思客云開源軟件安全漏洞檢測系統(tǒng)

思客云開源軟件安全漏洞檢測產(chǎn)品隨時信息技術(shù)的發(fā)展和國家網(wǎng)絡(luò)安全法的發(fā)布，信息和網(wǎng)絡(luò)安全問題越來越受到重視。而如今的黑客攻擊最主要的手段就是利用應(yīng)用系統(tǒng)中所存在的安全漏洞。近幾年，特別是“心臟出血”安全漏洞曝發(fā)以后基于開源軟件漏洞2017年增長20%隨時信息技術(shù)的發(fā)展和國家網(wǎng)絡(luò)安全法的發(fā)布，信息和網(wǎng)絡(luò)安全問題越來越受到重視。而如今的黑客攻擊最主要的手段就是利用應(yīng)用系統(tǒng)中所存在的安全漏洞。近幾年，特別是“心臟出血”安全漏洞曝發(fā)以后，利用應(yīng)用系統(tǒng)中常見的開源軟件的漏洞進行大規(guī)模的黑客攻擊行為屢見不鮮，他們最常用和最簡單的方法就是通過一個已知的開源框架的安全漏洞，對同一類型的應(yīng)用系統(tǒng)發(fā)動相同的攻擊，如針對相同的銀行的網(wǎng)銀類系統(tǒng)，或者是針對政府的門戶網(wǎng)站類系統(tǒng)進行大規(guī)模的攻擊，如果被攻擊的應(yīng)用系統(tǒng)還沒有及時及對開源框架的漏洞進行修復(fù)，就可以很輕松地拿下這個應(yīng)用系統(tǒng)。根據(jù)權(quán)威機構(gòu)對開源項目所收集到的統(tǒng)計數(shù)據(jù)預(yù)測到，基于開源軟件漏洞的網(wǎng)絡(luò)攻擊活動數(shù)量在2017年增長20%。開源軟件漏洞管理——軟件安全保障新挑戰(zhàn)據(jù)統(tǒng)計，商業(yè)軟件項目的免費版本數(shù)量已經(jīng)超過了50%甚至更多，而開源軟件產(chǎn)品所占比重從2011年的3%增長到了現(xiàn)在的33%。平均每一款商業(yè)軟件都會使用超過100個開源組件，而且三分之二的商業(yè)應(yīng)用代碼中已知是存在安全漏洞的。以JAVA應(yīng)用為例，由于開發(fā)的模式和開發(fā)框架技術(shù)的發(fā)展，幾乎很難找到一個完全不使用開源框架的應(yīng)用系統(tǒng)，如JAVA的開源開發(fā)框架：Struts,Spring,Hibernate等幾乎成了JAVA應(yīng)用系統(tǒng)開發(fā)的標(biāo)準(zhǔn)配置，無論是政府門戶網(wǎng)站，銀行的網(wǎng)上銀行系統(tǒng)，電商的銷售平臺，企業(yè)內(nèi)部OA系統(tǒng)，甚至移動應(yīng)用的服務(wù)器端系統(tǒng)都是在使用這些開源框架。但Struts2的安全漏洞卻是一波為平一波又起，如下圖，2016年4月26日，Struts2漏洞血洗互聯(lián)網(wǎng)。如下圖，是Apatch官網(wǎng)從2013年4月以后所統(tǒng)計的Struts2開源軟件的安全漏洞就有55個之多:

ApacheStruts2DocumentationCHILDPAGESNHomeSecurityBulletinsApacheStruts2DocumentationCHILDPAGESNHomeSecurityBulletins82-001kS2-002LS2-003S2-004S2-005S2-006S2-007S2-008S2-009S2-010S2-011S2-012S2-013S2-0140Spacetools■ ?S2-026—SpecialtopobjectcanbeusedtoaccessStruts'internalsS2-027—TextParseUtil.translateVariablesdoesnotfiltermaliciousOGNLexpressionsS2-028—UseofaJREwithbrokenURLDecoderimplementationmayleadtoXSSvulnerabilityinStruts2basedwebapplications.S2-029—ForceddoubleOGNLevaluation,whenevaluatedonrawuserinputintagattributes,mayleadtoremotecodeexecution.S2-030—PossibleXSSvulnerabilityin11SNInterceptorS2-031—XSLTResultcanbeusedtoparsearbitrarystylesheetS2-032—RemoteCodeExecutioncanbeperformedviamethod:prefixwhenDynamicMethodInvocationisenabled.S2-033—RemoteCodeExecutioncanbeperformedwhenusingRESTPluginwith!operatorwhenDynamicMethodInvocationisenabled.S2-034—OGNLcachepoisoningcanleadtoDoSvulnerabilityS2-035—ActionnamecleanupiserrorproneS2-036—ForceddoubleOGNLevaluation,whenevaluatedonrawuserinputintagattributes,mayleadtoremotecodeexecution(similartoS.S2-037—RemoteCodeExecutioncanbeperformedwhenusingRESTPlugin.S2-038—ItispossibletobypasstokenvalidationandperformaCSRFattackS2-039—GetterasactionmethodleadstosecuritybypassS2-040—Inputvalidationbypassusingexistingdefaultactionmethod.S2-041—PossibleDoSattackwhenusingURLValidatorS2-042—PossiblepathtraversalintheConventionpluginS2-043——UsingtheConfigBrowserplugininproductionS2-044—PossibleDoSattackwhenusingURLValidatorS2-045—PossibleRemoteCodeExecutionwhenperformingfileuploadbasedonJakartaMultipartparser.S2-046—PossibleRCEwhenperformingfileuploadbasedonJakartaMultipartparser(similartoS2-045)S2-047—PossibleDoSattackwhenusingURLValidator(similartoS2-044)S2-048—PossibleRCEintheStrutsShowcaseappintheStruts1pluginexampleinStruts2.3.xseriesS2-049—ADoSattackisavailableforSpringsecuredactionsS2-050—AregularexpressionDenialofServicewhenusingURLValidator(similartoS2-044&S2-047)S2-051—AremoteattackermaycreateaDoSattackbysendingcraftedxmlrequestwhenusingtheStrutsRESTpluginS2-052—PossibleRemoteCodeExecutionattackwhenusingtheStrutsRESTpluginwithXStreamhandlertohandleXMLpayloadsS2-053——ApossibleRemoteCodeExecutionattackwhenusinganunintentionalexpressioninFreemarkertaginsteadofstringliteralsS2-054—AcraftedJSONrequestcanbeusedtoperformaDoSattackwhenusingtheStrutsRESTpluginS2-055—ARCEvulnerabilityintheJacksonJSONlibrary思客云開源軟件安全漏洞檢測系統(tǒng)思客云正是根據(jù)用戶目前所面臨的這一問題，結(jié)合多年的安全漏洞檢測技術(shù)經(jīng)驗，獨立自主地研發(fā)一套自動化開源軟件安全漏洞檢測系統(tǒng)。該系統(tǒng)是在企業(yè)內(nèi)部建立一個開源框架漏洞應(yīng)急響應(yīng)云平臺，它能夠在漏洞發(fā)布的最短時間內(nèi)自動化主動地探測開源框架漏洞的發(fā)布信息，到在企業(yè)內(nèi)部對所有應(yīng)用系統(tǒng)是否使用有安全漏洞的開源框架的具體情況進行快速檢測，并及時通知應(yīng)用系統(tǒng)的相關(guān)管理人員進行快速修補。將這一安全漏洞事件的危害降到最小。

