安基网 欢乐生肖 资讯 安全报 查看内容

FUSE:23个Web应用中的30个文件上传漏洞

2020-3-7 15:40| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 通过使用一个自动化测试工具包,来自韩国的安全研究人员发现了23个Web应用(论坛、CMS等)所涉及的文件上传机制中的30个漏洞。这些真实Web应用中的上传漏洞可帮助黑客通过文件上传功能将恶意文件植入受害者的服务器中。这些恶意文件可以在目标网站上执行系统命令,窃取敏感 ...

转载: nosec作者:iso60001

通过使用一个自动化测试工具包,来自韩国的安全研究人员发现了23个Web应用(论坛、CMS等)所涉及的文件上传机制中的30个漏洞。

这些真实Web应用中的上传漏洞可帮助黑客通过文件上传功能将恶意文件植入受害者的服务器中。

这些恶意文件可以在目标网站上执行系统命令,窃取敏感信息,影响现有的安全设置,充当后门,让黑客完全控制服务器。

测试工具

所有的文件上传漏洞都是通过FUSE发现的,FUSE是一种新型自动渗透测试工具,用于发现PHP应用程序中的UFU(不受限制的文件上传)和UEFU(不受限制的可执行文件上传)漏洞。

研究团队表示,在编写FUSE之前,他们分析了过去的文件上传漏洞,并确定了8种最常见的利用模式和技术。

FUSE由这八种模式以及研究团队新设计的五种变体组成(见下表中的M5、M7、M9、M10和M13)。

在他们编写完FUSE之后,研究团队选择了33个最流行的Web应用程序,包括各种论坛、CMS、企业产品和电子商店。

该研究团队由来自韩国先进科技学院(KAIST)和电子与电信研究所(ETRI)的学者组成,他们表示是在2019年2月左右利用FUSE对最新的Web应用进行测试的。

通过一系列自动请求,测试软件会试图将各种类型的恶意文件(PHP、JS、HTML、XHTML、htaccess)植入被测试的Web应用中。

KAIST和ETRI的研究人员表示,测试发现了30个文件上传漏洞,影响了他们所测试的33个Web应用中的23个。

并不是所有的漏洞都被修复了

由于测试是在2019年2月进行的,所以表格中可能包含已不是最新版本的的网络应用。不过研究人员表示,并非所有Web项目都修补了他们发现的漏洞,而且上面黄色高亮显示的一些项目可能仍然包含一个或多个文件上传漏洞。

“我们向相应的供应商报告了所有30个UEFU漏洞,并从9个Web应用中获得了15个CVE。”

目前5个供应商的8个漏洞已经被修补,还有5个漏洞所涉及的包括WordPress在内的4个供应商表示他们将立刻解决报告中的漏洞。

还有15个漏洞正在等待相应供应商的确认,两家供应商拒绝修补报告中的漏洞。

研究者还解释为什么有些供应商没有立刻提供补丁——或者完全拒绝提供补丁——因为30个漏洞中的14个需要管理员权限才能利用。很多网络项目并不认为这是风险,拥有管理员权限的黑客是可以“合法”地接管服务器。

尽管KAIST和ETRI的研究人员列出了包含漏洞的Web应用,但他们并没有列出哪些应用已打了补丁,哪些没有——这是为了防止攻击者针对那些尚未发布补丁的Web应用进行攻击。

如果你想知道更多的技术细节,可以查看研究小组的白皮书FUSE: Finding File Upload Bugs via Penetration Testing,你可以从这里和这里下载相关文件。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.zdnet.com/article/academics-find-30-file-upload-vulnerabilities-in-23-web-apps-cmses-and-forums/


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6800585187173335555/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
北京两步彩APP 海南4+1 北京幸运28 欢乐生肖 三分时时彩 福建快3走势 迪士尼彩乐园娱乐 吉林快3代理 五分时时彩 幸运飞艇官网