网站漏洞,通过什么手段能够有效预防文件上传漏洞?
客户端校验文件名:在客户端使用JS脚本判断上传的文件名是否在白名单之内,如果不符合的话,那么就直接拒绝上传。
服务端文件名校验:除了前端校验漏洞之外,后台也要一起校验文件名是否在白名单内。
文件头校验:需要注意看上传过来的文件的文件头是否和拓展名相匹配,这种方法也可以避免此类漏洞出现概率。
将上传上来的文件和Web服务器隔离,专门存放到一台文件服务器上,然后通过文件的ID来访问。
将上传的文件进行随机重新命名。
腾讯刀锋安全团队发现的Magellan?
近日腾讯刀锋(Tencent Blade)安全团队发现了一组名为“Magellan 2.0”的SQLite漏洞,允许黑客在Chrome浏览器上远程运行各种恶意程序。这组漏洞共有5个,编号分别为CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752和CVE-2019-13753,所有使用SQLite数据库的应用均会受到Magellan 2.0攻击影响。
Magellan 2.0(麦哲伦)是一组存在于SQLite的漏洞。它由Tencent Blade Team发现,并验证可利用在基于Chromium内核的浏览器的Render进程中实现远程代码执行。作为知名开源数据库SQLite已经被应用于所有主流操作系统和软件中,因此该漏洞影响十分广泛。经测试,Chrome浏览器也受此漏洞影响,目前Google与SQLite官方已确认并修复了此漏洞。
根据腾讯刀锋安全团队官方博文,除了所有基于Chromium的浏览器和Google Home智能音箱设备受到影响之外,苹果旗下iPhone, iPad, MacBook, iMac, Apple Watch, Apple TV等多款热门产品也受到影响。
SQLite漏洞是Tencent Blade Team在安全研究中,通过人工代码审计与自动化测试发现的。这一组漏洞被团队命名为“Magellan(麦哲伦)”。根据SQLite的官方提交记录,麦哲伦漏洞中危害严重的漏洞可能已经存在8年之久。利用麦哲伦漏洞,攻击者可以在用户电脑上远程运行恶意代码,导致程序内存泄露或程序崩溃。
目前,Tencent Blade Team已联合Google、Apple、Facebook、Microsoft及SQLite官方安全团推动漏洞修复进展。与此同时,Tencent Blade Team也提醒用户及时关注系统与软件更新通知,需将SQLite升级到目前最新的3.26.0 版本。
上周发布的谷歌Chrome 71,也已经修补该漏洞。Vivaldi和Brave等基于Chromium的浏览器,都采用最新版本的Chromium。但Opera仍在运行较老版本的Chromium,因此仍会受到影响。
另外,虽然并不支持Web SQL,但Firefox也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的SQLite数据库,因此本地攻击者也可以使用这个漏洞执行代码。腾讯Blade安全团队建议,使用Chromium系产品的团队,请尽快更新至官方稳定版本71.0.3578.80,如果使用产品中涉及SQLite,请更新到3.26.0.
另外,如暂时没有条件采用官方提供的修补方案,也有一些应急建议方案:
1)关闭SQLite中的fts3功能;
2)禁用WebSQL:编译时不编译third-party的sqlite组件。由于WebSQL没有任何规范,目前仅有Chrome、Safari支持。
最后,验证方法:重新编译后的内核应无法在控制台调用openDatabase函数。
如何扫描网站的漏洞?
我现在用的是阿里云的服务器,阿里云服务器里面就有一个叫安骑士的漏洞防护和扫描修复的工具,免费版可以扫描漏洞,但是修复需要付费升级为高级版或者企业版。不过小麵兄的是个人网站,并不值得破费钱财去修复那些鸡毛蒜皮的小漏洞。
我也说说现在在用的两个免费漏洞扫描工具吧。
百度云观测
这个工具还是百度刚出站长工具不久后配套的一个在线网站监控工具。
该工具的功能有以下几点:
1、实时查看综合安全指数和历史安全指数变化;
2、网站环境项目的检测,并提示对应项目的安全状态与修复建议;
3、支持查看网站最近30天的安全事件;
360网站安全检测小麵兄以前的网站都是用开源程序织梦建站的,由于这一类网站是开源性的,被修改的频率都比较高,有些不怀好意的人留着后门什么的程序也不奇怪。以前就是通过360网站安全检测在线扫描给修复了,虽然扫描的时间比较长。
但是最近360网站安全检测工具貌似把该工具分离出去了,变成了现在的奇安信网站检测工具。目前通过360账号仍然能登录该工具,界面和功能都做了些变化,貌似也逐步形成收费工具了。
因为是个人小网站,用些免费轻便的工具,如果有重要数据的网站,建议还是使用些更安全的策略部署工具。
如何才能请到白帽子帮忙检查网站漏洞?
网络上有一些第三方平台,例如补天漏洞白帽平台、漏洞盒子、漏洞银行等。
白帽子的测试分为黑盒测试和白盒测试,大部门白帽子在第三方漏洞平台里进行的是黑盒测试。
白盒测试是白帽子在可以看到web网站上的全部代码,对动态网页代码进行审计测试,前提是有源代码。
黑盒测试是白帽子在没有源代码的情况下进行渗透测试,偏向于黑客入侵的模式,也更容易解决暴露在外的问题。
如果你特别关心这个安全问题,还是需要聘请专门的网络安全从业者来进行完整的白盒测试,这样会从根本上解决问题,出现漏洞的概率会很小。
可以去第三方平台,也可以在一些招聘网站上聘请。软件漏洞指的是什么?
软件漏洞是指软件存在与其它软件或程序不兼容和能被其它程序破坏,如病毒、黑客程序等。
操作系统正式发布后,Microsoft公司仍进行大量的实验来发现他们的操作系统存在的问题,所以在他们的官方网站有经常会有新的补丁发布。补丁可以直接安装就行。
