国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

今日烏云君有機(jī)會(huì)進(jìn)行了一次完整的安全事件應(yīng)急，感覺其中一些思路過程可以給大家分享，在今后遇到類似的情況后也可以及時(shí)作出響應(yīng)與修復(fù)工作。能夠?qū)ζ髽I(yè)安全有價(jià)值的內(nèi)容，烏云君都愿慷慨解囊。

事情開始

今日下午14點(diǎn)，網(wǎng)傳烏云某重要站點(diǎn)存在安全漏洞，可能導(dǎo)致泄密，并給出一些截圖

漏洞定位過程

通過圖片馬上可以確定這是個(gè)SQL注射漏洞，這個(gè)工具（sqlmap）會(huì)留下大量可迅速識(shí)別的特征log，加上對業(yè)務(wù)的數(shù)據(jù)結(jié)構(gòu)了解，馬上定位到項(xiàng)目log進(jìn)行排查。

在日志中內(nèi)部已經(jīng)發(fā)現(xiàn) SQL 注入點(diǎn)，通過在日志中根據(jù) sqlmap union 等關(guān)鍵字也定位到注入點(diǎn)為，存在漏洞的參數(shù)為 endMonth：

http://zone.wooyun.org/index.php?do=contribute&act=list&endMonth=2016-01

對 2016.1.19 號當(dāng)天的日志（過濾出所有的 endMonth）進(jìn)行分析，梳理如下

2016.1.19 10:26:30 通過 endMonth=2016-01' AND SLEEP(5) AND 'sUQB'='sUQB 語句對 endMonth 進(jìn)行 SQL 注入測試。

然后通過伙伴手工輸入一些經(jīng)典表達(dá)式進(jìn)行判斷，發(fā)現(xiàn)漏洞確實(shí)存在。

http://zone.wooyun.org/index.php?do=contribute&act=list&endMonth=2016-01' and 'a'='a

http://zone.wooyun.org/index.php?do=contribute&act=list&endMonth=2016-01' and 'a'='b

一些漏洞利用log片段

漏洞修復(fù)

漏洞已經(jīng)非常明確，出在烏云社區(qū)新上線的“貢獻(xiàn)榜”功能，屬于字符型SQL注射漏洞。烏云的研發(fā)團(tuán)隊(duì)立刻對這個(gè)文件的 endMonth 的參數(shù)進(jìn)行了字符型SQL注射的修復(fù)處理，即過濾單引號，同時(shí)限制 endMonth 參數(shù)只能為“年份-月份”的形態(tài)。從定位漏洞到修復(fù)漏洞，只用了5分鐘時(shí)間！

此時(shí)也有烏云白帽子發(fā)現(xiàn)并提交了這個(gè)安全漏洞（漏洞編號：WooYun-2016-171108），但由于烏云主站受到了嚴(yán)重的DDOS攻擊，導(dǎo)致無法處理漏洞。在訪問恢復(fù)后我們及時(shí)對漏洞進(jìn)行了確認(rèn)并立刻公開漏洞細(xì)節(jié)，讓大家看到烏云的這個(gè)注射技術(shù)細(xì)節(jié)與位置。

后續(xù)影響分析

一次可靠的安全事件分析，不僅局限于漏洞的定位與修復(fù)，還要明確漏洞的影響范圍。經(jīng)過后面分析，大致明確了可能被讀取的信息都有哪些。社區(qū)的這個(gè)數(shù)據(jù)庫存放的是社區(qū)用戶互動(dòng)信息，如：昵稱、登錄名、頭像、好友/帖子關(guān)注情況等，因?yàn)踉坡┒磮?bào)告平臺(tái)的數(shù)據(jù)與社區(qū)是獨(dú)立存儲(chǔ)的，所以并沒有影響到任何烏云的漏洞細(xì)節(jié)與白帽賬號密碼。

通過對攻擊log的分析，主要集中在以下三個(gè)表的數(shù)據(jù)讀取

oc_session（社區(qū)用戶板塊閱讀權(quán)限） 

oc_user_like（用戶關(guān)注關(guān)系） 

oc_user_user（加密后的用戶社區(qū)交互信息：昵稱、頭像、加入板塊、加入時(shí)間）

剩余l(xiāng)og為測試 SQL 注入，獲取數(shù)據(jù)庫表名，字段名，部分表數(shù)據(jù)的語句。

最后從今日時(shí)間點(diǎn)推到功能上線時(shí)間，未發(fā)現(xiàn)有對對該漏洞的惡意利用，均為常規(guī)化漏洞掃描探測行為。

結(jié)束

至此，整個(gè)安全事件分析完畢，漏洞成功定位并修復(fù)，并對可能泄露的信息有了了解，均為一些公開性質(zhì)的非敏感數(shù)據(jù)。最后烏云漏洞報(bào)告平臺(tái)也歡迎互聯(lián)網(wǎng)各界伙伴幫忙發(fā)現(xiàn)種種問題，我們均會(huì)虛心學(xué)習(xí)與積極改進(jìn)：）

烏云漏洞報(bào)告平臺(tái)應(yīng)急團(tuán)隊(duì)

2016-01-19