安恒新一代智能WAF防护新引擎新效果,让Webshell无所遁形 发布时间:2020-11-10 09:44:42 来源:


做Web防护 我们是认真的

不知不觉已经陪伴大家4期了

#  安恒发布新一代智能WAF,“5+3”新引擎让Web防护更简单更智能

#  化被动为主动!Web攻防之红蓝对抗分析

#  Web攻防对抗|防御零日漏洞,安恒新一代WAF稳坐钓鱼台

安恒WAF提醒:应用层DDoS攻击,请严肃对待

今天来聊聊,Web攻防之文件上传漏洞防护

有客户网站经常碰到有人恶意传小马、放大马,这里小马大马可不是

它指的是利用文件上传漏洞被攻击者利用,上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力,那这个脚本文件就是我们所说的小马大马。

通常小马的功能一般都比较单一,作用一般是向服务器中写入文件数据。因为其功能单一的特性,隐蔽性通常都比较高,有些网站对上传文件大小做了限制,小马因为占用空间也小也能绕过这些限制。

01  应用场景

Web应用通常都会有文件上传的功能,日常我们上网过程中就经常遇到这种场景,比如注册处上传自己的头像,个人信息处上传照片,商品评价处上传商品照片。

场景一:网站注册处(上传头像)

场景二:个人信息处(上传附件)

场景三:商品评价处(上传商品照片)

····

此类场景还有非常多,只要允许上传文件的地方就有可能存在文件上传漏洞!

02  漏洞危害

(1)网站被控制,对文件增删改查,执行命令,链接数据库;

(2)利用exp提权,导致服务器沦陷;

(3)同服务器的其他网站沦陷。

03  漏洞利用

那么攻击者如何利用该漏洞呢?文件上传的漏洞利用可分为三步:

步骤一:上传伪装的可执行文件

  • 小马  对应网站开发语言编写的动态脚本,体积小、功能少,一般用来上传大马(用来绕过相关限制)。
  • 大马  对应网站开发语言编写的动态脚本,体积大、功能多(执行命令、上传下载文件)可调用系统关键函数,隐蔽性不好。
  • 一句话木马  除了上述小马大马以外,还有隐蔽性更强的“一句话木马”。其对应网站开发语言编写的动态脚本,代码只有一行,场合webshell工具结合使用发挥更强威力。

步骤二:确认文件保存路径

       确认上传文件路径,保证能访问我们上传的文件,通过中国菜刀、中国蚁剑或者冰蝎等能够连接起来。

步骤三:执行攻击操作

       确认上传目录有可执行权限,保障我们连接到的恶意代码能够在该目录下能够被解析执行执行。

04  传统文件上传漏洞防护手段

传统的文件上传漏洞防护主要通过以下几个方面进行防护:

• 限制文件上传的类型以及大小

• 上传文件保存的的文件和目录名由系统定义

• 将上传目录直接设置为不可执行

但是通过分析文件上传漏洞传统防护手段我们发现,传统的漏洞防护只针对在服务器上面做相关防护,对文件的目录保护以及文件绕过的检测手段稍显不足,容易被攻击者轻松绕过,那么是否有更好的手段能够更好的防护我们现有的网络呢?

05  文件上传漏洞防护升级

安恒信息新一代智能WAF斩获Frost&Sullivan 2019年大中华区(中国大陆+港澳台)Web应用防火墙整体市场份额排名第一的殊荣!(点击详情)。在近期大规模的攻防对抗时期,应用广泛的Web攻击工具冰蝎3.0版本发布,其最重要的变化就是“全程加密传输,无明文交互”,这给基于签名特征库匹配的WAF带来了新的挑战,新一轮的特征库紧急升级又开始了。

而安恒信息新一代智能WAF语义分析引擎不仅支持基于OGNL的语义分析,同样支持对JSP、PHP、ASP的文件识别检测,可有效阻断异常文件的上传,检出率大大提升,效果明显,因此无须升级即可获得针对冰蝎3.0的免疫防护能力!

语义分析引擎通过对上传的文件分析确认其合法性,攻击者在利用该漏洞进行攻击时,通常通过修改文件属性来绕过常规文件检测上传恶意文件(小马、大马、一句话木马等),只要上传文件所在的目录有可执行权限,且文件校验不严谨的情况下,就能执行上传的恶意文件从而获取整个服务器的权限。

因此在检测文件是否是异常文件时,语义分析引擎通过多种技术对上传的文件进行检测分析,保证用户正常文件的上传同时阻止异常文件的上传。

分享到: