DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

香港高防ip_网络安全防护系统_零元试用

05-07 CC防护

香港高防ip_网络安全防护系统_零元试用

新年快乐!为了开启2019年,我们将讨论一个复杂的脆弱性。所有的开发人员都知道各种各样的权限提升和跨站点脚本(XSS),它们允许坏角色利用自己的方式访问敏感文件。CVE-2017-5662是其中一个漏洞的另一个例子,在本例中,它允许hack-SVG文件使用一个非常特定的向量。Vuln/Sonatype ID名称:CVE-2017-5662漏洞类型:DoS受影响的组件:1.8版之前的Apache Batik漏洞描述:SVG文件漏洞利用不是新出现的,也不是唯一的。在过去的几年里,SVG文件攻击已经有了数千个文档,它们已经足够常见了,它们激发了创建两个不同过滤器的灵感,使它们更安全。与JPEG、GIF或BMP等真正的图像文件相比,它们作为图像的可伸缩XML文本文件的能力允许它们的设计灵活性和固有的危险性。由于SVG文件通常被简单地当作图像来处理,ddos高防ip不能防御,并代替传统的图像文件被接受,因此开发人员通常会陷入常规思维,将任何用户提交的SVG文件视为语法上有效的。然而,由于SVG文件的核心是更动态的,因此如果SVG文件中的每个XML标记和值在处理时没有被仔细检查,那么它们很可能被滥用。作为一个小例子,使用旧的、不推荐使用的标准创建的SVG可以存储元数据值,例如其中的作者姓名。如果开发人员不小心而盲目信任这些值,如果攻击者能够提供精心编制的SVG,则呈现这些值可能会导致XSS攻击。攻击机制:不经意地处理SVG文件意味着妥协比开发人员想象的要容易得多。攻击者只需对根帐户使用几行格式错误的XML,就可以通过触发放大攻击来访问敏感文件或数据,或发起拒绝服务(DoS)。要记住的关键点是SVG文件不是图像文件,因此,它们的XML格式使它们成为利用各种漏洞进行攻击的强大手段。在这种情况下,防御ddos攻击系统,discuz如何防御ddos,一个图像可以抵得上千言万语。一个真实的例子:CVE-2017-5662专门解决了一个Apache Batik操作,该操作允许坏角色在SVG文件中创建格式错误的XML,以便在服务器上创建DoS攻击。一个真实的、精心制作的SVG文件的例子是:https://issues.apache.org/jira/secure/attachment/12776137/ssrf.svg在web浏览器或SVG查看器中呈现时,将显示SVG文档中的简单文本:I♡XML!但是,XML源代码在!DOCTYPE>标记,如果应用程序解析它,则可能会导致安全问题,具体取决于它的使用方式。在这种特殊情况下,精心编制的SVG可能会导致服务器端请求伪造(SSRF)攻击或被错误地用于端口扫描。在Chrome web浏览器中预览SVG文件:来源`ssrf.svg`:当使用netcat(nc)进行检查时,可以看到在解析SVG时,apachebatik发送了以下HTTP请求头。混乱@M0ly:~$nc-l 2323GET/HTTP/1.1User-Agent:Java/1.7.0_60-eaHost:本地主机:2323Accept:text/html,image/gif,image/jpeg,*;q=.2,防御系统,*/*;q=.2连接:保持活动如您所见,发出该命令以接受text/html,然后保持连接打开。如果服务器按照所写的语法进行处理,则会执行DoS攻击。为什么重要:管理SVG vector exploit之类的攻击可能会使运行Batik组件1.8之前版本的服务器瘫痪。此外,根据上下文和用户的不同,可能会暴露组织最敏感的数据。最佳修复路径:升级至Batik 2.2版本,企业安全防护,此漏洞已修复。具有持续部署软件版本能力的DevOps本机组织具有自动化优势,使他们能够领先黑客一步。Sonatype Nexus的客户在发现后几天内收到了CVE-2017-5662的通知。他们的开发团队会自动收到关于如何补救风险的指示。访问Nexus Intelligence Insights页面,深入了解其他漏洞。如果您不是Sonatype的客户,并且想知道您是否在特定的应用程序中使用了易受攻击的Apache Batik版本,可以使用Sonatype的免费Nexus漏洞扫描程序快速查明。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/67758.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8978705访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X