都是一些很多攻击。还有一些私有的企业,有的是经验不够,有的是以前有经验,过了一段时间就没有经验了,之后就发生问题了。
后面围绕这一个机构去把这个黑客案例给大家介绍的,这个生态系统基于的开发框架,肯定会有一些问题,比如新的框架,基于开源的组件,并不可能是重复的,性能是比较好用的,都会拿过来,很多人用这个的话,这个应用都是流动的。
如果发展比较大的话,结构是有这个体系的,开放接口,我们知道自己可能自己的web应用,安全意识很高,如果开发者,刚刚发现,如果好用,用的时候,安全性可能好一些,这个时候对于整体来说,这个供应也是取决于这样一个问题。还有一个是像一些公共的文件类,我知道一些团队,想实现我们的一个上传,想实现一个某个数字,从网上查一下,查一下这个代码。
我们想想这上面基于的东西是不是都可能出现?我们研究的时候都存在这些机构。web应用网上有可能包含很多的文件,希望给用户交付,自我空间等等这些共同应用的时候,只要有一个应用,用A用B等等,据我们肯定,都是肯定,东西有多有少,这个不大不小。一个开发团队,意志比较高,最后总要退出江湖,安全意识没有那么多的经验了,随着时间的移动,这些已经有了,它是世界上最安全的,这个话可能是会随着时间的退役,漏洞也会变化或进化。这个时候,整个网上的线取决于这些方面。
把这个生态系统跟网上的生态系统,结构了解以后,出现了哪一个安全控股?我们看第一类,web开发框架出问题很可怕,基于这个框架开发的web应用基本都会出问题。很多应用都对这些框架进行开发,前两天的时候,公园上报一个新的结构,这两年紧急响应,发现非常非常广,我们在此基础上去搜,我们发现有104个应用开明了,应用都基于新的开发了,据统计是561000个网站受影响,据说今天某个黑客已写出了相关的工具。第二个例子,上个月5号的时候,这也是一个拓广平台,这里面有一个机制,也许用户在外面,类似于这样一个覆盖,把相关的值,覆盖掉,只要180,可以任意写另外用户的呈现,比如快呈现了,一个用户的系统,在后台设给我的这些,另外的用户,我们当时做的统计,当时是这样的,那个黑客其实也是比较好,我们称之为是白帽子,说你们这个有问题,另外一个说这是你的特信,这个黑客当时很生气,他直接拿这个发布了,这个机制可以导致变量覆盖的特性导致这起安全事件。这个页面一直没有删,一直保留着,这是一个见证嘛。这应该是Rails框架的错误。
jQuery1.61版本,使用这样一个特征,把location.hash里面的词,这是谁的错?会因为使用错了,大概在一两个月之内,把这个问题在后续版本解决了。还有一个是我们发现的,上个月我发现黑客,开发框架,他们很多插件,我往我的程序里面,把他的假板卖到这里,用户举办的时候,还会处罚这个办法,我们觉得很神奇,把你做了安全的编码,你还给我解码了,这个问题到底是谁的?他们说这是特性,之后我们把这个写在上面了。
FCKeditor这个编辑器用的比较多了,做的一些文件上传,漏洞直接得到web后门。在我们数据中心里面统计出来,这个分布,2.63,他的分布是最高的。我们网上查了一下,这个应用有超过九条,包括华为的。只要出现了问题,基于这个附近,肯定都是这样的。这个错误是谁的错?
WardPress插件各种严重漏洞,本身不是它的,是它当中的所有的插件。我们一搜,发现将近200条,主要都是跟插件有关系的,我们商业部门,3月20日,我们跟他们一起国内外,大批网站,前面执行的,好像是俄罗斯,他们使用了这些工具,当中发现了木马。我们这些分析的成果,已经在这个当中出现,也希望大家能够关注我们的博客。
很多时候web开发人员经常copy现有代码。这套应用,他出现安全问题,你肯定也会出安全问题,我们知道哪能改变世界,这个意识会影响到大家获得代码。举一个例子,经过风起云涌恩,很多应用处理来处理去,导致出现各种安全隐患,他不完备,接着,后面他们可能,直接拿进来,或者上传,Nginx文件类型错误解析漏洞,校验文件头,可以在jpg文件里嵌入服务端语言指令,然后绕过后缀判断。这时候如果在此方法上,按照对应的,在图片里面拜访,我们上传也是出现各种问题。
安全问题导致的被黑事件。我们对此事件进行了很多次跟踪,类型分为这几种盗取饮食信息,去年是泄密。第二个有可能把你这个机器,这个服务当成一个僵尸机器,作为发送垃圾的邮件等等。这些细节我也欢迎大家能够再跟我交流讨论!恶意破坏,这种情况也有,这种心理太强了,然后是植入网马,植入暗链,在当中我们监控了包括A1破坏,网马,相对来说比较高调,电脑上的操作软件会爆,因为产业链不像去年,已经被打击的快不行了,这个趋势也是一个适当的趋势,并不能说明黑客活动减少了,反而发现这个活动增加了,因为我们发现职务发现了,这个看不到这个细节,这个是在网页层面里面直接侵入了。
一会儿重点讲一下植入暗链。暗链已经取代挂马成为被黑的第一手段,也形成了一个分工明确的地下产业链,风险比挂马更小。你根本不知道里面会爆,里面隐藏的,只要搜索引擎,整个网站都没有被修补上,而且应用更容易了,像我们用挂马,可能还要说我这个要隐藏,制造各种病毒,只要既定搜索引擎。目的就是SEO欺骗,提高暗链链接的搜索引擎排名。我们可以想象,这一些地下医院,会通过暗链,,浏览器打开用户看不到,因为被隐藏了,所以叫暗链。这个趋势是一个上升的趋势。据我们统计,这个案例排名第一的是私服,第二个是医疗、博彩、色情、股票、外挂等等,暗链网站的域名后缀,挂马很少,但是暗链很多。然后是一些教育网站,因为我们一些专业的,有一些危险点,再把暗链伤了,有一个平台,只是搜索引擎的排名。我们统计说,去年攻击排名,是十大重点的。
古城现在还是没有把暗链做好,这像一个比较专业的一个小门户,地方性的门户。看的时候,根本看不出来暗链。在底部发现了display:none,癌症的治疗、美女图片等等。
我们如何第一时间发现web应用的动态网。实际上就是暗链,组建一个快速的漏洞影像系统,还有一个是在我们的数据中心,我们的第一点,针对具体的,比较新的。在这个程度上进行一个创作,影响一个地域分布,趋势,整体的一个网络安全的一个态势。我们能够及时在风险上进行一个态势。这个排名都是比较高的,看到具体的版本之后,搜集了这些,有哪些漏洞,我们都知道,一个漏洞它的影响范围到底有多少,3月15日的时候,消费者报了一个金榜,发现大概是13780个,第二我们自己分析的,在我们中心里面进行探测,大概是将近12万,这里面如果打出去的话,就非常广了。
(责任编辑:)
