DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

香港高防_ddos高防iphttps_怎么办

05-04 CC防护

香港高防_ddos高防iphttps_怎么办

在本月的Nexus Intelligence Insights中,让我们深入探讨最近成为头条新闻的热门幽灵猫漏洞。该漏洞值得注意,ddos本地防御,因为它影响了广泛使用的Apache Tomcat web服务器,在GitHub和ExploitDB上至少有5个漏洞可公开使用,并且有一个相当简单但却被忽视的根本原因。事实上,在过去的13年里,没有一个版本的Tomcat能够免疫Ghostcat,除非经过适当的修补。该漏洞尚未解决,可能为攻击者访问服务器上的任意文件铺平了道路。这些文件很可能会泄露敏感信息,如专有源代码、存储的密码、API令牌等。更先进的POC可以通过在系统上远程执行代码和设置后门(如果他们能够获得大量有用的信息)而使恶意行为体造成更大的损害。还有什么?"针对此漏洞的大规模扫描活动已经开始,"根据Shodan提供的坏数据包和证据,因此立即引起了人们的关注,并迅速对该问题进行了补救。漏洞标识符:CVE-2020-1938(又名CNVD-2020-10487)漏洞类型:CWE-20/不正确的输入验证导致本地文件包含。严重程度:CVSS 3.1得分:9.8CVSS 3.1指标:CVSS:3.1/平均:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H受影响的c组成部分:目前在马文Centralorg.apache.tomcat:tomcat公司org.apache.tomcat:雄猫郊狼易受攻击的版本范围:[9.0.0.M1,9.0.31),[8.0.0-RC1,8.5.51),(,7.0.100)本质属性与攻击机制该漏洞被称为CVE-2020-1938、CNVD-2020-10487和非正式的"Ghostcat",国外防御cc软件,由于默认情况下启用了Tomcat中的AJP协议支持而发生此漏洞。作为标准实践,大多数web服务器程序提供了多种协议来支持,并通过在默认情况下保持几个端口打开,以及通过不断地"监听"它们来接收传入的流量来实现这一点。当然,这些端口包括用于HTTP的端口80和用于HTTPS的443端口。Tomcat还支持apachejserv协议(AJP),防御webcc攻击,因此默认情况下在8009上"监听"。然而,与它的兄弟协议不同,AJP在设计上是一个"高度信任"的协议,并且永远不应该暴露给不可信的客户端。虽然普遍的看法是,除非经过仔细审查的用例另有规定,否则始终关闭此端口,但是这些年来发布的Tomcat版本有一个简单的单线程配置,使其保持打开状态:图片来源:Tomcat(GitHub)中的易受攻击代码这意味着,攻击者可以将精心编制的AJP请求发送到端口8009,服务器将以比普通HTTP请求更高的信任度处理该请求。恶意请求可能会导致服务器公开本地文件的内容,例如/etc/passwd。这只是众多例子中的一个。这样的文件可以帮助攻击者推断机密信息,并升级对系统安全性的进一步攻击。例如,如果攻击者能够获得存储在本地文件中的API密钥和密码怎么办?或者查看源代码中内置的服务器端安全逻辑?可能性是无穷的。一个简单的PoC脚本可以进一步简化这个漏洞,对于脚本孩子来说:pythonpoc.py公司-p 8009-f"/WEB-INF/web.xml文件"127.0.0.1只需运行一行,脚本就可以提取本地配置文件"web.xml文件"从运行在特定IP地址上的web服务器(当然,环回地址127.0.0.1就是一个例子),当它的AJP连接器被启用并监听端口8009时。想象一下,如果攻击者决定使用其中一个POC来获取您最保守的秘密,那么可能会造成什么样的损害!Apache发布的修复非常简单,主要包括注释掉配置文件中的这一行,服务器.xml. 这样做会在默认情况下禁用AJP/1.3协议支持,从而有效地解决了该缺陷。图片来源:通过注释掉易受攻击的配置(GitHub)进行修复Sonatype客户和Nexus Lifecycle的用户在披露后数小时内收到了此漏洞的通知,并收到了以下信息:Sonatype的解释:Apache Tomcat包含任意文件读取/包含漏洞。会议/服务器.xml默认情况下,棋牌游戏ddos防御第一,文件启用apachejservprotocol(AJP)连接器,该连接器侦听端口8009。另外,AbstractAJProtocol类中的构造函数和createProcessor()方法、AjPapProtocol、AjpProtocol和AjpNioProtocol类中的构造函数,以及AbstractAJProcessor、AjpProcessor中的prepareRequest()方法,AjpAprProcessor类接受任意请求属性,并且无法为AJP连接强制实施requiredSecret。远程攻击者可以利用此行为通过AJP连接从受影响的服务器读取任意文件,或者通过上载特定类型的文件(如JavaServer Pages(JSP))执行远程代码执行(RCE),前提是应用程序允许用户将文件上载到文档根目录。补救和建议:我们建议升级到此组件的版本,该版本不易受此特定问题的影响。特定于版本的升级建议如下以下:对于9.x,升级至9.0.31 for 8.x,升级至8.5.51 Tomcat 7.x版及更早版本的用户可能会升级到7.0.100或者,如果升级不可行,则可以通过conf禁用AJP连接器来减轻此漏洞/服务器.xml配置文件。注意:如果此组件作为另一个组件的绑定/可传递依赖项包含,则可能没有升级路径。在这种情况下,ddos防御工具的设计与实现,我们建议联系包含易受攻击包的维护人员。或者,我们建议调查替代组件或潜在的缓解控制。具有持续部署软件版本能力的DevOps本机组织具有自动化优势,使他们能够领先黑客一步。Sonatype Nexus的客户在发现CVE-2020-1938后的数小时内收到通知。他们的开发团队会自动收到关于如何补救风险的指示。如果您不是Sonatype的客户,并且想知道您的代码是否存在漏洞,可以使用Sonatype的免费Nexus漏洞扫描程序来快速查明。访问Nexus Intelligence Insights页面,深入了解类似此漏洞的其他漏洞。或订阅自动接收Nexus Intelligence Insights hot off press。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/67593.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8958005访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X