期���,安全專家在全球流行的Drupal CMS中發現了一個致命漏洞CVE-2019-6340,可導致遠程代碼執行�����。
Drupal也很快發布了安全更新。CVE-2019-6340主要是由于某些字段類型中缺少適當的安全過濾造成的�,導致攻擊者可用這個漏洞執行任意PHP代碼���。
這個漏洞是由Drupal安全團隊的Samuel Mortenson發現的�����。
為了成功利用CVE-2019-6340,Drupal必須啟用核心RESTful Web模塊,并可接受PATCH或POST請求。如果啟用了另一個Web服務模塊(如Drupal 8中的JSON:API或Drupal 7中的RETSTful Web服務)�����,也有可能觸發該漏洞���。
Drupal發布的Drupal 8.6.10和8.5.11已解決了這個漏洞�。Drupal 7暫時不需要更新,但專家指出貌似也存在潛在的風險�����。
“如果想立刻攔截此漏洞的攻擊�,你可以禁用所有Web服務模塊,或者禁止Web服務器接受Put/Patch/Post請求”�����。
“請注意�,根據服務器的配置,Web服務可以在多個路徑上訪問���。在Drupal 7上,資源通?��?梢酝ㄟ^路徑以及“q”查詢參數的結合進行查詢。對于Drupal 8,若前綴為index.php/,路徑依然可以正常訪問。
Drupal用戶最好盡快安裝最新版本���。
本文由白帽匯整理并翻譯,不代表白帽匯任何觀點和立場
來源:https://nosec.org/home/detail/2270.html
白帽匯從事信息安全,專注于安全大數據���、企業威脅情報���。
公司產品:FOFA-網絡空間安全搜索引擎�、FOEYE-網絡空間檢索系統、NOSEC-安全訊息平臺�。
為您提供:網絡空間測繪�、企業資產收集�、企業威脅情報、應急響應服務。
、SQL 注入
SQL 注入就是通過給 web 應用接口傳入一些特殊字符���,達到欺騙服務器執行惡意的 SQL 命令。
SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優化�����。
原因
當使用外部不可信任的數據作為參數進行數據庫的增�����、刪�、改�、查時,如果未對外部數據進行過濾�,就會產生 SQL 注入漏洞���。
比如:
name =
"外部輸入名稱"
;
sql =
"select * from users where name="
+ name;
上面的 SQL 語句目的是通過用戶輸入的用戶名查找用戶信息�,因為由于 SQL 語句是直接拼接的,也沒有進行過濾,所以�,當用戶輸入''or'1'='1'時�,這個語句的功能就是搜索users全表的記錄�����。
select
*
from
users
where
name=
''
or
'1'
=
'1'
;
解決方案
具體的解決方案很多�����,但大部分都是基于一點:不信任任何外部輸入�����。
所以�,對任何外部輸入都進行過濾�����,然后再進行數據庫的增���、刪�、改���、查�。
此外,適當的權限控制�����、不曝露必要的安全信息和日志也有助于預防 SQL 注入漏洞�����。
2���、XSS 攻擊
XSS 攻擊全稱跨站腳本攻擊(Cross-Site Scripting)�,簡單的說就是攻擊者通過在目標網站上注入惡意腳本并運行�����,獲取用戶的敏感信息如 Cookie、SessionID 等���,影響網站與用戶數據安全。
XSS 攻擊更偏向前端的范疇�,但后端在保存數據的時候也需要對數據進行安全過濾�����。
原因
當攻擊者通過某種方式向瀏覽器頁面注入了惡意代碼,并且瀏覽器執行了這些代碼���。
比如:在一個文章應用中(如微信文章),攻擊者在文章編輯后臺通過注入script標簽及js代碼���,后端未加過濾就保存到數據庫,前端渲染文章詳情的時候也未加過濾�����,這就會讓這段js代碼執行�,引起 XSS 攻擊。
解決方案
一個基本的思路是渲染前端頁面(不管是客戶端渲染還是服務器端渲染)或者動態插入 HTML 片段時�,任何數據都不可信任�����,都要先做 HTML 過濾,然后再渲染���。
3、CSRF 攻擊
CSRF 攻擊全稱跨站請求偽造(Cross-site Request Forgery),簡單的說就是攻擊者盜用了你的身份���,以你的名義發送惡意請求�����。
原因
一個典型的 CSRF 攻擊有著如下的流程:
- 受害者登錄 a.com�����,并保留了登錄憑證(Cookie)
- 攻擊者引誘受害者訪問了 b.com
- b.com 向 a.com 發送了一個請求: a.com/act=xx(瀏覽器會默認攜帶 a.com 的 Cookie)
