云盾WAF实现虚拟补丁——记一起Web漏洞应急响应

来自真实案例的虚拟总结。见招拆招,而且还得以最快的速度完成,云盾WAF扛得起!

忧伤的周六早晨

“云盾.先知”的渗透测试服务到底靠不靠谱?今年8月,在公司领导的授权下,我们充值体验了一把。答案是:先知白帽子的渗透测试水平杠杠的。周六大清早的,就给我们送来一份大礼:“远程代码执行漏洞”!

先知平台白帽子黑客通过平台向我们提交了一个非常严重的漏洞:公司某外部合作平台在用的低版本PHPWind BBS存在严重安全漏洞,导致外部攻击者可直接利用漏洞执行系统命令。

漏洞信息请参考:https://www.secpulse.com/archives/44006.html。

冷静,冷静再冷静

当时,团队成员的心情可谓一波三折。首先是心已冷:“完了,被拿了shell,安全没做好,怎么跟老板交差……”;紧接着就是自我安慰:“毕竟是通过先知平台发现的漏洞,庆幸没有栽在真正的黑客手里啊!”;再后来就是:“这么严重的漏洞,我们得尽快启动漏洞响应流程进行修复处置。问题是,这大周六的,咱能叫得起开发吗?就算修复升级也没这么快啊,公司发布流程走一遍也不知道是猴年马月……”

理论上说,从漏洞被发现到实际修复为止,暴露的时间越长对公司安全越不利。万一有攻击者在这个时间窗口成功利用了该漏洞,后果不堪设想。

在联系完开发人员并冷静思考之后,我们意识到要完成这个漏洞的修复,远没有我们想象的那么简单,原因是:

  • 首先这是一个PHPWind BBS的PHP漏洞(废话)
  • 公司最后一名PHP工程师已经离职,目前都是Java栈技术团队(那上面就不是废话了)
  • 公司论坛已经很久没有升级,标准修复措施是升级版本
  • 公司的论坛是在开源代码基础上进行二次开发的,无法直接使用官方升级包
  • 就算系统能够升级,标准的修复、测试、备份、发布和验证流程根本无法实现满足该漏洞对应的时效性要求

后背一阵冷汗,现在该怎么办?

借助云盾WAF实现虚拟补丁临时缓解漏洞

庆幸的是,该BBS早先已经接入了阿里云WAF保护。因此,安全团队可以通过WAF配置相应的规则,制作虚拟补丁,临时缓解该漏洞的影响。

我们认真地分析了该漏洞的原理和利用过程,发现:漏洞利用过程中必须请求一次特定URL才能实现,即:http://bbs.example.com/plugin.php?H_gate=vendor 。该URL是一个供应商信息列举的插件,即使无法使用,也不影响正常的业务。基于该URL的规则,安全团队判定:可以通过WAF实现虚拟补丁拦截。

进入云盾WAF配置界面

登录阿里云控制台,通过导航菜单【安全(云盾)】|【Web应用防火墙(网络安全)】|【域名配置】找到当前服务器的域名bbs.example.com。

配置WAF防护策略

通过点击域名bbs.example.com作用域内的【安全开关】|【防护配置】的超链接,进入WAF配置界面。

WAF产品支持多个维度的安全防护,包括:

  • Web应用攻击防护
  • 恶意IP惩罚
  • CC安全防护
  • 大数据深度学习引擎
  • 精准访问控制
  • 封禁地区
  • 新智能防护引擎
  • 网站防篡改
  • 数据风控
  • 防敏感信息泄漏

ps:流量经过Web应用防火墙时,首先依次匹配精准访问控制中的规则、再进行CC攻击的检测、最后进行Web应用攻击防护,配置各类规则时请注意内在顺序。

本次虚拟补丁配置需要用到【精准访问控制】,所以该功能务必处于开启状态。在该功能已经开启的前提下,点击超链接【前去配置】。

进入配置界面,直接点击【新增规则】,在弹出的对话框中进行URL匹配及拦截配置。针对本次漏洞利用的关键URL:http://bbs.example.com/plugin.php?H_gate=vendor, 为降低拦截的误判率,设置规则如下:

