恶意流量观察
Web 威胁
5.3.1.1 Web 攻击态势
Web 站点作为企业或个人对外提供的服务,往往是黑客首选的攻击目标。2019 年,针对 Web 的攻 击态势中,传统攻击模式和攻击方法仍占主流,如服务器
信息泄露、资源盗链、CORS攻击、SQL 注入 攻击、Cookie 篡改等,此类常规攻击手段占到总攻击的 89% 左右,仍需持续关注。
服务器信息泄露 资源盗链 HTTP访问控制
事件 SQL注入攻击Cookie篡改 Web插件漏洞攻击 命令注入攻击 跨站攻击
Web服务器漏洞攻击
路径穿越攻击 其他
�26.20%
13.20% 11.82%
10.21%
6.93%
5.59% 5.31%
4.86% 4.32%
3.45%
8.09%
图 5.4 针对 Web 攻击的攻击类型分布
2019 年 Web 框架 / 中间件
受攻击态势与 2018 年相对平稳,值得一提的是针对 ThinkPHP 框架的 攻击显著增加,原因是在 2019 年 ThinkPHP 框架爆发了多个漏洞,并且涉及主流的 3.x 和 5.x 版本, 在国内影响广泛。Apache Struts2 尽管在今年并没有新增高危漏洞,但由于其历史漏洞较多,受到的 攻击依然居高不下,已连续 3 年排在受攻击榜第一位。针对 Apache Tomcat、Microsoft IIS、Oracle WebLogic Server 等主流 Web 中间件的攻击热度不减,大型中间件的用户基数大、部署应用多,相关脆 弱性受到黑客的持续关注。单位: 万次 0 100 200 300 400 500 600 700 800
Struts2 [图片上传失败...(image-75e89e-1665818036216)]ThinkPHP Tomcat
IIS WebLogic
Joomla Spring
WordPress ColdFusion
JBoss
图 5.5 针对 Web 框架 / 中间件的攻击 TOP10
5.3.1.2 Web 漏洞利用
反序列化
漏洞依然是 Web 攻击的重灾区,流行框架的安全性仍需加强关注。 2019 年,Web 方面影响较大的漏洞有如下几个:(1)WebLogic
Oracle 官方在 2017 年修复了 WebLogic Server 的 XMLDecoder 漏洞(CVE-2017-10352),该补 丁在 2019 年被两次绕过,分别对应漏洞编号 CVE-2019-2725 和 CVE-2019-2729,由此引发新一轮针 对 WebLogic 的攻击。这两个漏洞触发点在 WebLogic 自带组件上,并且均不需要身份认证,攻击者只 需精心构造 soap 格式的 XML数据,通过 HTTP 请求即可触发,攻击门槛极低,因此备受黑产团伙青 睐。从统计数据来看,在 4 月份 Oracle 官方发布安全更新后,CVE-2019-2725 的 PoC 随之公开,针对 WebLogic 的攻击出现非常明显的增幅,研究者进而发现安全补丁存在绕过(CVE-2019-2729),官方 修补措施并未生效,于是攻击趋势在 5 月份达到峰值。
160000 [图片上传失败...(image-635cdd-1665818036216)]140000 120000 100000
80000 60000 40000 20000
1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月
图 5.6 2019 年度 WebLogic 受攻击情况
(2)Json 框架
2019 年在 Java 第三方 Json 库中频频出现漏洞,由于大多数 JavaWeb 应用都会采用高效的第三方 json 库来解析 json 数据,而在应用运行过程中往往会忽略库版本的升级,因此第三方库的安全性需要 格外关注。
1)fastjson 是阿里巴巴的开源 JSON 解析库,由于具有执行效率高的特点,应用范围非常广泛。
从 2017 年起,fastjson 就多次修复由于不可信的反序列化带来的安全问题,而相关的修复补丁 也在被不断地绕过,在 2019 年度 fastjson 就新增了 36 个黑名单来防止不安全的反序列化,修 补与绕过的对抗在不断升级。用户应该及时关注官方安全通告,并且严格控制 AutoType 开关, 保持其为关闭状态。
2.)Jackson 库也出现相同的问题,同样对用户输入缺少严格的控制,导致可以被恶意解析相关类
造成任意代码执行。在 2019 年度 Jackson 新增 6 个黑名单类来进行防护,用户应及时更新到 最新版本来防范此类攻击。
(3)其他方面
1) ThinkPHP 5.x 版本被曝出无需身份认证的远程代码执行漏洞,在国内影响非常广泛,相当部分
的站点被黑客攻击并被植入恶意程序,包括挖矿脚本 / 恶意木马程序等。
加拿大
英国
0%[图片上传失败...(image-71c6ae-1665818036216)]
1% 法国 日本
0% 1%
中国香港
1%
未知 [图片上传失败...(image-1505d0-1665818036216)][图片上传失败...(image-8bdc13-1665818036216)]
1% 中国 中国香港 韩国 美国 日本
2% 中国 印度 英国 印度 74% 韩国 加拿大 6% 美国 未知 法国
14%
图 5.7 攻击 IP 所属地域分布 TOP10
对于 ThinkPHP 的攻击者有四分之三来自于国内,这与 ThinkPHP 框架本身在国内更热门有关,而 国内攻击 IP 中,来自北京、山东、上海、江苏和浙江的攻击者最为活跃
32
单位: 万次 0 2 4 6 8 10 12 14 16 18 20
北京 [图片上传失败...(image-f5de1c-1665818036216)]山东 上海
江苏
浙江 境内
宁夏 广东 福建 安徽 湖北
图 5.8 国内攻击 IP 所属城市分布 TOP10 受害者方面,接近半数的受害者来自北京,其次是上海、福建、江苏、广东等省份
北京 广东 [图片上传失败...(image-bb93f1-1665818036216)][图片上传失败...(image-22e6f0-1665818036216)][图片上传失败...(image-f00150-1665818036216)]3%
上海 河南 48%
6% 福建 宁夏 江苏 山东
7%
8%
9%
图 5.9 国内受害者 IP 省份分布
2) Jenkins 作为最受欢迎的持续集成应用,在
漏洞,此后 Jenkins 默认安装的流行插件 更新一直持续到 2019 年 11 月份。Jenkins 其插件的安全问题。
�2018 年末披露了一个无需身份认证的远程代码执行 Script Security 多次出现沙箱绕过的问题,相关安全
在内网使用广泛,管理员需要多加关注 Jenkins 及
3) Apache Solr 产品在 2019 年披露 5 个高危漏洞,包括反序列化、命令执行、拒绝服务、模板注
入等类型。Solr 作为内网使用广泛的索引和搜索集成应用,需要多加关注其安全性。
4) 传统 OA办公系统再度引起关注。泛微 OA、致远 OA、通达 OA均被披露高危漏洞,在渗透测
试中被广泛利用,传统办公系统的安全性仍不容忽视。
总结:在 2019 年披露了多个无需身份认证的远程代码执行漏洞,如 WebLogic XMLDecoder 反序 列化漏洞、ThinkPHP 远程代码执行漏洞、Apache Solr 远程代码执行漏洞、Atlassian Jira 模板注入漏洞等, 此类漏洞最受黑客团伙青睐,利用代码在短时间内被集成进成熟的攻击框架或木马程序中,进一步降低 了漏洞利用的门槛,而从漏洞 PoC 公布到被攻击者大规模利用的时间窗口也在进一步缩短,给安全厂 商防护能力带来了更大的挑战。
