【IT168 资讯】以“互联网安全新思维”为主题的OWASP2011亚洲峰会在11月8日-9日成功举办。本届大会以“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。来自杭州安恒的Tony为大家分享了《2011应用安全0—day漏洞分析》。

▲杭州安恒Tony演讲

　　Tony介绍了2011年应用安全漏洞分析及趋势展望，他从四方面进行了详细的介绍：一是2010—2011年Web安全事件回顾，二是2010—2011年Web零天回放，三是2011年安恒安全团队研究成果，四是Web安全未来发展趋势与挑战。

　　1、2010—2011年Web安全事件回顾

　　• 2010—1月，百度被黑；

　　• 2011—3月，MYSQL.com和sun.com被入侵，攻击者把用户信息窃取了，最后有一个比较糟糕的一点，产品负责人安全意识比较淡漠，数据的密码竟然是四位数的数字；

　　• 2011—4月，索尼数据服务器被侵入，索尼已经不是多次了，已经有两次，整个将近一千万张信用卡，资料被泄漏，美国的FDI都介入了调查；谷歌的Gmail邮箱被攻击；

　　• 2011—6月，新浪微博遭黑客攻击。今天大家看Web2.0与我们设备息息相关，我相信在座很多人都在用微博，类似于Facebook、twitter之类的东西。

　　2、2010—2011Web零天回放

　　• 2010—5月，nginx文件类型错误解析漏洞，在座有很多都是专家，我也不会读这些PPT，比如说这个漏洞有什么危害?我一个网站，我有这个漏洞，会帮助GHP解析；

　　• 2010—7月，Struts2/XWork<2.2.0远程执行任意代码漏洞，目前为止国内有很多用了Struts2的网站的漏洞都没有补，我们发现它用Struts2的话，基本上都会反弹回来，确实这个漏洞危害比较大；

　　• 2010—9月，ASP.NET的Padding Oracle的漏洞；

　　• 2011—5月，阿里旺旺远程ActiveX溢出0day，乌云上有一个人暴了，我们也有一个人暴了，其实我们这个事情暴之前提前两个月把这个信息反馈给淘宝给了；

　　• 2011—7月，PhP远程的执行，Php My Admin是用于管理的Web方面的管理工具，很多单位都是用这个；

　　• 2011—7月，Nginx%00空字节执行代码的漏洞，这是我刚才讲的漏洞，我前面说的错了，这就是我刚才想表达的漏洞；

　　• 2011—8月，Apache Http Serve畸形Range选项处理远程拒绝服务漏洞，大家可以在美国官方的安全站点上都可以看到这些相关的信息；

　　• 2011—8月，Phpmyadmin跟踪功能多个跨站脚本的漏洞。

　　3、2011安恒团队研究成果

　　我们的研究成果，大家有可能看完以后，大家觉得也就这么样，反正都在我们身边发生，实际上漏洞有的时候说到底由于一些资源性的问题。

　　• 2011—3月，我们发现Resin Web服务器解析漏洞，它也是Web中间链，在解析的时候会产生漏洞，主要原因是什么?他将Url—pattern转化为正则表达式的时候没有进行安全校验，并且进行正则表达匹配时候使用匹配方式是匹配输入串中与模式匹配的子串，结合上面点，攻击者能够构造特殊的url来使用Web服务器。我们可以通过xxx.jsp/xxx.jpg的方式将其他文件格式以jsp方式执行，进而控制服务器；

　　• 2011—3月，yahoo mail跨站漏洞。利用跨站可以做一些什么事情，大家都很清楚，如果时间允许我会放一段flash讲一下跨站的危害。雅虎跨站漏洞在发送邮件的时候，在发送邮件的页面里面嵌入这段畸形的文件代码，说白了就是跨站代码就可以盗取被攻击者的邮箱的cookie。雅虎大家知道，它并不是对邮箱跨站没有处理，它没有考虑到附件是文件名称的问题；

