正文 

当前位置: 首页 > 代码 > java教程

漏洞防御与修复工作(代码片段)

legendjaking legendjaking     2023-02-26     303

关键词:

漏洞管理工作是企业安全建设必不可少的一环,在风险管理工作中,漏洞管理能够防患于未然,企业对漏洞管理有着广泛的基础建设和实践经验。但随着攻防技术的发展,传统漏洞管理的安全技术和管理过程,开始面对越来越多的挑战。怎样提高企业的漏洞管理水平成了安全管理人员需要去思考的问题。

技术分享图片
从内部来看,已经制定了漏洞管理制度,有专人负责漏洞扫描和修补,但出现紧急漏洞还是手忙脚乱,仍然是疲于应对不断发现的漏洞,在接受监管检查的时候总是有漏洞被发现。
从外部来看,漏洞已经成为当前IT领域的热门话题之一。首先,从攻防的不对等角度来说,攻击者对漏洞的利用早已形成了产业化,攻击者利用漏洞的时间窗远远小于防御者完成漏洞修复的时间窗。其次,随着信息技术的发展,大量应用的推广必然会带来大量的漏洞爆发。
怎样提高企业的漏洞管理水平成了安全管理人员需要去思考的问题,而漏洞管理中漏洞修复工作是尤其重要的。

一、漏洞修复现状

首先了解一下影响漏洞修复的几个主要原因:
企业随着业务的增长,资产数量也在疯狂的增长,外部漏洞披露逐年增多,导致企业漏洞数量也随之增多,漏洞修复速度远远达不到漏洞产生的速度,就会导致漏洞逐年积压,形成企业漏洞管理顽疾。
企业内部建立漏洞管理机制,但是漏洞管理很重要的一部分是流程管理环节,其中会涉及到企业内部众多部门协调工作,针对漏洞管理人员的职责不明确,缺乏领导人员监督执行。导致企业漏洞管理沦为纸上谈兵。
企业内部漏洞修复工作缺乏量化指标,导致漏洞修复成果不清晰,没有具体量化指标来约束负责漏洞管理工作的人员,也没有办法来奖励负责漏洞管理工作的人员,导致相关人员工作积极性下降。
漏洞修复工作涉及资产范围广,某些漏洞修复工作对技术要求高,运维人员修复难度大,需要更有效、更全面和更权威的漏洞解决方案来指导运维人员进行漏洞修复,依靠传统的技术很难完全覆盖所有的漏洞修复解决方案。

二、提高漏洞修复工作的方法

漏洞修复工作作为漏洞管理的核心,依靠传统的漏洞扫描设备或解决方案已不能满足当下漏洞修复遇见的问题,需要企业利用新的技术手段搭建适合自身漏洞管理现状的漏洞管理平台来实现漏洞管理工作,而在漏洞平台搭建中对于漏洞修复方面的建设可以考虑以下几个方向。

1. 漏洞修复优先级

在漏洞修复工作中引入漏洞修复优先级的概念,而漏洞修复优先级的参考因子可以有资产重要性、漏洞POC、资产防御情况、漏洞热度等,同时利用绝对条件的因数对漏洞进行过滤,绝对条件即为符合这类条件的漏洞如果按优先级评分来说只会有0或者100的两个极端分值,对于运维人员来说可以根据分值很好的去判断是否修复此类漏洞,一类是必须修复的情况:如面向互联网的重要资产发现可利用高危漏洞;一类是无法修复的情况:如内部进行物理隔离的核心业务系统。依据漏洞优先级评分来进行漏洞优先修复工作时,还需要对最终的优先级评分进行人工的修正,保证得出的优先级是具有参考价值的。漏洞修复优先级的概念是为了解决企业在面对大量漏洞的情况下,如何做到更好的利用企业资源优先处理紧急程度更高的漏洞。
技术分享图片

2. 漏洞修复流程优化

把漏洞修复流程的每个环节与响应人员进行绑定,不仅仅只限于不同运维人员或安全人员,同时还要要求相应的领导决策人员加入,提高漏洞修复响应的效率,同时监督漏洞修复流程的进行。
技术分享图片
漏洞修复流程必须严格明确:

