2021年 第13周 微信公众号精选安全技术文章总览
洞见网安 2021-3-29
0x1 漏洞复现-F5 BIG-IP远程代码执行漏洞(CVE-2021-22986)
谁不想当剑仙 2021-04-04T15:01:09 © yhy
本文详细描述了F5 BIG-IP应用交付平台的一个严重漏洞CVE-2021-22986。该漏洞允许未经身份验证的攻击者通过BIG-IP管理界面和自身IP地址访问iControl REST接口,进而执行任意系统命令、创建或删除文件以及禁用服务。文章中列出了受影响的F5 BIG-IP版本和BIG-IQ版本。同时,提供了漏洞的复现步骤,包括注册F5账户、下载和安装虚拟机镜像、登录系统以及使用POC攻击的示例。此外,文章还提到了一个图形化漏洞利用工具的更新,该工具基于JavaFX开发,并参考了冰蝎的代理设置,优化了批量检查逻辑,并提供了具体的实现步骤。
漏洞分析 应用安全 网络流量管理 负载均衡 漏洞复现 漏洞利用工具
0x2 悟空云课堂|第四十一期:CSRF(跨站伪造攻击)
中科天齐软件安全中心 2021-04-02T18:00:00 ©
本文详细介绍了CSRF(跨站伪造攻击)的相关知识。首先解释了CSRF漏洞的定义和攻击方式,包括攻击者如何利用受害者的身份发送恶意请求,以及攻击的步骤和常见类型。文章还讨论了CSRF的现状,指出尽管这种攻击方式在2000年就被提出,但在国内直到2006年才开始受到关注。接着,文章列举了几种常见的CSRF攻击方式,如GET类型的CSRF、POST类型的CSRF和链接类型的CSRF。最后,文章提供了防御CSRF的建议,包括验证HTTP Referer字段和添加token进行验证,并介绍了如何使用Wukong软件代码安全漏洞检测修复工具来检测CSRF漏洞。此外,文章还提到了如何检测出CSRF漏洞以及相关的安全防护措施。
CSRF Web安全 攻击向量 防御措施 安全意识教育 漏洞检测
0x3 记一次挖矿木马清理
安帝Andisec 2021-04-02T17:30:34 © 安帝实验室
本文记录了一起大数据平台因挖矿木马攻击而无法访问的事件。起初,客户发现平台无法访问,经检查发现环境变量被破坏,初步判断为病毒所致。在排查过程中,发现名为“-bash”的进程CPU占用异常高,且文件名以“-”开头,文件已被删除,这些异常情况指向了恶意软件。进一步调查发现,服务器的57076端口连接到了一个可疑的IP地址,访问该IP显示挖矿木马的存在。在清理病毒的过程中,发现病毒通过多个启动项和计划任务驻留,包括chkconfig中的“pwnrig”程序,以及.bash_profile中的相关命令。通过全局搜索和时间搜索,清理了大量病毒文件,包括删除了多个关联的文件和服务。文章最后提到,尽管病毒的驻留看似徒劳,但实际清理过程中发现病毒文件众多且名称各异,给彻底清理带来了挑战。
病毒查杀 挖矿木马 进程管理 环境变量破坏 启动项分析 计划任务 文件属性修改 系统清理
0x4 铭说 | 一句话木马的多种变形方式
聚铭网络 2021-04-02T17:00:00 © J博士
今天来和大家聊一聊,一句话木马的多种变形方式。经常有客户的网站碰到被上传小马和大马,这里的“马”是木马的意思
0x5 Redis未授权访问-流量加密
我真不会渗透 2021-04-01T10:35:43
本文主要讨论了Redis未授权访问的问题,并通过实际操作展示了如何检测、利用以及加固这一安全漏洞。作者首先使用nmap脚本文件检测目标是否存在Redis未授权访问,随后通过nc工具在本地4444端口进行监听,并使用redis-cli连接到目标Redis服务器。在成功利用Redis未授权访问获取反弹shell后,作者通过Wireshark抓包发现通信数据以明文传输,存在安全隐患。为了解决这个问题,作者使用openssl生成证书,并通过之前获取的shell实现了加密的反弹shell,从而确保了反弹shell流量的加密,提升了通信的安全性。
0x6 SQL注入漏洞详解(一)
安全攻防渗透 2021-04-01T08:30:58 Co01Fire
