影视网站php接口采集
北京安域领创科技有限公司
安全通告
报告周期:2022年3月第五周
(2022年3月28日-2022年4月2日)
目 录1本周漏洞通告1.1漏洞一:WordPress Photo Gallery by 10Web plugin SQL注入漏洞
1.2漏洞二:BlueCMS SQL注入漏洞
1.3漏洞三:TuziCMS SQL注入漏洞
1.4漏洞四:温州互引信息技术有限公司BossCMS存在SQL注入漏洞
1.5漏洞五:四创科技有限公司农业水价改革系统存在文件上传漏洞
2本周病毒木马通告62.1本周流行病毒木马统计
2.1.1浅析跨域资源共享协议相关安全问题63安全事件通告143.1本周国内外安全事件通告
3.1.1 伦敦警方指控两名少年多项网络罪名 涉嫌参与 Lapsus$3.1.2 伪造“紧急搜查令”泛滥 美议员呼吁推动“数字真实性”立法3.1.3 SentinelLabs:俄罗斯利用 AcidRain 擦除恶意软件攻击了 ViaSat3.1.4 Facebook 因算法漏洞连推糟糕内容 一直持续半年3.1.5 苹果、Meta 被曝向伪装成执法官员的黑客提供用户数据231 本周漏洞通告1.1漏洞一:WordPress Photo Gallery by 10Web plugin SQL注入漏洞发布时间2022-03-14更新时间2022-04-02CNVD-IDCNVD-2022-25758漏洞危害级别高影响产品WordPress Photo Gallery by 10Web Plugin<1.6.0漏洞类型通用型漏洞漏洞描述WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。WordPress Photo Gallery by 10Web plugin 1.6.0之前版本存在SQL注入漏洞,该漏洞源于bwg_frontend_data AJAX操作时,在SQL语句使用它之前不会验证和转义bwg_tag_id_bwg_thumbnails_0参数,未经身份验证攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。漏洞解决方案厂商已发布了漏洞修复程序,请及时关注更新:漏洞二:BlueCMS SQL注入漏洞发布时间2022-04-02更新时间2022-04-02CNVD-IDCNVD-2022-25774漏洞危害级别高影响产品BlueCMS BlueCMS 1.6漏洞类型通用型漏洞漏洞描述BlueCMS是一套基于PHP和MySQL的内容管理系统(CMS)。BlueCMS1.6版本中存在SQL注入漏洞。远程攻击者可利用该漏洞借助‘user_id’参数执行SQL命令。漏洞解决方案目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:漏洞三:TuziCMS SQL注入漏洞发布时间2022-04-02更新时间2022-04-02CNVD-IDCNVD-2022-25982漏洞危害级别高漏洞类型通用型漏洞影响产品TuziCMS TuziCMS 2.0.6漏洞描述TuziCMS(兔子CMS)是一款基于PHP和MySQL的企业建站内容管理系统(CMS)。TuziCMS 2.0.6版本存在SQL注入漏洞,该漏洞源于AppManageControllerBannerController.class.php缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。漏洞解决方案厂商尚未提供漏洞修复方案,请关注厂商主页更新:漏洞四:温州互引信息技术有限公司BossCMS存在SQL注入漏洞发布时间2022-03-31更新时间2022-03-11CNVD-IDCNVD-2022-18252漏洞危害级别高漏洞类型通用型漏洞影响产品温州互引信息技术有限公司 BossCMS V1.2漏洞描述BossCMS是一款网站内容管理系统。温州互引信息技术有限公司BossCMS存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。