摘要:本文從一起漏洞應(yīng)急響應(yīng)案例介紹了:如何在極短的時(shí)間內(nèi)通過(guò)阿里云云盾產(chǎn)品Web應(yīng)用防火墻WAF制作虛擬補(bǔ)丁秘蛇,臨時(shí)緩解Web漏洞的影響状答。
不支持[TOC]目錄!
來(lái)自真實(shí)案例的虛擬總結(jié)。見(jiàn)招拆招按价,而且還得以最快的速度完成,云盾WAF扛得起笙瑟!
憂傷的周六早晨
“云盾.先知”的滲透測(cè)試服務(wù)到底靠不靠譜楼镐?今年8月,在公司領(lǐng)導(dǎo)的授權(quán)下往枷,我們充值體驗(yàn)了一把框产。答案是:先知白帽子的滲透測(cè)試水平杠杠的。周六大清早的错洁,就給我們送來(lái)一份大禮:“遠(yuǎn)程代碼執(zhí)行漏洞”秉宿!
先知平臺(tái)白帽子黑客通過(guò)平臺(tái)向我們提交了一個(gè)非常嚴(yán)重的漏洞:公司某外部合作平臺(tái)在用的低版本PHPWind BBS存在嚴(yán)重安全漏洞,導(dǎo)致外部攻擊者可直接利用漏洞執(zhí)行系統(tǒng)命令屯碴。
漏洞信息請(qǐng)參考:https://www.secpulse.com/archives/44006.html描睦。
冷靜,冷靜再冷靜
當(dāng)時(shí)导而,團(tuán)隊(duì)成員的心情可謂一波三折忱叭。首先是心已冷:“完了,被拿了shell今艺,安全沒(méi)做好韵丑,怎么跟老板交差……”;緊接著就是自我安慰:“畢竟是通過(guò)先知平臺(tái)發(fā)現(xiàn)的漏洞虚缎,慶幸沒(méi)有栽在真正的黑客手里澳斐埂!”;再后來(lái)就是:“這么嚴(yán)重的漏洞千康,我們得盡快啟動(dòng)漏洞響應(yīng)流程進(jìn)行修復(fù)處置享幽。問(wèn)題是,這大周六的拾弃,咱能叫得起開(kāi)發(fā)嗎值桩?就算修復(fù)升級(jí)也沒(méi)這么快啊,公司發(fā)布流程走一遍也不知道是猴年馬月……”
理論上說(shuō)豪椿,從漏洞被發(fā)現(xiàn)到實(shí)際修復(fù)為止奔坟,暴露的時(shí)間越長(zhǎng)對(duì)公司安全越不利。萬(wàn)一有攻擊者在這個(gè)時(shí)間窗口成功利用了該漏洞搭盾,后果不堪設(shè)想咳秉。
在聯(lián)系完開(kāi)發(fā)人員并冷靜思考之后,我們意識(shí)到要完成這個(gè)漏洞的修復(fù)鸯隅,遠(yuǎn)沒(méi)有我們想象的那么簡(jiǎn)單澜建,原因是:
首先這是一個(gè)PHPWind BBS的PHP漏洞(廢話)
公司最后一名PHP工程師已經(jīng)離職,目前都是Java棧技術(shù)團(tuán)隊(duì)(那上面就不是廢話了)
公司論壇已經(jīng)很久沒(méi)有升級(jí)蝌以,標(biāo)準(zhǔn)修復(fù)措施是升級(jí)版本
公司的論壇是在開(kāi)源代碼基礎(chǔ)上進(jìn)行二次開(kāi)發(fā)的炕舵,無(wú)法直接使用官方升級(jí)包
就算系統(tǒng)能夠升級(jí),標(biāo)準(zhǔn)的修復(fù)跟畅、測(cè)試咽筋、備份、發(fā)布和驗(yàn)證流程根本無(wú)法實(shí)現(xiàn)滿足該漏洞對(duì)應(yīng)的時(shí)效性要求
后背一陣?yán)浜够布F(xiàn)在該怎么辦奸攻?
