当前位置:主页 > CC防护 > 正文

防服务器攻击_备案_海外金融网站防护

03-30 CC防护

防服务器攻击_备案_海外金融<a href='http://www.ddosgb.com/ddos1/1101.html' target='_blank'><u>网站防护</u></a>

Imperva的研究小组一直在监视新的web应用程序漏洞。在这样做的过程中,我们注意到在过去的一年中至少有四个主要的不安全的反序列化漏洞。我们的分析表明,在过去的三个月里,反序列化攻击的数量平均增长了300%,这使它们成为web应用程序的严重安全风险。更糟糕的是,许多此类攻击现在都是为了在易受攻击的web服务器上安装加密挖掘恶意软件,从而阻碍了它们的CPU使用。在这篇博文中,我们将解释什么是不安全的反序列化漏洞,展示利用这些漏洞的攻击的增长趋势,并解释攻击者如何利用这些漏洞(包括真实的攻击示例)。什么是序列化?序列化过程将像Java对象一样的"活动"对象(结构和/或状态)转换为可以通过网络发送、存储在内存或磁盘上的格式。反序列化将格式转换回"活动"对象。序列化的目的是保留一个对象,这意味着该对象将存在于创建它的本地计算机的生存期之外。例如,在ATM机上取款时,账户持有人的信息和所需的操作都存储在本地对象中。在将此对象发送到主服务器之前,将对其进行序列化,以便执行和批准所需的操作。然后服务器反序列化对象以完成操作。序列化类型有许多类型的序列化可用,cdn及cdn加速原理高防cdn,这取决于被序列化的对象和目的。几乎所有现代编程语言都支持序列化。例如,在Java中,使用字节流将一个对象转换成一个紧凑的表示,然后字节流可以被还原为该对象的副本。其他类型的序列化包括将对象转换为层次格式,如JSON或XML。这种序列化的优点是可以将序列化对象读取为纯文本,而不是字节流。过去三个月的反序列化漏洞在OWASP 2017年的10大安全风险中,不安全的反序列化排在第八位,这是我们在之前的博客中讨论2017年web应用程序漏洞状况的。2017年,与不安全序列化相关的主要新漏洞(主要是Java)发布(见图1)。姓名发布日期(日/月/年)漏洞详细信息CVE-2017-121492017年8月1日JBoss应用程序服务器中的漏洞允许通过精心编制的序列化数据执行任意代码,因为HTTP调用程序不限制其执行反序列化的类CVE-2017-102712017年6月21日Oracle WebLogic Server中的漏洞允许执行任意代码,因为wls wsat组件中的用户提供的输入没有进行充分的清理CVE-2017-9805 2017年6月21日apachestruts中的REST插件使用XStreamHandler和XStream实例进行反序列化,而不进行任何类型筛选,这可能导致在反序列化XML有效负载时执行远程代码。CVE-2017-75042017年4月5日这个HTTPServerILServlet.java在JMS中,远程攻击者可以通过精心编制的序列化数据执行任意代码,因为它不限制对其执行反序列化的类图1:与不安全反序列化相关的CVE为了了解这些漏洞的严重性,游戏cc防御,我们分析了过去三个月(2017年10月至12月)试图利用不安全反序列化的攻击。一个关键的观察是在过去的几个月里反序列化攻击急剧增加,如图2所示。试试看{jQuery(函数($){海图.chart("图1"{图表:{类型:"样条线",},学分:{启用:false},标题:{文本:"",风格:{fontSize:"24像素",//fontFamily:"MetricWeb粗体,无衬线"fontFamily:"国米,无衬线"}},X轴:{类别:01/10/2017,"02/10/2017","03/10/2017","04/10/2017","05/10/2017","06/10/2017","07/10/2017","08/10/2017","09/10/2017","10/10/2017","11/10/2017","12/10/2017",高防cdn3元一月,"13/10/2017","14/10/2017","15/10/2017","16/10/2017","17/10/2017","18/10/2017","19/10/2017","20/10/2017","21/10/2017","22/10/2017","23/10/2017","24/10/2017","2017年10月25日"、"2017年10月26日"、"2017年10月27日"、"2017年10月28日"、"2017年10月29日"、"2017年10月30日"、"2017年10月31日"、"2017年11月1日"、"2017年11月2日"、"2017年11月3日"、"2017年11月4日"、"2017年11月5日"、"2017年11月6日"、"2017年11月8日"、"2017年11月9日"、"2017年10月11日"、"2017年11月12日"、"2017年11月13日"、"2017年11月14日"、"2017年11月15日"、"2017年11月16日"、"2017年11月17日","2017年11月18日"、"