(1) 漏洞发现阶段由企业安全人员进行,然后把发现的漏洞转送至相应资产运维人员;
(2) 漏洞处理阶段由运维人员进行,针对漏洞做出相应操作;
接受风险是运维人员根据实际情况进行判断,如业务影响情况、资产重要性等,运维人员可以手工把漏洞状态在待修复和接受风险之间进行转换。
单次忽略即为本次扫描忽略这个漏洞,但下次扫描还会扫出此漏洞,永久忽略即为以后永远忽略这个漏洞,除非人工进行漏洞转态转移到发现里面。
(3) 漏洞验证阶段为安全人员和运维人员相互配合;
当运维人员把待修复漏洞转换到已修复转态,安全人员必须要对漏洞修复情况进行复查,如果再次扫描发现漏洞依然存在,则归为修复失败,对于修复失败的漏洞要重新转换到漏洞发现状态。
如果再次扫描漏洞不存在,则归为已验证状态,同时如果后期多次扫描过程中因为资产本身变化导致漏洞复现,漏洞状态转换为再次发现,对于再次发现的漏洞要及时转至待修复状态。
(4) 在漏洞发现到漏洞修复的流程转换过程中,必须有领导决策人员知晓,以达到监督漏洞管理流程正常有效运转的目的;
(5) 同时定期输出漏洞修复情况报告给到领导决策人员,使其了解企业漏洞管理现状。
(6) 针对漏洞修复的各个转态转换进行追踪审计,记录修复时间、处理人员和处理反馈等。
3. 漏洞修复量化

在漏洞修复工作中把企业内部各部门或子公司做为一个漏洞修复统计对象,通过定期对修复成果进行统计,如修复漏洞数、修复漏洞耗时、修复漏洞成功率等,通过漏洞管理平台做统一展示、企业内部定期通报甚至或者引入绩效体系,利用漏洞修复量化的这样理念来提高漏洞修复人员的积极性,同时利用漏洞修复量化的方式使得企业管理者能清楚的了解当前漏洞管理状况,为漏洞管理的决策工作提供更好的依据。

4. 漏洞修复知识库

漏洞修复知识库的建立,一方面是为运维人员提供一个全面、权威和有效的漏洞修复指导方案库;另一方面也是保证漏洞修复工作能更有效进行,减少漏洞修复的失败率。漏洞知识库建立可以考虑三个方面入手,一是参考漏洞扫描设备的标准解决方案作为基础;二是利用多方威胁情报数据,录入更多的解决方案作为参考;三是人工定期整理已验证过的漏洞修复方案作为权威标准方案。











上传文件的漏洞复现与修复(代码片段)

本文只说一些我遇到过的上传文件的漏洞。毕竟漏洞太多,我又不可能全部发现。(安全方面的小菜鸟)可能你们的系统比较完善,针对这些漏洞,已有相应的防御手段。我们针对的是那种比较简单的系统ÿ... 查看详情

androidlaunchanywhere组件权限绕过漏洞(代码片段)

文章目录前言LaunchAnyWhereAccount管理机制历史漏洞原理分析漏洞的利用与防御BroadcastAnywhere漏洞具体原理分析漏洞官方修复方案总结前言AndroidAPP应用的攻击面多数集中在对外暴露(exported="true”)的四大组件(Activ... 查看详情

androidlaunchanywhere组件权限绕过漏洞(代码片段)

文章目录前言LaunchAnyWhereAccount管理机制历史漏洞原理分析漏洞的利用与防御BroadcastAnywhere漏洞具体原理分析漏洞官方修复方案总结前言AndroidAPP应用的攻击面多数集中在对外暴露(exported="true”)的四大组件(Activ... 查看详情

androidlaunchanywhere组件权限绕过漏洞(代码片段)

文章目录前言LaunchAnyWhereAccount管理机制历史漏洞原理分析漏洞的利用与防御BroadcastAnywhere漏洞具体原理分析漏洞官方修复方案总结前言AndroidAPP应用的攻击面多数集中在对外暴露(exported="true”)的四大组件(Activ... 查看详情

androidwebview历史高危漏洞与攻击面分析(代码片段)

...View基础极简Demo程序JS调用Android加载远程HTML接口攻击场景漏洞示例程序本地攻击程序url白名单校验代码执行漏洞JAVA反射机制历史漏洞POC漏洞修复方案跨域访问漏洞File协议风险通用协议风险漏洞防御策略总结前言WebView是Android系... 查看详情

androidwebview历史高危漏洞与攻击面分析(代码片段)

...View基础极简Demo程序JS调用Android加载远程HTML接口攻击场景漏洞示例程序本地攻击程序url白名单校验代码执行漏洞JAVA反射机制历史漏洞POC漏洞修复方案跨域访问漏洞File协议风险通用协议风险漏洞防御策略总结前言WebView是Android系... 查看详情

cve-2019-14287漏洞与修复过程(代码片段)

