2010年1月12日上午7點鐘開始，全球最大中文搜索引擎百度”遭到黑客攻擊，長時間無法正常訪問。這是自百度建立以來，所遭遇的持續時間最長、影響最嚴重的黑客攻擊。回顧2010年，猖獗的WEB 零日漏洞攻擊似乎預示著，2011年又將是一個WEB 零日漏洞活躍的年份。各種安全漏洞的傳播仍將繼續擴大，僵尸網絡還將活躍并更加頻繁變換方位，而黑客也將繼續絞盡腦汁發明新的方式，以試圖逃過各種安全軟件的過濾。為此，杭州安恒信息技術有限公司攻防實驗室結合自身研究成果總結并發布2010-2011 Web 零日漏洞安全報告，從而呼吁整個互聯網關注Web時代信息安全的全新威脅及趨勢走向。

本期報告主要內容：

• 2010-2011Web安全事件回顧
• 2010-2011Web 0day回放
• Web安全未來發展趨勢與挑戰

2010-2011Web安全事件回顧：

2011-3月MYSQL.com和sun.com被入侵

攻擊者通過MySQL.com上查看用戶的頁面進入，獲取到了數據庫、表及存儲用戶密碼的dump數據。更嚴重的是，攻擊者將用戶密碼數據公布在網上讓其他人進行破解。更糟糕的是MySQL產品負責人的密碼已被破解（竟然是4位數字：安全意識）。

2011-4月，索尼數據服務器被入侵

日本索尼公司5月1日在東京舉行新聞發布會，就公司網絡游戲用戶個人信息遭竊一事表示道歉，承認1000萬張信用卡資料可能外泄，已邀請美國聯邦調查局(FBI)展開調查。

2011-6月Google Gmail郵箱被攻擊

當Gmail用戶打開帶有Flash漏洞攻擊代碼的惡意網頁時，Gmail郵箱中將被黑客偷偷添加一個“間諜”帳戶。這個“間諜”帳戶不僅可以閱讀所有郵件，甚至還能冒充Gmail郵箱的主人向外發送郵件，從而使黑客達到發布惡意廣告、欺詐信息等目的。
Flash被廣泛應用在網頁視頻、網頁游戲等領域，國內幾乎90%以上的電腦都安裝了Adobe Flash Player。同時，Gmail在國內也擁有大量忠誠用戶。因此，Flash“間諜”漏洞的曝光將對Gmail郵箱安全造成極大威脅。

2011-6月新浪微博遭黑客攻擊

圖片為引入的蠕蟲JS文件：
 

6月28日晚，許多新浪微博用戶的微博賬號突然間大爆發，短時間內發布了多條帶有短鏈接的微博并對粉絲發同類私信。這其中不乏加V認證的用戶。而粉絲們收到該微博內容后，受微博或私信中誘惑性文字的誘導，點擊該鏈接后，這一批用戶也遭受感染，進行批量發布帶有惡意短鏈接的微博。據分析，此次新浪微博大范圍遭受XSS攻擊，主要原因是新浪微博的名人堂過濾不嚴，導致執行跨站腳本。當用戶點擊該惡意鏈接后，蠕蟲病毒就通過這些用戶繼續的進行傳播，通過執行腳本，令受感染的微博帳號發布如下帶有誘惑性字樣的微博正文，并附上短鏈接：

郭美美事件的一些未注意到的細節；

建黨大業中穿幫的地方；

讓女人心動的100句詩歌；

3D肉團團高清普通話版種子；

這是傳說中的神仙眷侶啊；

驚爆！范冰冰艷照真流出了；

楊冪被爆多次被潛規則；

傻仔拿錘子去搶銀行；

可以監聽別人手機的軟件；

個稅起征點有望提到4000。

以上均為當前熱門話題，對用戶很具有誘導性。尤其是眾多加V認證的用戶受到感染，發布相關微博內容后，病毒傳播的途徑更為廣泛，影響更為嚴重。在不到一個小時的時間，已經有超過3萬用戶中招。

