資源描述:
《阿里云-先知計(jì)劃漏洞說明手冊-D》由會(huì)員上傳分享���,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫����。
1����、先知計(jì)劃漏洞說明先知計(jì)劃/漏洞說明漏洞說明獎(jiǎng)勵(lì)計(jì)劃說明建議企業(yè)獎(jiǎng)勵(lì)系數(shù)不低于5�,以吸引更多的白帽子發(fā)現(xiàn)漏洞��;建議企業(yè)設(shè)置階梯獎(jiǎng)勵(lì)系數(shù)����,以鼓勵(lì)白帽子關(guān)注重要漏洞��。兩個(gè)例子:漏洞等級說明根據(jù)漏洞的危害程度將漏洞等級分為【高】�����、【中】��、【低】三個(gè)等級�。由先知平臺結(jié)合利用場景中漏洞的嚴(yán)重程度、利用難度等綜合因素給予相應(yīng)分值的貢獻(xiàn)值和漏洞級別����,每種等級包含的評分標(biāo)準(zhǔn)及漏洞類型如下:【高危】基礎(chǔ)分60-100����,本等級包括:1、直接獲取系統(tǒng)權(quán)限的漏洞(服務(wù)器權(quán)限�、PC客戶端權(quán)限)�����。包括但不僅限于遠(yuǎn)程命令執(zhí)行����、任意代碼執(zhí)行��、上傳獲取Webshell�、SQL注入獲取系統(tǒng)權(quán)限、緩沖區(qū)溢出(包括可利用的Act
2���、iveX緩沖區(qū)溢出)����。2��、直接導(dǎo)致重要業(yè)務(wù)拒絕服務(wù)的漏洞�。包括但不僅限于直接導(dǎo)致移動(dòng)網(wǎng)關(guān)業(yè)務(wù)API業(yè)務(wù)拒絕服務(wù)、網(wǎng)站應(yīng)用拒絕服務(wù)等造成嚴(yán)重影響的遠(yuǎn)程拒絕服務(wù)漏洞�����。3、重要的敏感信息泄漏�。包括但不僅限于重要業(yè)務(wù)DB的SQL注入、可獲取大量企業(yè)核心業(yè)務(wù)數(shù)據(jù)等接口問題引起的敏感信息泄露����。4、嚴(yán)重的邏輯設(shè)計(jì)缺陷和流程缺陷�。包括但不僅限于批量修改任意賬號密碼漏洞、涉及企業(yè)核心業(yè)務(wù)的邏輯漏洞等��。5�、敏感信息越權(quán)訪問�����。包括但不僅限于繞過認(rèn)證直接訪問管理后臺����、重要后臺弱密碼、獲取大量內(nèi)網(wǎng)敏感信息的SSRF等��。6�、企業(yè)重要業(yè)務(wù)越權(quán)敏感操作。包括但不僅限于賬號越權(quán)修改重要信息��、重要業(yè)務(wù)配置修改等較為重要的越
3���、權(quán)行為�。7阿里云物聯(lián)網(wǎng)套件/OPENAPI7、大范圍影響用戶的其他漏洞���。包括但不僅限于可造成自動(dòng)傳播的重要頁面的存儲(chǔ)型XSS(包括存儲(chǔ)型DOM-XSS)�?����!局形��!炕A(chǔ)分30-50�,本等級包括:1、需交互方可影響用戶的漏洞�。包括但不僅限于一般頁面的存儲(chǔ)型XSS,涉及核心業(yè)務(wù)的CSRF等�����。2��、普通越權(quán)操作�。包括但不僅限于包括但不限于繞過限制修改用戶資料、執(zhí)行用戶操作等。3�����、普通的邏輯設(shè)計(jì)缺陷和流程缺陷���。包括但不僅限于不限次數(shù)短信發(fā)送���、任意手機(jī)郵箱信息注冊用戶等?��!镜臀���!炕A(chǔ)分10-20�,獎(jiǎng)勵(lì)系數(shù)可為0,本等級包括:1����、本地拒絕服務(wù)漏洞。包括但不僅限于客戶端本地拒絕服務(wù)(解析文件格式���、網(wǎng)絡(luò)協(xié)議