- a.com 接收到請求后�,對請求進行驗證�,并確認是受害者的憑證,誤以為是受害者自己發送的請求
- a.com 以受害者的名義執行了 act=xx
- 攻擊完成�,攻擊者在受害者不知情的情況下�,冒充受害者�,讓 a.com 執行了自己定義的操作
解決方案
防止 CSRF 攻擊需要在服務器端入手,基本的思路是能正確識別是否是用戶發起的請求�。
4�、DDoS 攻擊
DoS 攻擊全稱拒絕服務(Denial of Service)�����,簡單的說就是讓一個公開網站無法訪問���,而 DDoS 攻擊(分布式拒絕服務 Distributed Denial of Service)是 DoS 的升級版�。
這個就完全屬于后端的范疇了�����。
原因
攻擊者不斷地提出服務請求�,讓合法用戶的請求無法及時處理�,這就是 DoS 攻擊。
攻擊者使用多臺計算機或者計算機集群進行 DoS 攻擊,就是 DDoS 攻擊�。
解決方案
防止 DDoS 攻擊的基本思路是限流�,限制單個用戶的流量(包括 IP 等)�。
5. XXE 漏洞
XXE 漏洞全稱 XML 外部實體漏洞(XML External Entity),當應用程序解析 XML 輸入時,如果沒有禁止外部實體的加載���,導致可加載惡意外部文件和代碼,就會造成任意文件讀取���、命令執行、內網端口掃描���、攻擊內網網站等攻擊���。
這個只在能夠接收 XML 格式參數的接口才會出現�����。
解決方案
1�、禁用外部實體
2�、過濾用戶提交的XML數據
6、JSON 劫持
JSON 劫持(JSON Hijacking)是用于獲取敏感數據的一種攻擊方式���,屬于 CSRF 攻擊的范疇。
原因
一些 Web 應用會把一些敏感數據以 json 的形式返回到前端�,如果僅僅通過 Cookie 來判斷請求是否合法�����,那么就可以利用類似 CSRF 的手段,向目標服務器發送請求���,以獲得敏感數據。
比如下面的鏈接在已登錄的情況下會返回 json 格式的用戶信息:
http:
//www.test.com/userinfo
攻擊者可以在自己的虛假頁面中�,加入如下標簽:
<script
src
=
"http://www.test.com/userinfo"
></script>
如果當前瀏覽器已經登錄了www.test.com���,并且 Cookie 未過期�����,然后訪問了攻擊者的虛假頁面,那么該頁面就可以拿到 json 形式的用戶敏感信息,因為script標簽會自動解析 json 數據�����,生成對應的 js 對象���。然后再通過:
Object
.prototype.__defineSetter__
這個函數來觸發自己的惡意代碼�����。
但是這個函數在當前的新版本 Chrome 和 Firefox 中都已經失效了���。
解決方案
1�����、X-Requested-With 標識
2、瀏覽器 JSON 數據識別
3���、禁止 Javascript 執行 JSON 數據
7、暴力破解
這個一般針對密碼而言�,弱密碼(Weak Password)很容易被別人(對你很了解的人等)猜到或被破解工具暴力破解�����。
解決方案
1、密碼復雜度要足夠大�����,也要足夠隱蔽
2���、限制嘗試次數
8�、HTTP 報頭追蹤漏洞
HTTP/1.1(RFC2616)規范定義了 HTTP TRACE 方法,主要是用于客戶端通過向 Web 服務器提交 TRACE 請求來進行測試或獲得診斷信息���。
當 Web 服務器啟用 TRACE 時,提交的請求頭會在服務器響應的內容(Body)中完整的返回�����,其中 HTTP 頭很可能包括 Session Token���、Cookies 或其它認證信息�����。攻擊者可以利用此漏洞來欺騙合法用戶并得到他們的私人信息。
解決方案
禁用 HTTP TRACE 方法���。
9、信息泄露
由于 Web 服務器或應用程序沒有正確處理一些特殊請求�����,泄露 Web 服務器的一些敏感信息�����,如用戶名���、密碼�����、源代碼、服務器信息�����、配置信息等�����。
所以一般需注意:
- 應用程序報錯時,不對外產生調試信息
- 過濾用戶提交的數據與特殊字符
- 保證源代碼、服務器配置的安全
10、目錄遍歷漏洞
攻擊者向 Web 服務器發送請求�,通過在 URL 中或在有特殊意義的目錄中附加../���、或者附加../的一些變形(如..或..//甚至其編碼)�����,導致攻擊者能夠訪問未授權的目錄�����,以及在 Web 服務器的根目錄以外執行命令。
11、命令執行漏洞
命令執行漏洞是通過 URL 發起請求�����,在 Web 服務器端執行未授權的命令���,獲取系統信息���、篡改系統配置���、控制整個系統�、使系統癱瘓等。