本文详细介绍了SQL注入的概念、类型、分类以及检测方法。文章首先解释了SQL注入的原理,即攻击者通过构造恶意SQL语句,利用Web应用程序对用户输入数据的不当处理,实现对数据库的非法操作。文章区分了SQL注入的两种类型:平台层注入和代码层注入,并说明了它们的原因。接着,文章介绍了MySQL数据库的一些基础知识,包括版本差异、系统表和常用函数。然后,文章按照注入点类型、提交方式和获取信息方式对SQL注入进行了分类,并列举了常见的SQL注入类型。此外,文章还介绍了如何使用网站漏洞扫描工具和手动方法检测SQL注入漏洞。最后,文章详细描述了如何通过盲注、union注入等方法获取数据库信息,包括数据库类型、数据库名、表名、列名以及字段数据等。
SQL注入 网络安全 数据库安全 MySQL 漏洞扫描 编码实践 攻击技巧 防御措施 盲注攻击 时间盲注
0x7 VMware vRealize Operations Manager高危漏洞风险提示
安恒信息CERT 2021-03-31T17:20:44
本文报道了VMware vRealize Operations Manager API的两个高危漏洞,CVE-2021-21975和CVE-2021-21983。这些漏洞允许攻击者通过构造恶意请求在受影响的vRealize Operations Manager版本上执行任意代码,从而可能入侵服务器。影响范围包括多个版本,如vRealize Operations Manager 8.0.0至8.3.0,以及VMware Cloud Foundation和vRealize Suite Lifecycle Manager等。VMware已发布安全补丁,建议用户尽快安装。此外,还建议用户限制对vRealize Operations Manager的互联网访问,以缓解风险。文章还提供了漏洞的详细描述、影响范围、缓解措施和补丁下载链接。
VMware vRealize Operations Manager 安全漏洞 请求伪造 任意文件写入 安全补丁 网络安全
0x8 基于PUF的水下海洋观测仪器身份认证研究
信息安全与通信保密杂志社 2021-03-31T11:26:22 © Cismag
本文针对水下海洋观测仪器在海底深处开放海域中易受假冒、侧信道分析攻击的问题,提出了一种基于物理不可克隆函数(PUF)和伪随机序列的双向身份认证方案。该方案考虑了休眠/激活模式下的不同唤醒方式,包括外部唤醒和自主苏醒。在外部唤醒时,认证服务器主动唤醒仪器进行认证;在自主苏醒时,仪器主动通知服务器进行认证。方案基于终端PUF,使用序列号和轻量级哈希函数加密,实现双向身份认证。同时,通信过程中使用伪随机序列加密链路层数据,改变信息中0和1的分布规律,提高安全性。方案无需仪器预先存储私密密钥,且只在特定时间窗口发送数据。安全性分析表明,该方案能够抵抗多种常见攻击,适用于水下海洋观测仪器的双向身份认证,为海洋观测网的安全运行提供了保障。
水下网络安全 身份认证 物理不可克隆函数 侧信道攻击 假冒攻击 重放攻击 信息篡改攻击 哈希函数 伪随机序列 物联网安全
0x9 快速漫游与无缝漫游的区别
网络技术联盟站 2021-03-31T08:00:00 点击关注 👉
0xa PHP zlib源码被植入后门代码风险提示
安恒信息CERT 2021-03-30T18:00:00 ©
2021年3月28日,PHP官方发布安全公告,指出PHP源码在当天遭受了恶意提交,导致zlib库源码被植入后门代码。此次攻击通过合法用户提交代码的方式实施,后门代码在首次植入后5小时19分被删除,但随后再次被植入,最终被清除。受影响的源码更新时间主要集中在3月28日和29日凌晨。PHP官方已将源码服务器从git.php.net转移到GitHub仓库。受影响的用户被建议检查zlib库是否存在后门代码,并提供了具体的提交日志记录链接。此次供应链攻击对全球使用PHP的用户构成潜在风险,PHP官方和安恒应急响应中心正在调查事件进展,并建议用户采取缓解措施,如排查后门代码。