漏洞解决方案1.3版本,已修复此漏洞,建议用户下载使用:漏洞五:四创科技有限公司农业水价改革系统存在文件上传漏洞发布时间2022-03-30更新时间2022-03-12CNVD-IDCNVD-2022-18765漏洞类型通用型漏洞漏洞危害级别高影响产品四创科技有限公司 农业水价改革系统漏洞描述四创科技有限公司是一家致力于中国防灾减灾事业的技术型企业。四创科技有限公司农业水价改革系统存在文件上传漏洞,攻击者可利用该漏洞获取服务器控制权。漏洞解决方案厂商已发布了漏洞修复程序,请及时关注更新: 2本周病毒木马通告2.1本周流行病毒木马统计2.1.1浅析跨域资源共享协议相关安全问题病毒危险级别:高一、如何挖掘CORS漏洞? 方式一:curl命令
如果相应包中出现下面这种组合,则说明存在CORS漏洞 如果Access-Control-Allow-Origin是根据用户输入动态生成那么我们就不需要去fuzz 服务器的匹配规则或者白名单了,否则我们就需要进行fuzz,用于发现其允许跨域请求的子域名或者其匹配规则,当然orgin值为null也是值得尝试的。 方式二:burpsuit手动测试方法 首先通过burp的匹配和替换功能,在发包的时候添加Origin头,Origin头的值,可以随便给出,如下图所示,但是这种情况的话,只能挖掘那种服务器根据用户输入动态生成Access-Control-Allow-Origin标头值的情况。 然后我们通过配置HTTP history的过滤器,使用下图所示的配置,以便于我们更容易的看到相应的返回结果。 接下来就是,使用开启burp代理的浏览器,并且把burp的拦截功能关掉,然后尽可能的把我们需要测试的网站所有的页面都浏览一遍(如果网站可以登录,就登录后再开始浏览,重点包括用户的个人主页,个人信息页,以及一些该网站上用户的私有资源。 如果我们使用的是burp的专业版,也可以通过burp自带的扫描器来发现CORS漏洞,不过这种会存在误报,发现问题后,还是需要手动验证。 方式三:自动化扫描工具 CORScanner 是一个 python 工具,旨在发现网站的 CORS 错误配置漏洞。它可以帮助网站管理员和渗透测试人员检查他们所针对的域/url 是否具有不安全的 CORS 策略。 基础用法:二、如何利用CORS漏洞? 这里的CORS漏洞利用演示主要利用了burp官方提供的在线实验室,burp官方提供了三个CORS漏洞相关的在线实验室。 当我们配置好这些然后,通过 Burp Suite 代理我们的浏览器,关闭拦截,然后登陆下图这个网站并且访问我们的用户个人信息界面 我们在HTTP History看到请求用户信息的这个包,服务器返回的header头中出现了我们前面讲述的ACAO和ACAC头并且ACAC设置为ture,那么说明存在CORS漏洞。 该在线实验室还给我们提供了可以用于攻击的服务器,下面这张图显示了,我们攻击者服务器构造的恶意页面的内容,意思就是说,受害者点击我们的恶意链接后,浏览器解析我们的页面,然后会发送一个跨域请求,去获取这个网站上该用户个人的个人信息,然后将结果返回到我们攻击服务器的日志中。 从下面这张图我们可以看到,当用户点击我们的恶意链接后,我们可以在日志页面看到我们通过CORS漏洞获取到的用户的个人信息。三、如何修复或者避免CORS漏洞? 1、仔细评估是否开启CORS,如果不必要就不要开启CORS。 2、如果是绝对必要的话,要定义“源”的白名单。尽量不使用正则表达式配置,不要配置“Access-Contol-Allow-Origin”为通配符“*”,同时严格校验来自请求的Origin值。 3.如果可能的话避免使用“Credentials”头,由于“Access-Control-Allow-Credentials”标头设置为“true”时允许跨域请求中带有凭证数据,因此只有在十分必要时才应配置它。此头部也增加了用户个人信息泄露的风险,因此有必要对其进行保护。 4.避免将null列入白名单,来自内部文档和沙盒请求的跨域资源调用可以指定null来源。应针对私有和公共服务器的可信来源正确定义CORS标头。 5.CORS定义了浏览器的行为,绝不能替代服务器端对敏感数据的保护-攻击者可以直接从任何可信来源伪造请求。因此,除了正确配置的CORS之外,Web服务器还应继续对敏感数据应用保护,例如身份验证和会话管理。 6、限制使用的方法,通过“Access-Control-Allow-Methods”头部,还可以配置允许跨域请求的方法,这样可以最大限度地减少所涉及的方法。 7.避免在内部网络中使用通配符 ,避免在内部网络中使用通配符。当内部浏览器可以访问不受信任的外部域时,仅信任网络配置来保护内部资源是不够的。