  • 规则名称:Web漏洞虚拟补丁
  • 匹配条件:字段URL包含plugin.php
  • 匹配条件:Params包含H_gate=vendor
  • 匹配动作:阻断

填写完规则后,点击【确定】,完成规则配置,规则即时生效。

关键匹配字段说明

在配置界面【匹配字段】后的信息图表上悬停鼠标,系统会提示可用的匹配字段,包括:

  • IP
  • URL
  • Referer
  • User-Agent
  • Params
  • Cookie
  • Content-Type
  • X-Forwarded-For
  • Content-Length
  • Post-Body

各字段形象化的映射关系如下:

ps:匹配中规则后的动作有三种:阻断、放行(可选择后续是否继续进行Web攻击拦截或CC攻击)、告警(只记录不阻断)。规则之间是有先后匹配顺序的,可点击规则排序达到最优的防护效果。

验证拦截效果

完成WAF配置后,访问触发漏洞的URL:http://bbs.example.com/plugin.php?H_gate=vendor ,浏览器直接提示访问请求已经被阿里云WAF拦截,bingo!

后续

安全团队除了通过WAF制作虚拟补丁,临时缓解漏洞影响,实际在漏洞响应过程中之执行了如下动作:

  • 对网站代码和Web服务器进行深入安全调查
  • 确保本次白帽子发现漏洞之前,该漏洞不曾被黑客利用
  • 找到开发大牛,对PHP代码漏洞进行修复并发布上线
  • 增强服务器安全监控,部署阿里云安骑士客户端
  • 彻查公司内部同类开源项目的版本及漏洞情况
  • 制定Web安全漏洞测试规范
  • 重新评估网站的综合安全性
  • 将先知安全众测列入下一阶段工作计划

安全从来就不是单一环节的问题,从业人员必须能够从一个点看到多个层面的问题,从而有效提升企业信息系统的整体安全行,并将安全运营带入正轨!

总结

云盾WAF产品总体功能强大,能够满足绝大多数中小企业的Web应用安全防护。本文只是从一起漏洞应急案例介绍了:如何在极短的时间内通过阿里云云盾产品Web应用防火墙WAF制作虚拟补丁,临时缓解Web漏洞的影响。

本期分享到此为止。抛砖引玉,期待与业界同仁碰撞思想,一起成长。

时间: 2024-10-25 16:27:10

云盾WAF实现虚拟补丁——记一起Web漏洞应急响应的相关文章

游戏安全资讯精选 2017年第十二期 挖矿软件WaterMiner潜伏在《侠盗猎车手》,Carbon Black预测勒索软件市场增长了2502%,如何用云盾WAF实现虚拟补丁

[本周游戏行业DDoS攻击态势] [游戏行业安全动态] 挖矿软件WaterMiner潜伏在<侠盗猎车手> 点击查看原文 WaterMiner会嵌入到游戏模块中,当用户下载模块,恶意软件就会随之入侵,还可以逃避任何监视工具. WaterMiner的压缩文件会被托管在Yandex.Disk上,Yandex.Disk相当于是俄罗斯的Google.压缩文件提供了所宣称的修改功能,然而,在数十个文件中,它包含一个名为"pawncc.exe"的文件,如下图所示.一旦下载开始执行, &q

实力亲测 | 如何用云盾WAF做漏洞急救

本文实测用云盾WAF实现虚拟补丁.当遇到Web漏洞的时候,安全负责人和运维人员可以用来"见招拆招"啦.忧伤的周六早晨 "云盾.先知"的渗透测试服务到底靠不靠谱?今年8月,在公司领导的授权下,我们充值体验了一把.答案是:先知白帽子的渗透测试水平杠杠的.周六大清早的,就给我们送来一份大礼:"远程代码执行漏洞"! 先知平台白帽子黑客通过平台向我们提交了一个非常严重的漏洞:公司某外部合作平台在用的低版本PHPWind BBS存在严重安全漏洞,导致外部攻击

