Web中间件 - 常见漏洞总结
EGSec 人气:2*文章来源:https://blog.egsec.cn/archives/472
*本文将主要说明:Web中间件常见漏洞的产生原因以及修复方案
什么是Web中间件?
百度百科是这样解释的:中间件是介于应用系统和系统软件之间的一类软件,它使用系统软件所提供的基础服务(功能),衔接网络上应用系统的各个部分或不同的应用,能够达到资源共享、功能共享的目的。中间件是一种独立的系统软件服务程序,分布式应用软件借助这种软件在不同的技术之间共享资源,中间件位于客户机服务器的操作系统之上,管理计算资源和网络通信。
中间件=平台+通信
通俗的理解是这样的:中间件是提供系统软件和应用软件之间连接的软件,以便于软件各部件之间的沟通。Apache的Tomcat、IBM公司的WebSphere、BEA公司的WebLogic、Kingdee公司的Apusic都属于中间件。中间件技术已经不局限于应用服务器、数据库服务器。围绕中间件,在商业中间件及信息化市场主要存在微软阵营、Java阵营、开源阵营。
一、IIS中间组件
IIS的安全脆弱性曾长时间被业内诟病,一旦IIS出现远程执行漏洞威胁将会非常严重。远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码,可以导致IIS服务器所在机器蓝屏或读取其内存中的机密数据.
1. PUT漏洞
漏洞成因:IISServer在Web服务扩展中开启WebDAV,配置了可以写入权限,造成任意文件上传,受影响版本:IIS6.0
漏洞修复:关闭WebDAV和写入权限。
2. 短文件名猜解
漏洞成因:在IIS6.0处理PROPFIND指令的时候,由于对url的长度没有进行有效的长度控制和检查,导致执行memcpy对虚拟路径进行构造的时候,引发栈溢出,从而导致远程代码执行。
漏洞修复:关闭WebDAV服务;使用相关防护设备。
3. 解析漏洞
漏洞成因:IIS 6.0在处理含有特殊符号的文件路径时会出现逻辑错误,从而造成文件解析漏洞。
二、Apache中间组件:
1. 解析漏洞
漏洞成因:Apache文件解析漏洞与用户的配置有密切关系,严格来说属于用户配置问题。,Apache文件解析漏洞涉及到一个解析文件的特性:Apache默认一个文件可以有多个以点分隔的后缀,当右边的后缀无法识别,不在mime.tyoes内,则继续向左识别,当请求这样一个文件:shell.xxx.yyy,当yyy无法识别,则向左,当xxx也无法识别,继续向左,发现后缀为php,交给php处理这个文件。
漏洞修复:将AddHandler application/x-httpd-php .php配置文件删除.
2. 目录遍历
漏洞成因:由于配置错误导致的目录遍历
漏洞修复:修改apache配置文件httpd.conf找到Options+Indexes+FollowSymLinks+ExecCGI并修改成 Options-Indexes+FollowSymLinks +ExecCGI 并保存。
三、Nginx中间组件:
1. 文件解析
漏洞成因:对任意文件名,在后面添加/任意文件名.php的解析漏洞,比如原本文件名是test.jpg,可以添加test.jpg/x.php进行解析攻击
漏洞修复:
1、将php.ini文件中的cgi.fix_pathinfo的值设为0.这样php在解析1.php/1.jpg这样的目录时,只要1.jpg不存在就会显示404;
2、将/etc/php5/fpm/pool.d/www.conf中security.limit_ectensions后面的值设为.php。
2. 目录遍历
漏洞修复:Nginx目录遍历与Apache一样,属于配置方面的问题,错误的配置可到导致目录遍历与源码泄露
漏洞修复::将/etc/nginx/sites-avaliablehttps://img.qb5200.com/download-x/default里的autoindex on改为autoindex off.
3. CRLF注入
漏洞修复:CRLF时“回车+换行”(\r\n)键的简称,HTTPHeader与HTTPBody时用两个CRLF分隔的,浏览器根据两个CRLF来取出HTTP内容并显示出来,通过控制HTTP消息头中的字符,注入恶意换行,就能注入一些会话cookie或者html代码,由于Nginx配置不正确,导致注入的代码会被执行。
漏洞修复::Nginx的配置文件/etc/nginx/conf.d/error1.conf修改为使用不解码的url跳转.
4. 目录穿越
漏洞修复:Nginx反向代理,静态文件存储在/home/下,而访问时需要在url中输入files,配置文件中/files没有用/闭合,导致可以穿越至上层目录
漏洞修复:Nginx配置文件/etc/nginx/conf.d/error2.conf的/files使用/闭合.
四、Tomcat中间组件:
1. 远程代码执行
漏洞修复:Tomcat运行在Windows主机上,且启用了 HTTP PUT请求方法,可通过构造的攻击请求向服务器上传包含任意代码JSP文件,造成任意代码执行,受影响版本:Apache Tomcat 7.0.0 – 7.0.81
漏洞修复:
1.检测当前版本是否在影响范围内,并禁用PUT方法;
2.更新并升级至最新版.