3安全事件通告3.1本周国内外安全事件通告3.1.1伦敦警方指控两名少年多项网络罪名 涉嫌参与 Lapsus$ 针对黑客组织 Lapsus$ 的专项打击活动仍在继续,就在一周前逮捕 7 名青少年之后,英国警方指控 2 名青少年犯有多项网络罪行。目前这 2 人仍处于拘留中,并将于本周五晚些时候在海布里角地方法院出庭。 在周五的一份声明中,伦敦市警察局探长迈克尔·奥沙利文表示这两名年龄分别为 16 岁和 17 岁的青少年被指控犯有三项罪行:包括未经授权访问计算机并意图损害数据可靠性、通过虚假陈述进行欺诈以及未经授权访问计算机并意图阻碍数据访问。这名 16 岁的少年还被指控犯有一项导致计算机执行一项功能以确保未经授权访问程序的罪行。 科技媒体 TechCrunch 尝试进行联系,伦敦市警方不愿确认这些青少年的身份,他们的名字没有被公布,因为他们受到英国关于识别非成年人的报告限制。然而,彭博社最近的一份报告显示,一名位于英国牛津的青少年被怀疑是 Lapsus$ 黑客组织的主谋。在对手的黑客在网上公布了他的个人信息后,记者追踪到了这个使用”White”或”Breachbase”这一网络名称的 16 岁少年。 这份报告发表前几个小时,伦敦市警察局宣布他们逮捕了7名年龄在16至21岁之间的人,因为他们涉嫌与Lapsus$黑客组织有联系。在逮捕消息出现的第二天,Lapsus$在Telegram上告诉其5万多名粉丝,其部分成员正在”度假”。该组织后来否认其任何成员在3月被捕。 Lapsus$黑客组织于2021年12月首次浮出水面,本周又出现了一个新的数据泄露受害者。总部位于卢森堡的软件开发咨询公司Globant。该组织在其 Telegram 频道上发布了一个 70GB 的种子文件,其中包含据称从该公司窃取的数据,黑客声称其中包括其企业客户的源代码。3.1.2伪造“紧急搜查令”泛滥 美议员呼吁推动“数字真实性”立法 Krebs On Security 周二警告称:黑客正越来越多地利用受感染的政府和警察部门的电子邮件账户,以从移动运营商、互联网服务提供商(ISP)和社交媒体公司榨取敏感的客户信息。周四,美国参议院内精通技术的议员之一表示,其对这份报告感到很是不安,并且已向科技企业和联邦机构发去询问,以了解此类活动到底有多活跃。叫卖政府与警方电子邮件账户访问权限的帖子截图引发争议的“紧急数据请求”(EDR),通常由经常或政府机构的电子邮件账户发出,特点是能够绕过法院传票或收查令,让科技企业交出客户或用户数据。
鉴于任何管辖区的警局都可基于 EDR 请求而立即访问数据(前提是执法机构提供了数据请求的紧迫性证明),黑客显然也盯上了这个薄弱环节。
正如周二报道的那样,对于一个搜到 EDR 请求的企业来说,经手人员并无快速简便的方法来知悉该请求是否合法。
毕竟仅在美国境内,就有大约 1.8 万个不同的警察组织,更别提还有遍布全球的数千个政府和警察机构。
利用这种模糊性,网络犯罪分子便积极寻求攻破相关组织的电子邮件账户,然后就可以向受害企业发去以假乱真的紧急数据请求邮件。
本周的系列报道,证实了社交媒体平台 Discord 已经躺枪。此外彭博社周三指出,近期已有黑客成功地骗到了苹果和 Meta(Facebook)头上。
黑客兜售伪造 EDR 传票 / 搜查令的服务 KrebsOnSecurity 援引俄勒冈州参议员 Ron Wyden 的话称: 此外周二报道表明,以欺诈手段获得的紧急数据请求,利用了臭名昭著的 LAPSUS$ 黑客组织的工具。 早些时候,该组织侵入了微软、英伟达、Okta 和三星等企业,但其中一名英国青少年黑客已因频繁发送虚假 EDR 而被多次逮捕。3.1.3SentinelLabs:俄罗斯利用 AcidRain 擦除恶意软件攻击了 ViaSat 早些时候,美国卫星通信服务提供商 Viasat 遭受了一轮网络攻击,结果导致中东欧地区的服务出现了中断。而由 SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 最新发布的安全研究报告可知,这口锅应该扣在一款名为“酸雨”(AcidRain)的新型擦除(wiper)恶意软件头上。Surfbeam2 调制解调器攻击前后的并排比较(via SentinelLabs)鉴于此事与俄乌冲突爆发的时间点接近,早期调查认为俄罗斯方面有很大的嫌疑。此外这轮攻击还断开了德国约 5800 台风力发电机的远程访问,起初还以为它们遭到了分布式拒绝服务(DDoS)攻击。
