存档

文章标签 ‘web应用防火墙’

关于近期发布的apache+php cgi mod 攻击代码

2013年10月30日 2 条评论

caoz群里有大佬们问到这个事,作为一个炒粉,我简单的解释一下来龙去脉。

一、缘起:

1、攻击代码

国际知名的漏洞攻击代码发布机构 exploit-db发布了一个针对apache+php的攻击代码,作者为著名国际黑客Kingcope。详见 http://www.exploit-db.com/exploits/29290/

攻击效果图源于网络

QQ20131030-1

2、时间

实际上这个漏洞在2012年5月份就被发现了,php官方也修复了这个漏洞。

详见 http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/

3、成因

php作为cgi模式运行的时候,接受-s  -d -c 这样的参数,我们看看这些参数的功能

然后再看看攻击代码片段

解码出来是

这样Kingcope的攻击代码思路就出来了。

关闭各种防护的参数,打开各种危险的参数,最后利用auto_prepend_file(或auto_append_file)这个参数把黑客需要执行的系统命令传递过去了。

二、利用条件

不少同学关注利用条件,针对上述公开的exp,总结一下,要利用这个漏洞,必须同时满足如下条件:

1、apache+php是用cgi模式跑的,例如apache的mod_cgid

2、php解释器需要可以从下面的url访问到,当然或许可能是其他的url,这个具体要看你的配置

3、php版本
PHP版本小于5.3.12
PHP版本小于5.4.2

三、防护

0、升级到php的最新稳定版

1、如果你有web应用防火墙,那么可以在waf上拦截上述url及利用到的关键字,(小心黑客用一些编码技巧绕过你的规则)然后给运维充足的时间去升级。扯远一点,waf部署容易运营难,这也是为什么好些公司部署了waf但是依然web被黑的原因之一。

2、如果你没有waf,又想为升级php争取时间,可以考虑下列rewrite规则

四、FAQ

Q:nginx+php fastcgi模式是否受这个攻击代码影响?

A:暂时不受公开的攻击代码影响,但有空最好还是升级一下php。

Q:nginx+php+fpm模式是否受这个攻击代码影响?

A:暂时不受公开的攻击代码影响,但有空最好还是升级一下php。

素包子 https://baoz.net

【挖坟】可笑的郑州大学网络安全园的 Honeybin

2012年3月23日 4 条评论

郑州大学网络安全园是我读书期间做的网站,http://secu.zzu.edu.cn

昨天大学的一个哥们挖坟把这个帖子挖出来了,https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=36621&page=all

其实是我改了下apache兑404的处理逻辑,把所有的404都返回200了,并不是honeybin。这个事情本身没啥含量,但在web漏洞扫描和WAF里面是值得推敲的。

 

webshell收集

2011年12月12日 9 条评论

一个web应用防火墙必须要能过滤所有已知的webshell才算合格,如果能过滤未知webshell,那为之优秀,至少我是这么认为的。有些厂商喜欢说这么一句话:“我们的产品神马都可以,只要你做出策略来就行”,本人实在是不敢苟同。不过在国内当前的情况,咱还是自力更生丰衣足食吧。欢迎各位国际大黑客指点迷津,发几个webshell

1、web server型的

mod_rootme

2、php shell

这个就挺高级的,还能走header和cookie,谁搞个代码来测试下吧

3、jsp shell

4、其他

WeBaCoo http://packetstormsecurity.org/files/107700/webacoo-0.1.2.tar.gz

 

绕过web application firewall 绕过web应用防火墙 绕过waf

2011年12月4日 评论已被关闭

设计和实现web应用防火墙的人大部分情况下不是web攻击专家,所以被bypass是正常的;但我们不能因为web应用防火墙会被bypass,就摒弃它,一个东西的瑕疵,不一定会成为一个事情的障碍,关键的是大家如何看待这个瑕疵。可以通过反馈需求及优化策略来提高拦截率。

绕过web application firewall 绕过web应用防火墙 绕过waf 搜一下有很多

http://www.google.com.hk/search?q=bypass+web+application+firewall&ie=utf-8&oe=utf-8&aq=t

另外waf对最新漏洞的跟进也是体现厂商水平的地方。

 

Safe3 WEB安全网关linux 3.1版

2011年4月16日 评论已被关闭

safer3童鞋开发的,想快速体验下WAF web应用防火墙的童鞋可以44.

阅读全文…

找合适的网络安全产品

2011年2月12日 6 条评论

其实本来是想找一个waf的,但是后来发现可能ips也能实现,所以就没强制要求是waf.请大家推荐合适的产品,也欢迎毛遂自荐.

1.能桥接透明部署
2.能工作在检测模式
3.具备基本waf具备的安全防御功能.包括白名单黑名单,名单细化到特定的域名,url及变量。例如get的时候,变量里只允许数字和字母。
4.防止代码泄露,防止目录索引。
5.告警能发送到syslog
6.具备灵活的输出过滤的功能,能自定义一些输出过滤的规则.(非常重要)
7.另外如果可以限制下载文件的大小上限就更好了.

8.支持bypass,避免单点故障

Safe3 WEB应用防火墙 linux硬件版

2010年12月17日 3 条评论

safe3童鞋开发的linux下的web application firewall web应用防火墙,功能挺不错的,大家有兴趣可以测试下

原文 http://www.cnblogs.com/Safe3/archive/2010/12/10/1902197.html

阅读全文…

web application firewall web应用防火墙WAF选型关键

2010年11月30日 1 条评论

web application firewall简称WAF,翻译过来是web应用防火墙,主要用于拦截针对WEB应用的攻击。素包子谈一下自己对WAF的想法,欢迎拍砖和补充完善。

阅读全文…

Web Application Firewall Evaluation Criteria

2009年7月29日 评论已被关闭

WAF选型标准。原文在www.webappsec.org/projects/wafec/ 

  阅读全文…