該檢測系統(tǒng)是一套集開源軟件安全漏洞收集，開源軟件安全檢查管理、安全檢查漏洞報警及發(fā)布、安全策略執(zhí)行、開源軟件安全漏洞知識分享等為一體的綜合性開源軟件安全漏洞應(yīng)急響的平臺級系統(tǒng)。這套系統(tǒng)將大大地方便企業(yè)級用戶在開源軟件組件漏洞曝露的改變傳統(tǒng)軟件安全測試工具的使用方式，成為企業(yè)級的產(chǎn)品解決方案。思客云■開源代碼檢測漏洞最多的項目ToplO崛目呂橙測配苴zbg-webl.0-2.5.1-3doud-5caner252椅婚情開源代踴辟zbg-Webl.&-2.5.1-3 血⑴訴盼1■開源代碼檢測漏洞最多的項目ToplO崛目呂橙測配苴zbg-webl.0-2.5.1-3doud-5caner252椅婚情開源代踴辟zbg-Webl.&-2.5.1-3 血⑴訴盼1showcasecloudStanerjfirial_demQelixra-scAner2-5^■1showcase—『cloud-web3.1出現(xiàn)次數(shù)最多的漏洞ToplO漏洞名CVE-2016-3082y^CVE-2017-CVE-2016-3082y^CVE-2017-12611CVE-2017-12611CVE-2016-a093CVE-2016-4436192.163.0.ISiOO/dcHjd&ecure/task/listTatal＞具體一個項目的檢測詳情報告:查看白名單導(dǎo)出報吉下載查看白名單導(dǎo)出報吉下載Exce服告項目名稱：＜JAVA_Webgoat＞項目版本：11.0序號名稱版本已知風(fēng)險踣徑操作1struts2-rest-plugin2.3.7CVE-2017-9805 臼CVE-2017-9793 E3lib\lib\WebGoat5.0\WebContent\WEB-INRIib\stnjts2-rest-plugin-2.3.7.jarCVE-2016-0785CVE-2016-4003CVE-2013-4316CVE-2013-4310CVE-2013-2248CVE-2013-2251CVE-2013-2135CVE-2013-2115CVE-2013-1966CVE-2012-4387CVE-2011-3923CVE-2011-1772struts2-coreCVE-2016-3093lib\lib\WebGoat5.0\WebContent\WEB-INF\lib\stnjts2-core-.jar宙計struts2-coreCVE-2016-3093lib\lib\WebGoat5.0\WebContent\WEB-INF\lib\stnjts2-core-.jar宙計CVE-2015-5209CVE-2014-0112CVE-2014-7809CVE-2014-0116CVE-2014-0094CVE-2012-4386CVE-2017-12611CVE-2016-4461CVE-2016-3082＞思客云開源軟件漏洞管理平臺提供不同開發(fā)語言下的開源軟件的每個漏洞的解釋說明，修復(fù)建議和參考資料：思客云開源框架安全漏洞知識平臺rW開源框架漏洞知識庫:■US導(dǎo)入漏洞庫曰0JAVAOMaven卜。xmltoolingrW開源框架漏洞知識庫:■US導(dǎo)入漏洞庫曰0JAVAOMaven卜。xmltooling-chOjackrabbitswagger-parserSQLitemqttZuuloWittptomcat-nativeCVE-2018-1308漏洞名稱(CVE):ImproperRestrictionofXMLExternalEntityReference('XXE')漏洞名稱(CVE): XML外部擴展漏洞名稱(CNNVD): ApacheSolrDatalmportHandler安全漏洞bOxmlsec日€3SolrLO遠程反序列化代碼執(zhí)行漏洞(CVE-2019I1-0XML外瀚囑(CVE-2(H8~13O8)ICVE^^：CVE-2018-1308CNNVg號:CNNVD-201804Y15危險等級：High影響版本：solr-core:1.2.0-6.6.2;solr-core:7.0.0-7.2.1j-0XML外部擴展(CVE-2018-8010)!0跨站點腳本(XSS)(CVE-2015-8795)1-0跨站點腳本(XSS)(CVE-2014-3628)〔?？缯军c腳本(XSS)(CVE-2015-879