2017年11月19日"、"2017年11月20日"、"2017年11月21日"、"2017年11月22日"、"2017年11月23日"、"2017年11月24日"、"2017年11月25日"、"2017年11月27日"、"2017年11月28日"、"2017年11月29日"、"2017年11月30日"、"2017年12月2日"、"2017年12月3日"、"2017年12月4日"、"2017年12月5日"、"2017年12月6日"、"2017年12月8日"、"2017年12月9日"、"2017年12月10日"、"2017年12月11日","2017年12月12日","2017年12月13日","2017年12月14日","2017年12月15日","2017年12月16日","2017年12月17日","2017年12月18日","2017年12月19日","2017年12月21日","2017年12月22日","2017年12月23日","2017年12月24日","2017年12月26日","2017年12月27日","2017年12月28日","2017年12月29日","2017年12月30日","2017年12月31日",网格宽度:1,},雅克西斯:{最小值:0,滴答时间间隔:50,标题:{文本:"}},图例:{符号半径:0,align:"居中",verticalAlign:"顶部",布局:"水平",x: 0,y: 0,},正在导出:{启用:false,},绘图选项:{系列:{数据标签:{启用:false},},派:{allowPointSelect:真,cursor:"指针",服务器ddos防御方法,数据标签:{启用:false},showInLegend:对,颜色:[]},阿里云ddos防御案例,系列:{标签:{允许的连接器:错误},},},工具提示:{useHTML:真的,pointFormat:"{系列名称}{point.y}
",共享:正确}系列,系列:[{名称:"不安全的反序列化攻击",数据:[16、36、12、17、16、19、28、43、37、40、46、41、36、89、90、72、43、43、43、37、40、46、41、36、89、90、72、43、40、34、44、32、42、38、38、30、34、27、38、30、34、27、31、28、32、26、28、34、25、32、32、61、108、95、99、147、98、98、59、48、48、53、44、44、60、133、165、216、216、118、110、153、211、199、147、96、146、46、78、156、157、74、74、28、34、34、34、34、60、133、133、165第126页,58,45,60,98,151,173,117,134,98,89,191,127,199,353,186,197,67,83,158,180,128,222,224,162],颜色:"#FF6384",],反应灵敏:{规则:[{条件:{最大宽度:500},图表选项:{图例:{布局:"水平",align:"居中",垂直对齐:"底部"}}}]}});});}接住(错误){控制台.错误("初始HighChart id图1失败",错误);}图2:三个月内不安全的反序列化攻击大多数攻击者除了不安全的反序列化外,没有使用任何攻击向量。我们注意到每个攻击者都试图利用不同的漏洞,其中最常见的是上述cve。有关过去几年中与不安全反序列化相关的CVE的完整列表,请参见图3。姓名相关制度公共剥削姓名相关制度公共剥削CVE-2017-9844SAP NetWeaver公司是的CVE-2016-2170比兹的阿帕奇不CVE-2017-9830代码42 CrashPlan不CVE-2016-2003年HP P9000,XP7 Command View高级版(CVAE)套件不CVE-2017-9805阿帕奇支柱是的CVE-2016-2000年HP资产管理器不CVE-2017-7504Red Hat JBoss是的CVE-2016-1999年高压释放控制不CVE-2017-5878号文件Apache开放式会议是的CVE-2016-1998年HP服务经理不CVE-2017-5645阿帕奇Log4j不CVE-2016-1997年HP运营协调不CVE-2017-5641阿帕奇·布拉泽兹是的CVE-2016-1986年惠普持续交付自动化不CVE-2017-5586OpenText Documentum D2是的CVE-2016-1985年HP运营经理不CVE-2017-3159阿帕奇骆驼是的CVE-2016-1487利盟Markvision企业不CVE-2017-3066Adobe ColdFusi公司

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/39257.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 5420169访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X