資源描述:
《阿里云-先知計(jì)劃漏洞說(shuō)明手冊(cè)-D》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)���。
1���、先知計(jì)劃漏洞說(shuō)明先知計(jì)劃/漏洞說(shuō)明漏洞說(shuō)明獎(jiǎng)勵(lì)計(jì)劃說(shuō)明建議企業(yè)獎(jiǎng)勵(lì)系數(shù)不低于5,以吸引更多的白帽子發(fā)現(xiàn)漏洞�;建議企業(yè)設(shè)置階梯獎(jiǎng)勵(lì)系數(shù)����,以鼓勵(lì)白帽子關(guān)注重要漏洞。兩個(gè)例子:漏洞等級(jí)說(shuō)明根據(jù)漏洞的危害程度將漏洞等級(jí)分為【高】���、【中】�����、【低】三個(gè)等級(jí)���。由先知平臺(tái)結(jié)合利用場(chǎng)景中漏洞的嚴(yán)重程度、利用難度等綜合因素給予相應(yīng)分值的貢獻(xiàn)值和漏洞級(jí)別�����,每種等級(jí)包含的評(píng)分標(biāo)準(zhǔn)及漏洞類型如下:【高危】基礎(chǔ)分60-100�,本等級(jí)包括:1、直接獲取系統(tǒng)權(quán)限的漏洞(服務(wù)器權(quán)限����、PC客戶端權(quán)限)。包括但不僅限于遠(yuǎn)程命令執(zhí)行�、任意代碼執(zhí)行、上傳獲取Webshell����、SQL注入獲取系統(tǒng)權(quán)限、緩沖區(qū)溢出(包括可利用的Act
2、iveX緩沖區(qū)溢出)。2�、直接導(dǎo)致重要業(yè)務(wù)拒絕服務(wù)的漏洞。包括但不僅限于直接導(dǎo)致移動(dòng)網(wǎng)關(guān)業(yè)務(wù)API業(yè)務(wù)拒絕服務(wù)、網(wǎng)站應(yīng)用拒絕服務(wù)等造成嚴(yán)重影響的遠(yuǎn)程拒絕服務(wù)漏洞。3、重要的敏感信息泄漏����。包括但不僅限于重要業(yè)務(wù)DB的SQL注入�����、可獲取大量企業(yè)核心業(yè)務(wù)數(shù)據(jù)等接口問(wèn)題引起的敏感信息泄露�。4����、嚴(yán)重的邏輯設(shè)計(jì)缺陷和流程缺陷�。包括但不僅限于批量修改任意賬號(hào)密碼漏洞、涉及企業(yè)核心業(yè)務(wù)的邏輯漏洞等���。5����、敏感信息越權(quán)訪問(wèn)���。包括但不僅限于繞過(guò)認(rèn)證直接訪問(wèn)管理后臺(tái)、重要后臺(tái)弱密碼����、獲取大量?jī)?nèi)網(wǎng)敏感信息的SSRF等。6����、企業(yè)重要業(yè)務(wù)越權(quán)敏感操作。包括但不僅限于賬號(hào)越權(quán)修改重要信息���、重要業(yè)務(wù)配置修改等較為重要的越
3����、權(quán)行為。7阿里云物聯(lián)網(wǎng)套件/OPENAPI7���、大范圍影響用戶的其他漏洞�。包括但不僅限于可造成自動(dòng)傳播的重要頁(yè)面的存儲(chǔ)型XSS(包括存儲(chǔ)型DOM-XSS)�����?��!局形���!炕A(chǔ)分30-50,本等級(jí)包括:1�、需交互方可影響用戶的漏洞。包括但不僅限于一般頁(yè)面的存儲(chǔ)型XSS�,涉及核心業(yè)務(wù)的CSRF等。2�、普通越權(quán)操作。包括但不僅限于包括但不限于繞過(guò)限制修改用戶資料��、執(zhí)行用戶操作等���。3����、普通的邏輯設(shè)計(jì)缺陷和流程缺陷。包括但不僅限于不限次數(shù)短信發(fā)送�����、任意手機(jī)郵箱信息注冊(cè)用戶等�。【低?����!炕A(chǔ)分10-20�����,獎(jiǎng)勵(lì)系數(shù)可為0��,本等級(jí)包括:1�����、本地拒絕服務(wù)漏洞��。包括但不僅限于客戶端本地拒絕服務(wù)(解析文件格式�、網(wǎng)絡(luò)協(xié)議