2010-2011Web 0day回放：

2010-5月nginx文件類型錯誤解析漏洞

漏洞分析：nginx默認以cgi的方式支持php的運行，譬如在配置文件當中可以以
location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}
的方式支持對php的解析，location對請求進行選擇的時候會使用URI環境變量進行選擇，其中傳遞到后端Fastcgi的關鍵變量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name決定，而通過分析可以看到$fastcgi_script_name是直接由URI環境變量控制的，這里就是產生問題的點。而為了較好的支持PATH_INFO的提取，在PHP的配置選項里存在cgi.fix_pathinfo選項，其目的是為了從SCRIPT_FILENAME里取出真正的腳本名。

2010-7月Struts2/XWork < 2.2.0遠程執行任意代碼漏洞

Struts2的核心是使用的webwork框架，而webwork又是使用的XWork來處理action的，并且通過調用底層的getter/setter方法來處理http的參數，它將每個http參數聲明為一個ONGL（這里是ONGL的介紹）語句。當我們提交一個http參數：
user.address.city=Bishkek&user['favoriteDrink']=kumys
ONGL將它轉換為：
action.getUser().getAddress().setCity("Bishkek")
action.getUser().setFavoriteDrink("kumys")
這是通過ParametersInterceptor（參數過濾器）來執行的，使用用戶提供的HTTP參數調用ValueStack.setValue()。
除了支持參數的設置和讀取，ONGL支持另外一些session、scope等等，而且ONGL支持調用java靜態方法，這樣子就可以成功進行調用java靜態方法來進行攻擊，比如調用java.lang.RunTime. getRuntime().exec()來執行命令

2010-9月ASP.NET的Padding Oracle Attack漏洞

ASP.net中引入資源文件(JS等)，通常使用了WebResources.axd?d=xyz來實現的。WebResource.axd有一個特點，便是會對錯誤的密文（即d=xyz中的xyz）產生500錯誤，而對正確的密文產生404錯誤，這便形成了足夠的提示。 通過窮舉破解出站點的Machine Key，也就是網站所使用的密鑰，就可以下載網站私密文件(web.config)或者修改ViewState等等 。

2011-3月Resin Web服務器解析漏洞

安恒安全團隊研究發現：Resin 在處理servlet mapping時支持使用正則表達式來進行處理，將url-pattern轉化為正則表達式的時候沒有進行安全校驗，并且在進行正則表示匹配的時候使用的匹配方式是匹配輸入串中與模式匹配的子串，結合上面點，攻擊者能夠構造特殊的url來使得web服務器調用特定的servlet來進行解析，從而產生解析漏洞。

2011-3月Yahoo Mail跨站漏洞

安恒安全團隊研究發現：Yahoo Mail XSS漏洞，利用跨站漏洞可以成功劫持受害者瀏覽器。
 

2011-3月21CN Mail跨站漏洞

安恒安全團隊研究發現：21CN XSS漏洞，利用跨站漏洞可以成功劫持受害者瀏覽器。
 

2011-3月中國移動139Mail跨站漏洞

安恒安全團隊研究發現：139mail XSS漏洞，利用跨站漏洞可以成功劫持受害者瀏覽器。
 

2011-4月網易旗下163Mail跨站漏洞

安恒安全團隊研究發現：網易旗下所有郵箱系統 XSS漏洞，利用跨站漏洞可以成功劫持受害者瀏覽器。
 

2011-4月 QQMail跨站漏洞

安恒安全團隊研究發現：騰訊QQ MAIL XSS漏洞，利用跨站漏洞可以成功劫持受害者瀏覽器。
 

2011-4月HOT Mail跨站漏洞

HOT MAIL XSS漏洞，利用跨站漏洞可以成功劫持受害者瀏覽器。
 

2011-5月阿里旺旺遠程ActiveX溢出0DAY

安恒安全團隊研究發現：淘寶阿里旺旺的一個dll中的圖像文件名函數存在一個棧溢出漏洞，可以遠程執行任意代碼；imageMan.dll的圖像文件名函數存在一個棧溢出漏洞，可以執行任意代碼。

2011阿里旺旺在本地開啟一個隨即端口開放http服務,并在所有IP上監聽，并通過此端口獲得用戶認證的token，通過獲得的token可直接登陸網站。獲得監聽端口的token需要對應的URL，而此URL可很容易猜解到。導致可通過遠程獲得目標token，并登陸網站。

圖為2011-5月 阿里旺旺token劫持漏洞：
 

2011-7月Nginx %00空字節執行任意代碼(php)漏洞

Possible Arbitrary Code Execution with Null Bytes, PHP, and Old Versions of nginx

Ngnix在遇到%00空字節時與后端FastCGI處理不一致，導致可以在圖片中嵌入PHP代碼然后通過訪問xxx.jpg%00.php來執行其中的代碼
In vulnerable versions of nginx, null bytes are allowed in URIs by default (their presence is indicated via a variable named zero_in_uri defined in ngx_http_request.h).
Individual modules have the ability to opt-out of handling URIs with null bytes. However, not all of them do; in particular, the FastCGI module does not.

2011-8月Apache HTTP Server畸形Range選項處理遠程拒絕服務漏洞

Apache HTTP Server是Apache軟件基金會的一個開放源代碼的網頁服務器，可以在大多數電腦操作系統中運行，由于其跨平臺和安全性被廣泛使用，是最流行的Web服務器端軟件之一。

Apache HTTP Server在處理Range選項生成回應時存在漏洞，遠程攻擊者可能利用此漏洞通過發送惡意請求導致服務器失去響應，導致拒絕服務。此漏洞源于Apache HTTP Server在處理Range頭選項中包含的大量重疊范圍指定命令時存在的問題，攻擊者可通過發送到服務器的特制HTTTP請求耗盡系統資源，導致Apache失去響應，甚至造成操作系統資源耗盡。

2011-8月phpMyAdmin跟蹤功能多個跨站腳本漏洞

phpMyAdmin存在多個安全漏洞，允許惡意用戶進行腳本注入攻擊。

部分傳遞給table, column和index名的輸入在跟蹤功能中使用前缺少過濾，可被利用注入任意HTML和腳本代碼，當惡意數據被查看時可以目標用戶瀏覽器安全上下文執行惡意代碼。

Web安全未來發展趨勢與挑戰

• 常規的、為大眾所認同的注入、跨站等攻擊技術現在普遍越來越少，導致對于安全級別較高的Web應用發起攻擊比以前苦難很多。
• 隨著攻擊者對于Web應用的研究越來越深入，新的0day將會被越來越多的發掘出來，至此一些大型的Web應用，商業級別和安全性較高的站點都會因為源代碼被竊取，或者反編譯等手段，使得Web應用0day的挖掘會越來越多。
• 保障Web安全，就不得不保障源代碼的安全，對發布的Web應用都需要進行加密保護。
• 傳統的攻擊技術，成功攻擊網站的案例越來越少，隨著安全意識的整體提升，傳統的基于輸入、輸出的過濾會越來越嚴格，但是web應用的邏輯漏洞確是不能被忽略的。
• 另外隨著Web應用的發展，Web的功能越來越強勁，對于SNS社區的發展，人與人之間的交流愈發頻繁，相反的攻擊發生的概率也會越高，尤其是基于Web系統邏輯功能API的調用攻擊(CSRF)，在輔予社會工程學的技術，攻擊也依然會無所不能。
• 核心互聯網應用面臨嚴峻挑戰。網上銀行、網上營業廳、網絡購物、網游、DNS服務器等，很多惡意攻擊者出于不良的目的對Web 服務器進行攻擊，想方設法通過各種手段獲取他人的個人賬戶信息謀取利益。