深入浅出,解读阿里云云盾WAF防护功能

深入浅出,解读阿里云云盾WAF防护功能 在我第一天接触安全时,就被告之,没有绝对的安全,再经过一段时间深入学习后,又深刻的体会到,安全是以牺牲效率为代价的.想要既高效又安全,就需要有超强的处理性能.现在看来,要让安全真正起到其应有的作用,关键要看应用.以WAF为例,在当今的企业安全框架下,企业不但想要能看清楚访问我这个人是谁,还可以知道这个人在干些什么,正常访问的我们开门欢迎,搞破坏.偷东西的拒之门外.那么,云WAF安全技术在云计算的网络系统中,是如何实现的呢?下面让我来具体分析一下,如何通过云

阿里云云盾WAF获年度云安全产品及服务大奖

12月29日,第二届FreeBuf互联网安全创新大会暨WitAwards颁奖典礼评选在上海国际会议中心举办.WitAwards颁奖典礼评选中,阿里云Web应用防火墙获"2016年度云安全产品及服务大奖".   阿里云云盾Web应用防火墙,是阿里云基于10余年攻防经验自主研发的安全产品, 也是业界首款提供业务风控解决方案.全版本支持自定义证书HTTPS服务和双引擎Web应用攻击防护的云WAF. 为什么获奖的是阿里云云盾WAF? 12月初,阿里云云盾Web应用防火墙在WitAwards大众

云应急响应和取证:企业须知

随着业界持续向云端迁移,安全实践者不仅仅需要保护云实现的安全,还需要在上线后能够做出应急响应和取证.很多企业已经在以一种或者另外的格式使用云,这取决于服务模型--基础架构即服务,软件即服务或者平台即服务--需要按需采用对应的应急响应和取证调查流程来支持云计算服务.本文调研了实现云应急响应和取证的注意点和好处. 云应急响应:让我们开始吧 迁移到某个云服务供应商的时候,需要做的第一件事情是评估企业当前拥有的东西,以及迁移到云端将如何改变自己的应急响应和取证流程.在云上执行这些流程是一个全新的领域,需

安全有道之“一秒感知、两秒阻断,看云盾如何为互联网金融保驾护航”

互联网金融的安全现状   从互联网金融业务的架构来说,基本上会按照从客户端的接入到网络层,运营商的链路,到应用层,再到数据存储的层面.所有的业务都是按照这个流程走下来的,整个流程里会遇到很多问题,比如在云计算出口的位置会遇到DDoS攻击.CC攻击,还有Web应用攻击.   互联网金融的业务风险   从互联网金融的业务风险来说,首先要考虑移动APP的安全,然后对APP的漏洞.病毒木马.仿冒行为做检查.在云上也要考虑在线的业务,其中涉及到DDoS攻击.黑客入侵,还有业务欺诈.数据泄露等等.   DD

Win8机型预装联想云盾无法卸载

  故障现象: IdeaPad U310 U410 S300 S400预装联想云盾软件无法卸载,联想卸载提示报错"502 Bad gateway"或其他情况导致无法卸载. 原因分析: 解决方案: 请下载附件中的"离线卸载工具"进行卸载即可,如附件操作: 1. 解压附件,鼠标右键点击"ATUninstaller.exe"以管理员身份运行. 2. 弹出提示,点击"卸载",将云盾卸载即可.

蜂巢安全管家云盾指数是什麼意思?

  「云盾指数」是通过蜂巢安全管家独有的专利技术计算的指数,它没有采用传统的病毒木马监测方法,而是突破性的采取了新的算法,所以对防范未知病毒木马有很好的参考作用.指数的高低直接反应了相关档案被木马病毒感染的可能性,当「云盾指数」低于50%的时候,这个档案被感染的几率就变得很高,将建议进行云扫描.

阿里云独立IP海外虚拟主机低至0.8元/天!不限流量还送域名?

很多站长在建站的过程中,需要使用海外虚拟主机或者服务器Vps等,但是网络上的海外主机良莠不齐,速度慢就不说了,有一些还会丢数据,经常让站长朋友欲哭无泪. 国内的主机商里提供海外主机的不多,而且价格偏高,今天小编给大家推荐的是由阿里云提供的一款独立IP的香港美国独立IP虚拟主机,年付只要298元.不限流量还送域名哦~~ 老规矩,首先一波福利送出,使用阿里云幸运券购买阿里云服务享受优惠价7折起. 阿里云–幸运券: https://promotion.aliyun.com/ntms/act/ambas