4、產(chǎn)生的崩潰)��,由Android組件權(quán)限暴露����、普通應(yīng)用權(quán)限引起的問(wèn)題等。2����、普通信息泄漏。包括但不僅限于客戶端明文存儲(chǔ)密碼����、以及web路徑遍歷、系統(tǒng)路徑遍歷等��。3�、其他危害較低的漏洞。包括但不僅限于反射型XSS(包括反射型DOM-XSS)���、普通CSRF�����、URL跳轉(zhuǎn)漏洞等��。Web服務(wù)端安全1.SQL注入攻擊名詞解釋:SQL注入攻擊(SQLInjection)����,簡(jiǎn)稱注入攻擊、SQL注入��,被廣泛用于非法獲取網(wǎng)站控制權(quán)����,是發(fā)生在應(yīng)用程序的數(shù)據(jù)庫(kù)層上的安全漏洞。由于在設(shè)計(jì)程序時(shí)��,忽略了對(duì)輸入字符串中夾帶的SQL指令的檢查�,被數(shù)據(jù)庫(kù)誤認(rèn)為是正常的SQL指令而運(yùn)行,從而使數(shù)據(jù)庫(kù)受到攻擊�����,可能導(dǎo)致數(shù)據(jù)被竊
5�、取�、更改、刪除���,甚至執(zhí)行系統(tǒng)命令等�,以及進(jìn)一步導(dǎo)致網(wǎng)站被嵌入惡意代碼、被植入后門程序等危害��。常見(jiàn)發(fā)生位置:1)URL參數(shù)提交����,主要為GET請(qǐng)求參數(shù);2)表單提交���,主要是POST請(qǐng)求����,也包括GET請(qǐng)求�����;3)Cookie參數(shù)提交���;4)HTTP請(qǐng)求頭部的一些可修改的值��,比如Referer����、User_Agent等;5)一些邊緣的輸入點(diǎn)���,比如.mp3��、圖片文件的一些文件信息等��。防御措施:7阿里云物聯(lián)網(wǎng)套件/OPENAPI1)使用預(yù)編譯語(yǔ)句��。一般來(lái)說(shuō)�����,防御SQL注入的最佳方式�,就是使用預(yù)編譯語(yǔ)句�,綁定變量,但對(duì)現(xiàn)有代碼的改動(dòng)量較大��;2)使用存儲(chǔ)過(guò)程����。使用安全的存儲(chǔ)過(guò)程可在一定程度上對(duì)抗SQL注入,但
6�、要注意此種方法并不是100%安全;3)嚴(yán)格檢查用戶數(shù)據(jù)���。對(duì)用戶傳入的數(shù)據(jù)類型及內(nèi)容進(jìn)行嚴(yán)格的檢查���。對(duì)數(shù)據(jù)類型檢查,如利用ID查詢時(shí)判斷是否為整型����,輸入郵箱時(shí)判斷郵箱格式,輸入時(shí)間��、日期等必須嚴(yán)格按照時(shí)間��、時(shí)期格式等����;對(duì)數(shù)據(jù)內(nèi)容進(jìn)行檢查,如嚴(yán)格檢測(cè)用戶提交數(shù)據(jù)中是否包含敏感字符或字符串����,是否匹配某種注入規(guī)則,嚴(yán)格轉(zhuǎn)義特殊字符等��。注意此種方法雖然便于實(shí)施�����,但容易產(chǎn)生誤報(bào)和漏報(bào),且容易被繞過(guò)��;4)其他���。使用安全的編碼函數(shù)���、統(tǒng)一各數(shù)據(jù)層編碼格式(如統(tǒng)一使用UTF-8等)、嚴(yán)格限制數(shù)據(jù)庫(kù)用戶權(quán)限�、定期進(jìn)行代碼黑盒白盒掃描、避免將錯(cuò)誤信息顯示到頁(yè)面等�。2.文件上傳名詞解釋:文件上傳漏洞是指由于程序代
7、碼未對(duì)用戶提交的文件進(jìn)行嚴(yán)格的分析和檢查���,導(dǎo)致攻擊者可以上傳可執(zhí)行的代碼文件��,從而獲取Web應(yīng)用的控制權(quán)限(Getshell)�。常見(jiàn)發(fā)生位置:1)所有使用到上傳功能的位置�;2)用戶可自定義的頭像、背景圖片等����;3)富文本編輯器中的文件上傳功能�。防御措施:1)上傳目錄設(shè)置為不可執(zhí)行�;2)嚴(yán)格判斷文件類型,使用白名單而不是黑名單(注意大小寫問(wèn)題)��。需要注意的是一些與WebServer相關(guān)的漏洞所造成的問(wèn)題�,如Apache����、IIS、Ngin