CVE-2019-14287漏洞与修复过程CVE-2019-14287漏洞展示修复漏洞CVE-2019-14287漏洞CVE-2019-14287本地提权漏洞,漏洞因为是Sudo<1.8.28,只需要升级sudo>1.8.28的就可以修复完成展示使用root用户修改权限文件:vim/etc/sudoers,添加... 查看详情

ssrf漏洞原理攻击与防御(超详细总结)(代码片段)

SSRF漏洞原理攻击与防御目录SSRF漏洞原理攻击与防御一、SSRF是什么?二、SSRF漏洞原理三、SSRF漏洞挖掘四、产生SSRF漏洞的函数五、SSRF中URL的伪协议六、SSRF漏洞利用(危害)七、SSRF绕过方式八、SSRF漏防御提示:以... 查看详情

csrf攻击原理及防御和相关漏洞复现(代码片段)

文章目录CSRF攻击原理及防御和相关漏洞复现CSRF攻击原理及过程:过程原理:CSRF防御1.验证HTTPreferer字段2.加验证码验证tokenDVWA靶机Low没有任何验证,所以直接将连接使用短连接生成器生成短链。源码:Medium源码... 查看详情

csrf攻击原理及防御和相关漏洞复现(代码片段)

文章目录CSRF攻击原理及防御和相关漏洞复现CSRF攻击原理及过程:过程原理:CSRF防御1.验证HTTPreferer字段2.加验证码验证tokenDVWA靶机Low没有任何验证,所以直接将连接使用短连接生成器生成短链。源码:Medium源码... 查看详情

从零学习安全测试,从xss漏洞攻击和防御开始(代码片段)

WeTest导读本篇包含了XSS漏洞攻击及防御详细介绍,包括漏洞基础、XSS基础、编码基础、XSSPayload、XSS攻击防御。  第一部分:漏洞攻防基础知识 XSS属于漏洞攻防,我们要研究它就要了解这个领域的一些行话,这样才好... 查看详情

记录第一次awdplus线下--“陇警杯”(代码片段)

...采用动态攻防兼备的比赛模式,综合考核参赛战队的漏洞发现、漏洞挖掘、漏洞修复以及即时策略能力。2、战队得分:攻防部分积分为攻击得分和防御得分的总分,成功利用漏洞获得flag并提交成功就会再积分轮次内... 查看详情

记录第一次awdplus线下--“陇警杯”(代码片段)

...采用动态攻防兼备的比赛模式,综合考核参赛战队的漏洞发现、漏洞挖掘、漏洞修复以及即时策略能力。2、战队得分:攻防部分积分为攻击得分和防御得分的总分,成功利用漏洞获得flag并提交成功就会再积分轮次内... 查看详情

记录第一次awdplus线下--“陇警杯”(代码片段)

...采用动态攻防兼备的比赛模式,综合考核参赛战队的漏洞发现、漏洞挖掘、漏洞修复以及即时策略能力。2、战队得分:攻防部分积分为攻击得分和防御得分的总分,成功利用漏洞获得flag并提交成功就会再积分轮次内... 查看详情

文件上传漏洞的利用和防御(代码片段)

1.什么是文件上传漏洞文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种漏洞是getShell最快最直接的方法之一。常见场景是web服务器允许用户上传图片或者普通文本... 查看详情

csrf漏洞利用以及防御手段(详细解释)(代码片段)

基础知识CSRF漏洞基础知识靶场实验(DVWA)DVWAsecurity:low查看源码<?phpif(isset($_GET['Change']))//Getinput$pass_new=$_GET['password_new'];$pass_conf=$_GET['password_conf'];//Dothepasswo 查看详情

病毒木马防御与分析实战(代码片段)

《病毒木马防御与分析》系列以真实的病毒木马(或恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法,对其彻底查杀。当然,因为我个人水平的有限,查杀分析的病毒可... 查看详情

xss攻击及防御总结和各平台通关思路(代码片段)

文章目录XSS原理XSS漏洞分类1.反射型XSS2.存储型XSS3.基于DOM的XSSXSS的危害XSS漏洞的黑盒测试XSS漏洞的白盒测试xss-labs预备插件Hackbarlevel1简单构造脚本查看源代码Level-2预备知识:尝试与第一关相同的方式进行注入,发现并没... 查看详情