2. war后门文件部署
漏洞修复:Tomcat支持在后台部署war文件,可以直接将webshell部署到web目录下,若后台管理页面存在弱口令,则可以通过爆破获取密码
漏洞修复:
1.在系统上以低权限运行Tomcat应用程序。创建一个专门的Tomcat服务用户,该用户只能拥有一组最小权限,例如不允许远程登录;
2.增加对于本地和基于证书的身份验证,部署账户锁定机制,对于集中式认证,目录服务也要做相应配置,在CATALINA_HOME/conf/web.xml文件设置锁定机制和时间超时限制;
3.以及针对manager-gui/manager-status/manager-script等目录页面设置最小权限访问限制;
4.后台管理避免弱口令.
五、jBoss中间组件:
反序列化漏洞
漏洞修复:Java序列化,简而言之就是把java对象转化为字节序列的过程。而反序列话则是再把字节序列恢复为java对象的过程,然而就在这一转一变得过程中,程序员的过滤不严格,就可以导致恶意构造的代码的实现
漏洞修复:
1.不需要http-invoker.sar 组件的用户可直接删除此组件;
2.用于对httpinvoker组件进行访问控制.
war后门文件部署
漏洞修复:jBoss后台管理页面存在弱口令,通过爆破获得账号密码,登陆后台上传包含后门war包。
六、WebLogic中间组件:
1. 反序列化漏洞
漏洞修复:Java序列化,简而言之就是把java对象转化为字节序列的过程。而反序列话则是再把字节序列恢复为java对象的过程,然而就在这一转一变得过程中,程序员的过滤不严格,就可以导致恶意构造的代码的实现
漏洞修复:
1.升级Oracle 10月份补丁;
2.对访问wls-wsat的资源进行访问控制.
2. SSRF
漏洞修复:Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件
漏洞修复:
1.将SearchPublicRegistries.jsp直接删除;
2.删除uddiexplorer文件夹、限制uddiexplorer应用只能内网访问;
3.将weblogic安装目录wlserver_10.3/server/lib/uddiexplorer.war做好备份、将weblogic安装目录下的server/lib/uddiexplorer.war下载、用winrar等工具打开uddiexplorer.war、将其下的SearchPublicRegistries.jsp重命名为SearchPublicRegistries.jspx、保存后上传回服务端替换原先的uddiexplorer.war、对于多台主机组成的集群,针对每台主机都要做这样的操作、由于每个server的tmp目录下都有缓存所以修改后要彻底重启weblogic(即停应用–停server–停控制台–启控制台–启server–启应用).
3. 任意文件上传
漏洞修复:通过访问config.do配置页面,先更改WorkHome工作目录,用有效的已部署的Web应用目录替换默认的存储JKSKeystores文件的目录,之后使用”添加Keystore设置”的功能,可上传恶意的JSP脚本文件
漏洞修复:
1.使用Oracle官方通告中补丁链接:http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html;https://support.oracle.com/rs?type=doc&id=2394520.1;
2:进入Weblogic Server管理控制台,domain设置中,启用”生产模式”.
4. war后门文件部署
漏洞修复:由于WebLogic后台存在弱口令,可直接登陆后台上传包含后门的war包
漏洞修复:防火墙设置端口过滤,也可以设置只允许访问后台的IP列表,避免后台弱口令.
七、其它中间件相关漏洞
1. FastCGI未授权访问、任意命令执行
漏洞修复:服务端使用fastcgi协议并对外网开放9000端口,可以构造fastcgi协议包内容,实现未授权访问服务端.php文件以及执行任意命令,
漏洞修复:更改默认端口.
2. PHPCGI远程代码执行
漏洞修复:在Apache调用php解释器解释.php文件时,会将url参数传我给php解释器,如果在url后加传命令行开关(例如-s、-d、-c或-dauto_prepend_file%3d/etc/passwd+-n)等参数时,会导致源代码泄露和任意代码执行,此漏洞影响php-5.3.12以前的版本,mod方式、fpm方式不受影响.
漏洞修复:
1.升级php版本;
2.在apache上做文章,开启url过滤,把危险的命令行参数给过滤掉,由于这种方法修补比较简单,具体方案:修改http.conf文件,找到<Directory/>增加以下三行代码:
***********增加代码 - 开始 ***********
RewriteEngine on
RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]
***********增加代码 - 结束 ***********
注:重启Apache服务即可,但是要考虑到,相当于每次request就要进行一次url过滤,如果访问量大的话,可能会增加Apache服务负担.
3.打上PHP补丁,补丁下载地址:https://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/.
总结可能存在有误差,需自行百度补充。
可用于安全行业面试知识点。
加载全部内容