12�����、文件上傳漏洞
如果對文件上傳路徑變量過濾不嚴���,并且對用戶上傳的文件后綴以及文件類型限制不嚴���,攻擊者可通過 Web 訪問的目錄上傳任意文件�����,包括網站后門文件(webshell),進而遠程控制網站服務器�。
所以一般需注意:
- 在開發網站及應用程序過程中,需嚴格限制和校驗上傳的文件,禁止上傳惡意代碼的文件
- 限制相關目錄的執行權限���,防范 webshell 攻擊
13、其他漏洞
1�����、SSLStrip 攻擊
2、OpenSSL Heartbleed 安全漏洞
3���、CCS 注入漏洞
4、證書有效性驗證漏洞
14、業務漏洞
一般業務漏洞是跟具體的應用程序相關��,比如參數篡改(連續編號 ID / 訂單����、1 元支付)、重放攻擊(偽裝支付)�����、權限控制(越權操作)等�����。
15��、框架或應用漏洞
- WordPress 4.7 / 4.7.1:REST API 內容注入漏洞
- Drupal Module RESTWS 7.x:Remote PHP Code Execution
- SugarCRM 6.5.23:REST PHP Object Injection Exploit
- Apache Struts:REST Plugin With Dynamic Method Invocation Remote Code Execution
- Oracle GlassFish Server:REST CSRF
- QQ Browser 9.6:API 權限控制問題導致泄露隱私模式
- Hacking Docker:Registry API 未授權訪問
如果你在計算機論文寫作方面遇到問題可以找我溝通!
rupal 8現在適合現代PHP標準��、面向對象編程和Symphony 2框架的基本因素����。Drupal 8對面向對象概念的集成幫助開發人員重用和維護在過程編程中不可能的代碼����。由于新的升級,Drupal 8的后端變得強大�����,可以提升頁面緩存�����。
為了考慮在CMS開發中使用這個流行的框架�����,我們已經匯編了一個您需要了解的所有特性的列表��。
1.用細枝改進主題
小枝是Drupal 8中添加的一個基于PHP的快速、靈活��、安全的模板引擎����。通過提供安全和極快的功能,Twig的加入使得開發人員很容易用Drupal創建一個網站��。在Drupal 8中��,有了Twig��,你可以獲得一個全新的主題化方法。對于任何非PHP熟練用戶來說��,在Drupal網站中管理主題變得比以往任何時候都更容易�����。
2.多語言能力
Drupal 8加載了多種內置語言,為使用Symphony的用戶節省了時間和精力,Symphony有一個叫作翻譯的底層元素,可以創建多語言網站����,幫助你用多種語言展示網站內容�����。使用Symphony,您可以翻譯從內容到塊��、菜單到分類的所有內容����。您甚至可以翻譯網站上的用戶配置文件、圖像樣式�����、視圖�����、文本格式�����、注釋和提要。簡而言之,Drupal 8提供了整個網站的翻譯��。
3.大管道模塊
Drupal 8的發布提高了Drupal的水平��,因為新版本集成了BigPipe模塊�����。臉書發明了BigPipe它已經成為最快頁面加載最流行的方法����。在Drupal 8中,您會發現BigPipe是一個獨立的模塊,可以為您提供更好的用戶體驗����。它現在是Drupal 8不可分割的一部分�����,不同于它以前的版本,因為您不必通過Drupal核心手動啟用它。
4.Drupal 8有了HTML 5的新翅膀
Drupal 8現在有了最好的HTML版本。HTML5提供了一種簡化的語法來幫助您分發干凈的代碼����。我們可以說��,Drupal 8的跨瀏覽器能力歸功于HTML 5����。HTML 5的加入也有助于搜索引擎輕松閱讀代碼�����,提高網站的搜索引擎優化排名?����,F在,您可以輕松添加信息、電子郵件�����、聯系信息等字段�����。
5.高級配置管理
在Drupal 7中,許多開發人員都面臨著配置管理問題。Drupal 8以一種獨特的方式存儲站點的配置數據����。在配置系統的開發工作流中使用了Git和Drush這樣的工具��。內置表單管理管理用戶界面提供的站點配置。您可以以簡單的配置模式存儲內容�����、緩存����、狀態、結構和會話等數據�����,并輕松導入和導出所需的功能�����。
6.簡化的創作體驗
DRUPAL 8現在由內容編輯器��、所見即所得編輯器和DRUPAL中的CKEditor組成,幫助您管理網站的內容和工作流����。就地編輯功能對內容編輯器非常有幫助��,使任何內容創建者都可以編輯任何頁面的文本��,而無需切換到完整的編輯表單?�,F在,用戶可以在很短的時間內輕松創建草稿����。