借助云盾WAF實(shí)現(xiàn)虛擬補(bǔ)丁臨時(shí)緩解漏洞
慶幸的是,該BBS早先已經(jīng)接入了阿里云WAF保護(hù)虱痕。因此睹耐,安全團(tuán)隊(duì)可以通過(guò)WAF配置相應(yīng)的規(guī)則,制作虛擬補(bǔ)丁部翘,臨時(shí)緩解該漏洞的影響疏橄。
我們認(rèn)真地分析了該漏洞的原理和利用過(guò)程,發(fā)現(xiàn):漏洞利用過(guò)程中必須請(qǐng)求一次特定URL才能實(shí)現(xiàn)略就,即:http://bbs.example.com/plugin.php?H_gate=vendor捎迫。該URL是一個(gè)供應(yīng)商信息列舉的插件,即使無(wú)法使用表牢,也不影響正常的業(yè)務(wù)窄绒。基于該URL的規(guī)則崔兴,安全團(tuán)隊(duì)判定:可以通過(guò)WAF實(shí)現(xiàn)虛擬補(bǔ)丁攔截彰导。
進(jìn)入云盾WAF配置界面
登錄阿里云控制臺(tái)蛔翅,通過(guò)導(dǎo)航菜單【安全(云盾)】|【W(wǎng)eb應(yīng)用防火墻(網(wǎng)絡(luò)安全)】|【域名配置】找到當(dāng)前服務(wù)器的域名bbs.example.com。
配置WAF防護(hù)策略
通過(guò)點(diǎn)擊域名bbs.example.com作用域內(nèi)的【安全開(kāi)關(guān)】|【防護(hù)配置】的超鏈接位谋,進(jìn)入WAF配置界面山析。
WAF產(chǎn)品支持多個(gè)維度的安全防護(hù),包括:
Web應(yīng)用攻擊防護(hù)
惡意IP懲罰
CC安全防護(hù)
大數(shù)據(jù)深度學(xué)習(xí)引擎
精準(zhǔn)訪問(wèn)控制
封禁地區(qū)
新智能防護(hù)引擎
網(wǎng)站防篡改
數(shù)據(jù)風(fēng)控
防敏感信息泄漏
ps:流量經(jīng)過(guò)Web應(yīng)用防火墻時(shí)掏父,首先依次匹配精準(zhǔn)訪問(wèn)控制中的規(guī)則笋轨、再進(jìn)行CC攻擊的檢測(cè)、最后進(jìn)行Web應(yīng)用攻擊防護(hù)赊淑,配置各類規(guī)則時(shí)請(qǐng)注意內(nèi)在順序爵政。
本次虛擬補(bǔ)丁配置需要用到【精準(zhǔn)訪問(wèn)控制】,所以該功能務(wù)必處于開(kāi)啟狀態(tài)陶缺。在該功能已經(jīng)開(kāi)啟的前提下钾挟,點(diǎn)擊超鏈接【前去配置】。
進(jìn)入配置界面饱岸,直接點(diǎn)擊【新增規(guī)則】掺出,在彈出的對(duì)話框中進(jìn)行URL匹配及攔截配置。針對(duì)本次漏洞利用的關(guān)鍵URL:http://bbs.example.com/plugin.php?H_gate=vendor苫费,為降低攔截的誤判率汤锨,設(shè)置規(guī)則如下:
規(guī)則名稱:Web漏洞虛擬補(bǔ)丁
匹配條件:字段URL包含plugin.php
匹配條件:Params包含H_gate=vendor
匹配動(dòng)作:阻斷
填寫(xiě)完規(guī)則后,點(diǎn)擊【確定】黍衙,完成規(guī)則配置,規(guī)則即時(shí)生效荠诬。
關(guān)鍵匹配字段說(shuō)明
在配置界面【匹配字段】后的信息圖表上懸停鼠標(biāo)琅翻,系統(tǒng)會(huì)提示可用的匹配字段,包括:
IP
URL
Referer
User-Agent
Params
Cookie
Content-Type
X-Forwarded-For
Content-Length
Post-Body
各字段形象化的映射關(guān)系如下:
ps:匹配中規(guī)則后的動(dòng)作有三種:阻斷柑贞、放行(可選擇后續(xù)是否繼續(xù)進(jìn)行Web攻擊攔截或CC攻擊)方椎、告警(只記錄不阻斷)。規(guī)則之間是有先后匹配順序的钧嘶,可點(diǎn)擊規(guī)則排序達(dá)到最優(yōu)的防護(hù)效果棠众。
驗(yàn)證攔截效果
完成WAF配置后,訪問(wèn)觸發(fā)漏洞的URL:http://bbs.example.com/plugin.php?H_gate=vendor有决,瀏覽器直接提示訪問(wèn)請(qǐng)求已經(jīng)被阿里云WAF攔截闸拿,bingo!
后續(xù)
安全團(tuán)隊(duì)除了通過(guò)WAF制作虛擬補(bǔ)丁书幕,臨時(shí)緩解漏洞影響新荤,實(shí)際在漏洞響應(yīng)過(guò)程中之執(zhí)行了如下動(dòng)作:
對(duì)網(wǎng)站代碼和Web服務(wù)器進(jìn)行深入安全調(diào)查
確保本次白帽子發(fā)現(xiàn)漏洞之前,該漏洞不曾被黑客利用
找到開(kāi)發(fā)大牛台汇,對(duì)PHP代碼漏洞進(jìn)行修復(fù)并發(fā)布上線
增強(qiáng)服務(wù)器安全監(jiān)控苛骨,部署阿里云安騎士客戶端
徹查公司內(nèi)部同類開(kāi)源項(xiàng)目的版本及漏洞情況
制定Web安全漏洞測(cè)試規(guī)范
重新評(píng)估網(wǎng)站的綜合安全性
將先知安全眾測(cè)列入下一階段工作計(jì)劃
安全從來(lái)就不是單一環(huán)節(jié)的問(wèn)題篱瞎,從業(yè)人員必須能夠從一個(gè)點(diǎn)看到多個(gè)層面的問(wèn)題,從而有效提升企業(yè)信息系統(tǒng)的整體安全行痒芝,并將安全運(yùn)營(yíng)帶入正軌俐筋!
總結(jié)
云盾WAF產(chǎn)品總體功能強(qiáng)大,能夠滿足絕大多數(shù)中小企業(yè)的Web應(yīng)用安全防護(hù)严衬。本文只是從一起漏洞應(yīng)急案例介紹了:如何在極短的時(shí)間內(nèi)通過(guò)阿里云云盾產(chǎn)品Web應(yīng)用防火墻WAF制作虛擬補(bǔ)丁澄者,臨時(shí)緩解Web漏洞的影響。
本期分享到此為止瞳步。拋磚引玉闷哆,期待與業(yè)界同仁碰撞思想,一起成長(zhǎng)单起。