PHP安全漏洞 供应链攻击 后门代码 源码审计 安全应急响应 编程语言安全 开源软件安全
0xb Apache Druid高危漏洞风险提示
安恒信息CERT 2021-03-30T18:00:00 ©
2021年3月30日,Apache Druid官方发布安全更新,修复了CVE-2021-26919远程代码执行漏洞。该漏洞允许攻击者通过搭建恶意MySQL服务器,利用Apache Druid JDBC客户端连接读取数据并触发漏洞,从而在Apache Druid服务器上执行任意代码。漏洞影响Apache Druid版本小于0.20.2的用户。为缓解风险,建议用户升级至安全版本0.20.2,并配置身份认证。此外,若无互联网访问需求,应通过网络策略限制Apache Druid的暴露。安恒应急响应中心提醒用户尽快排查受影响系统。
漏洞披露 远程代码执行 数据库安全 安全更新 身份认证 安全最佳实践 Apache Druid
0xc 常见网站劫持案例及解析
猎安云原生安全 2021-03-30T15:40:50
本文详细分析了常见的网站劫持案例及其排查思路。文章将劫持手法分为五种:搜索引擎快照劫持、移动端流量劫持、特定来源网站劫持、特定区域流量劫持以及特定路径/关键词/时间段的流量劫持。实现方式包括客户端js劫持、服务端代码劫持、301重定向、恶意反向代理和IIS模块劫持等。文章逐一介绍了这些劫持手法的工作原理和相应的排查方法,如通过检查网页源代码、分析HTTP流量、验证文件完整性等方式来发现并移除恶意代码。最后,强调了备份网站源码和定期检查中间件配置文件的重要性。
0xd 【技术向】基于工控场景的DNS隧道攻击方案
星河安全 2021-03-30T11:44:00 © 星河安全学院
文章探讨了基于工控场景的DNS隧道攻击方案,介绍了隐蔽通道的概念、类型及构建方法。网络隐蔽通道利用协议漏洞或报文时间特性建立,如通过未用字段、扩展填充字段、调制相关字段或负载大小、调整数据包发送接收时间等方式实现信息隐蔽传输。DNS解析服务将主机名转换为IP地址,而DNS隧道攻击则分为直连和中继两类,前者速度快但易被检测,后者更隐秘适于广泛部署。文中详细描述了iodine、dns2tcp、dnscat2三种工具在局域网环境下的应用实例,包括安装配置、命令行参数设置、通信测试等过程。iodine支持多种查询请求类型与编码规范,并能创建虚拟网卡进行通信;dns2tcp可转发指定端口流量,适用于SSH、SMTP等服务;dnscat2则提供了Ruby服务器端和客户端程序,支持简单命令行操作实现隧道功能。这些工具展示了如何利用DNS协议建立隐蔽通道,以绕过常规网络安全措施,对工业互联网安全提出了挑战。
网络安全研究 隐蔽通道技术 工业互联网安全 物联网安全 DNS解析攻击 DNS隧道攻击 攻击工具 网络安全防御 网络安全人才培养
0xe 基于Wireshark与Nmap的工业协议分析与工业漏洞挖掘的实现
信息安全与通信保密杂志社 2021-03-29T12:24:17 © Cismag
本文针对工业控制系统信息安全问题,分析了当前工控信息安全的现状,并提出了基于Wireshark与Nmap的工业控制系统安全分析与漏洞挖掘的解决方案。通过整合Wireshark与Nmap源码,开发了资产管理模块,实现了对工业控制系统所有资产的针对性分析,查找问题设备和攻击源。同时,扩展了Wireshark报文分析插件与Nmap漏洞扫描插件,集成了自主研发的插件和扫描探测脚本,增强了工业控制系统安全与漏洞分析的能力。文章详细介绍了WireNmap软件的开发与实现过程,包括Wireshark和Nmap源码结构分析,以及S7和OPC协议的解析插件开发。此外,还介绍了基于WireNmap的工业漏洞扫描技术和资产管理与联合分析技术,为工业控制系统安全提供了更深层次的分析和漏洞挖掘能力。
工业控制系统安全 网络安全工具 漏洞挖掘 网络协议分析 入侵检测 资产管理 安全分析 网络安全事件
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