　　• 2011—3月，21CN Mail跨站漏洞，它的跨站会通过Ifarme执行一段脚本；

　　• 2011—4月，发现网易旗下16.邮箱存在跨站漏洞。网易Webmail跨站漏洞，相关细节可以使用以下语句进行跨站(如图)，主要对style跨站考虑不足，造成跨站的发生。这块是网易的Webmail进行了修复，但是修复完以后，我们又做了一个测试，实际上修复还是不完美，我们经过加上斜杠，加上信息换行，同样绕过了过滤措施；

　　• 2011—4月，QQMail跨站漏洞，大家知道在座的很少不用QQ的，QQ邮箱使用的用户也是很大，我们也发现了QQ邮箱的跨站漏洞。QQ邮箱跨站漏洞，主要在它的标签里面插入跨站脚本，就导致了跨站的产生。前面有雅虎，实际上HOT邮箱也是有漏洞的，4月份的时候我们对它进行了测试，同样也存在跨站。虽然它补了，但是这块还是没有补全；

　　• 2011—5月，阿里旺旺远程ActiveX溢出漏洞，主要是阿里旺旺的dll中的图象文件名函数存在一个栈溢出漏洞，可以远程执行任意代码；

　　• 2011—3月，中国移动139邮箱也是存在跨站漏洞；

　　我们有很多客户端的软件，但是实际上内嵌了一些浏览器在里面，因为你有浏览器内嵌，就会产生对GS解析，你对GS解析就会产生跨站，比如说本地邮箱的接收软件，就会存在本地域的跨域的攻击。这是通过在邮件里面发送包含img标签，就可以读取任何文件，使用内制浏览器的目前已经普遍存在，就会造成跨站，而且以本地域的权限运行。

　　最后展现一个某银行的ActiveX控件，破坏客户端任意文件，这是破坏的Boot ，ini文件。

　　Activex控件导出DEcryptFile函数，并且存在函数szinflename，这样就造成了漏洞的产生，这块只是我们发现的简单的回顾，实际上有很多不方便今天在今天一一的展现。

　　4、Web安全未来发展趋势与挑战

　　昨天讲的我已经重复了，昨天我们范总在这边大体上讲了一些，未来主要这几块：

　　1、Web漏洞挖掘与攻击。

　　2、越来越Web安全事件，都源自新的零天的发掘。

　　3、源代码的安全性以及保密性。

　　4、内嵌了浏览器的客户端程序的安全问题。

　　内嵌了浏览器的客户端程序的安全问题，主要是会解析js和flash这些。

　　Web2.0社交网络与社会工程学的结合，会造成很大的更具有欺骗性的攻击艺术，像今年新浪微博蠕虫，利用了当时比较流行的话题，利用了郭美美之类的。

　　核心互联网面临的严峻的挑战比如说网上银行、网上银行听、网络购物、网游等等。

　　云计算与云安全，对于我们在座每一位都是以后很长时期的话题，也是对我们提出了更高的挑战。

　　给大家看一下一段flash，有一个收集cookie的页面，然后我把这个站点启用，启用之后比如说对163邮箱进行攻击，比如说给王总发邮件，邮件里面因为我知道163邮箱CSS里面有跨站漏洞，我就会盗取cookie跨站脚本嵌入到发送邮件里面，邮件的正文我发送我们公司的整个的介绍，发一个公司的简介，比如说这是对商务人士。把这个邮件发送出去，比如说王总会登录邮箱会接收这封邮件，他接收了以后，这个时候，他的cookie已经被窃取了。他的cookie就在这个邮件里了，获取到了cookie以后，就可以登录他的邮箱。登录邮箱的过程比较复杂，需要用到插件，会把我当前比如说我现在这个用户登录的这个用户先登录进去，把刚才我盗取到cookie信息，把它一个字段一个字段替换掉，接下来就是整个替换的过程。整个替换过程比较长，就不全面放出来，因为cookie字段比较多，最终替换完了以后，它以王总的身份已经在邮箱登录。

　　相关链接：

　　OWASP2011演讲PPT下载专辑http://topic.it168.com/factory/owasp_2011/index.html
　　OWASP2011专题报道http://safe.it168.com/topic/2011/11-7/OWASP2011/index.html