7.視圖是Drupal核心的一部分
視圖是任何網站項目不可或缺的一部分��。默認情況下,它在Drupal中可用�����,大多數Drupal管理屏幕使用視圖來使它們易于定制��。在新的Drupal 8特性中����,Views現在已經與Drupal 8核心緊密集成�����。Drupal 8的首頁和管理頁面現在是視圖����,可以幫助你快速創建頁面、塊��、管理部分等����。,并毫不費力地修改現有的����。
8.內置網絡服務
現在網絡服務更重要了。網絡服務現在已經成為Drupal 8不可或缺的一部分����,因為它將自己用作數據源����,并將內容顯示為JSON或XML����。您可以使用前端來發布數據,并且可以在Drupal 8中實現超文本應用程序語言(HAL)來盡可能地簡化網絡服務��。
9.移動-從一開始就優先
Drupal 8中的內置主題響應迅速��,管理主題適應不同的屏幕大小�����。您有一個“返回站點”按鈕來幫助用戶返回首頁。這些桌子適合任何屏幕尺寸和小工具,而且新的管理工具在移動設備上運行良好����。
10.更好地支持可訪問性
Drupal 8提供了對行業標準可訪問性技術的訪問����,比如WAI-ARIA��。ARIA實時公告應用編程接口和選項卡管理器����,為廣泛的互聯網應用程序提供控制��。更好的字體大小、調整的顏色對比、jQuery用戶界面的自動完成和模態對話框等功能使Drupal 8成為一個易于使用的內容管理系統��。
11.新字段
字段被稱為Drupal內容管理系統的構建模塊��。Drupal 8現在在Drupal 8核心中有了新的字段類型��,命名為日期、電子郵件�����、鏈接�����、引用�����、電話。Drupal 8還使您能夠在更多的地方添加字段��,如節點�����、塊��、注釋、聯系人表單、分類術語和用戶。
12.導游
新加入Drupal��?現在����,您可以使用鏈接“tour”進行游覽,一個彈出窗口將會出現��,幫助您了解Drupal 8的獨特功能是如何工作的。這個用戶友好的特性是有益的,因為它允許開發人員了解如何開發內容管理系統�����。
13.加載速率
Drupal 8不會不必要地加載JavaScript并緩存所有實體����。意思是����,當一個頁面被查看時,沒有必要再次重新加載內容����。一旦您配置并啟用了它����,緩存就完全自動了�����。
14.行業標準
Drupal 8完全符合最新的PHP 7標準�����,如PSR-4、名稱空間和特性����。Drupal 8使用頂級的��、優秀的外部庫,如PHPUnit�����、Guzzle�����、Composer、Zend Feed Component����、Assetic等�����。
15.自動JavaScript測試
自動化測試在以前的Drupal版本中是不可能的。在Drupal 8中,JavaScript (JS)自動化測試現在已經成為可能�����,測試人員可以自動測試JavaScript前端�����,以幫助他們節省時間����,讓持續集成變得更加容易����。
16.響應圖像
在Drupal 7中,圖像樣式是自動調整圖像大小的核心�����。在Drupal 8中��,用戶可以為個人照片選擇不同的類型。您可以為不同的設備尺寸使用不同的樣式和尺寸。
18.自動包裝
在Drupal 8中,您不必手動創建單獨的功能����。自動打包功能分析您的網站�����,您的網站配置被打包成一組功能��。
19.內置互操作性
在Drupal 8中,您可以混合和匹配設置為其他特性的特性。默認情況下,Drupal 8提供已配置的插件來幫助您構建特性的最佳實踐,這些特性將為互操作性打開新的可能性��。
20.對功能機的支持
在Drupal 8中����,特性或捆綁包不限于特定的特性。現在����,功能支持包-共享一個名稱空間的功能集����。
21.媒體庫
Drupal用戶一直在尋找媒體處理功能����。在Drupal 8中,你會發現它的核心有一個“媒體庫”模塊。媒體處理功能是核心�����,因此您必須啟用該模塊�����。
22.演示數據
在Drupal 8中,您可以安裝Drupal并獲得一個完整的演示站點來探索����。如果您正在安裝瀏覽器��,您將看到一個新選項:“演示:鮮味美食雜志”。您還會發現幾個用實例視圖創建的登錄頁面��,看起來比簡單的Drupal安裝好得多����。
結論
這些是Drupal 8中新增的一些功能。我們希望您會發現這些功能很有幫助,并能夠創建您的內容管理系統����。這些特性也是您應該將您的Drupal版本升級到Drupal 8的原因�����。