不过参考 SentinelLabs 最新发布的安全研究报告,作为一款新冒出的擦除恶意软件,AcidRain 旨在远程清除易受攻击的调制解调器和路由器。
设备擦除代码:写入 ox40000(左)或使用 MEM*IOCTLS(右)可知 3 月 15 日那天,研究人员从意大利用户 ukrop 上传到 VirusTotal 的样本中发现了端倪,并推测该用户名为“乌克兰行动”(Ukraine operation)的缩写。
至于这款擦除器的功能,研究人员称其相当“通用”。因为在尝试破坏数据之前,它会对文件系统和各种已知存储设备上的文件进行深度抹除,然后让设备重启变砖。
尝试重启设备的代码 SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 表示:部分标题字符串对比尽管攻击者的确切身份仍是个谜,但 SentinelLabs 观察到了 AcidRain 和 VPNFilter 恶意软件之间的相似之处 —— 后者感染了全球数千个家庭和小型企业的路由器等网络设备。
2018 年,FBI 将 VPNFilter 操作归咎于有俄罗斯背景的“Fancy Bear”(又名 APT28)黑客组织。
左为 AcidRain,右为 VPNFilter 最后,研究人员推测 AcidRain 是自俄乌冲突爆发以来的第七款擦除类恶意软件,但仍需进一步调查背后的关系。由周三发表的有关 2 月份网络攻击的第一份事件响应报告可知:3.1.4Facebook 因算法漏洞连推糟糕内容 一直持续半年Facebook动态消息(News Feed)因为存在重大排序错误,过去6个月一直推送“糟糕”内容。由于排序算法存在漏洞,动态消息抬高了虚假、暴力信息的权重。去年10月,工程师发现推送有问题,当时动态消息中的虚假信息明显增多。
虚假信息本来是经过事实核查员审查过的,应该早早得到抑制,但这些信息却四处传播。工程师找不到根本原因,只能眼睁睁看着虚假信息持续发酵,几个星期后平息,然后复发,最终工程师才发现是排序有问题,并于3月11日修复。
内部文档显示,该技术问题最早可追溯到2019年,但直到2021年10月才造成重大影响。Meta新闻发言人乔·奥斯本(Joe Osborne)说:“我们追踪根本原因,最终发现是软件有漏洞,然后进行了修复。漏洞不会给我们的评估标准造成任何有意义的长远影响。”
多年来,Facebook一直鼓吹公司开发的降序系统,认为它可以提高动态消息的质量,随着自动系统的优化未来能处理更多种类的内容。很明显,Facebook系统仍然不完美。
3.1.5苹果、Meta 被曝向伪装成执法官员的黑客提供用户数据据知情人士透露,苹果和Meta在2021年年中回应了伪造的“紧急数据请求”,向黑客提供了用户的基本信息,如客户的地址、电话号码和IP地址。伪造的“紧急数据请求”是由多个国家/地区的执法人员的被黑电子邮件域发送的,并且经过精心设计,带有真实或虚构执法人员的伪造签名,看起来合法。
据彭博社报道,一个名为“Recursion Team”的网络犯罪组织与2021年发送给多家公司的一些伪造的法律请求有关。一些黑客被认为是美国和英国的未成年人,并且至少其中一名未成年人还参与了攻击微软、三星和英伟达。
据上述知情人士透露,通常情况下,此类请求会获得一份搜查令或由法官签署的传票,但紧急请求不需要法院命令。Snap也收到了来自同一群黑客的伪造法律请求,但不知道它是否提供了用户数据。
苹果表示需参照公司的法律指引,Meta发言人表示将阻止已知的被盗账户发出请求,并与执法部门合作对涉及可疑欺诈性请求的事件作出回应。
优艺cms微信对接