4�、產(chǎn)生的崩潰),由Android組件權(quán)限暴露�����、普通應(yīng)用權(quán)限引起的問題等�����。2�、普通信息泄漏。包括但不僅限于客戶端明文存儲(chǔ)密碼�、以及web路徑遍歷、系統(tǒng)路徑遍歷等���。3����、其他危害較低的漏洞�����。包括但不僅限于反射型XSS(包括反射型DOM-XSS)�、普通CSRF、URL跳轉(zhuǎn)漏洞等�。Web服務(wù)端安全1.SQL注入攻擊名詞解釋:SQL注入攻擊(SQLInjection)�����,簡稱注入攻擊�、SQL注入��,被廣泛用于非法獲取網(wǎng)站控制權(quán)����,是發(fā)生在應(yīng)用程序的數(shù)據(jù)庫層上的安全漏洞。由于在設(shè)計(jì)程序時(shí)�����,忽略了對輸入字符串中夾帶的SQL指令的檢查�,被數(shù)據(jù)庫誤認(rèn)為是正常的SQL指令而運(yùn)行,從而使數(shù)據(jù)庫受到攻擊���,可能導(dǎo)致數(shù)據(jù)被竊
5、取��、更改�����、刪除,甚至執(zhí)行系統(tǒng)命令等��,以及進(jìn)一步導(dǎo)致網(wǎng)站被嵌入惡意代碼�����、被植入后門程序等危害�。常見發(fā)生位置:1)URL參數(shù)提交,主要為GET請求參數(shù)�;2)表單提交,主要是POST請求��,也包括GET請求��;3)Cookie參數(shù)提交�����;4)HTTP請求頭部的一些可修改的值����,比如Referer、User_Agent等���;5)一些邊緣的輸入點(diǎn)�,比如.mp3、圖片文件的一些文件信息等��。防御措施:7阿里云物聯(lián)網(wǎng)套件/OPENAPI1)使用預(yù)編譯語句�����。一般來說�����,防御SQL注入的最佳方式����,就是使用預(yù)編譯語句,綁定變量����,但對現(xiàn)有代碼的改動(dòng)量較大;2)使用存儲(chǔ)過程�。使用安全的存儲(chǔ)過程可在一定程度上對抗SQL注入,但
6����、要注意此種方法并不是100%安全�����;3)嚴(yán)格檢查用戶數(shù)據(jù)。對用戶傳入的數(shù)據(jù)類型及內(nèi)容進(jìn)行嚴(yán)格的檢查��。對數(shù)據(jù)類型檢查����,如利用ID查詢時(shí)判斷是否為整型,輸入郵箱時(shí)判斷郵箱格式����,輸入時(shí)間、日期等必須嚴(yán)格按照時(shí)間����、時(shí)期格式等;對數(shù)據(jù)內(nèi)容進(jìn)行檢查����,如嚴(yán)格檢測用戶提交數(shù)據(jù)中是否包含敏感字符或字符串,是否匹配某種注入規(guī)則�����,嚴(yán)格轉(zhuǎn)義特殊字符等�����。注意此種方法雖然便于實(shí)施,但容易產(chǎn)生誤報(bào)和漏報(bào)����,且容易被繞過;4)其他�。使用安全的編碼函數(shù)、統(tǒng)一各數(shù)據(jù)層編碼格式(如統(tǒng)一使用UTF-8等)�����、嚴(yán)格限制數(shù)據(jù)庫用戶權(quán)限��、定期進(jìn)行代碼黑盒白盒掃描��、避免將錯(cuò)誤信息顯示到頁面等��。2.文件上傳名詞解釋:文件上傳漏洞是指由于程序代
7�、碼未對用戶提交的文件進(jìn)行嚴(yán)格的分析和檢查,導(dǎo)致攻擊者可以上傳可執(zhí)行的代碼文件��,從而獲取Web應(yīng)用的控制權(quán)限(Getshell)����。常見發(fā)生位置:1)所有使用到上傳功能的位置�����;2)用戶可自定義的頭像、背景圖片等�;3)富文本編輯器中的文件上傳功能。防御措施:1)上傳目錄設(shè)置為不可執(zhí)行�;2)嚴(yán)格判斷文件類型,使用白名單而不是黑名單(注意大小寫問題)�����。需要注意的是一些與WebServer相關(guān)的漏洞所造成的問題��,如Apache�����、IIS���、Ngin
