WEB中間件常見漏洞總結(jié)

什么是WEB中間件

是一類提供系統(tǒng)軟件和應(yīng)用軟件之間的連接，便于軟件各部件之間的溝通的軟件，應(yīng)用軟件可以借助中間件在不同的技術(shù)架構(gòu)之間共享信息和資源。中間件位于客戶機(jī)服務(wù)器的操作系統(tǒng)之上，管理著計(jì)算資源和網(wǎng)絡(luò)通信。中間件=平臺(tái)+通信

一、IIS中間件

1、IIS6.0 PUT漏洞

漏洞原理

IIS6.0 sever在web服務(wù)擴(kuò)展中開啟了WebDAV。WebDAV是在一中HTTP1.1的擴(kuò)展協(xié)議。它擴(kuò)展了HTTP1.1，在GET、POST、HEAD等幾個(gè)http標(biāo)準(zhǔn)方法以外添加了一些新的方法，如PUT，使應(yīng)用程序可對(duì)Web Server直接讀寫，并支持寫文件鎖定(Locking)及解鎖(Unlock)，還可以支持文件的版本控制。可以像在操作本地文件夾一樣操作服務(wù)器上的文件夾，該擴(kuò)展也存在缺陷，利用PUT方法可直接向服務(wù)器上傳惡意文件，控制服務(wù)器。導(dǎo)致任意文件上傳

(資料圖)

修復(fù)建議

關(guān)閉WebDAV服務(wù)和寫入權(quán)限

2、短文件名猜解

漏洞原理

為了兼容16位MS-DOS程序，Windows為文件名較長的文件（和文件夾）生成了對(duì)應(yīng)的Windows8.3短文件名。IIS6.0處理PROPFIND指令的時(shí)候，由于對(duì)url的長度沒有進(jìn)行有效的長度控制和檢查，導(dǎo)致執(zhí)行memcpy對(duì)虛擬路徑進(jìn)行構(gòu)造的時(shí)候，引發(fā)棧溢出，從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

修復(fù)建議

關(guān)閉WebDAV服務(wù)；使用相關(guān)的防護(hù)設(shè)備

3、解析漏洞

漏洞原理

IIS 6.0在處理含有特殊符號(hào)的文件路徑時(shí)會(huì)出現(xiàn)邏輯錯(cuò)誤，從而造成文件解析漏洞。

二、Apache中間件

Apache 是世界使用排名第一的Web 服務(wù)器軟件。它可以運(yùn)行在幾乎所有廣泛使用的 計(jì)算機(jī)平臺(tái)上，由于其 跨平臺(tái) 和安全性被廣泛使用，是最流行的Web服務(wù)器端軟件之一。它快速、可靠并且可通過簡單的API擴(kuò)充，將 Perl/ Python等 解釋器編譯到服務(wù)器中。

1、多后綴名解析漏洞

漏洞原理

Apache默認(rèn)一個(gè)文件可以有多個(gè)以.分割的后綴，當(dāng)右邊的后綴名無法識(shí)別，則繼續(xù)向左識(shí)別；因此可以用于文件上傳來繞過黑名單導(dǎo)致getshell

修復(fù)建議

• 方案一:httpd.conf或httpd-vhosts.conf中加入以下語句，從而禁止文件名格式為.php.的訪問權(quán)限

Order Deny,AllowDeny from all

• 方案二：需要保留文件名，可以修改程序源代碼，替換上傳文件名中的“.”為“_”：

  ?eg:$filename = str_replace(".", "_", $filename);

2、目錄遍歷

漏洞原理

Apache HTTP Server 2.4.49版本中使用的ap_normalize_pat函數(shù)在對(duì)路徑參數(shù)進(jìn)行規(guī)范化時(shí)會(huì)先進(jìn)行url解碼，然后判斷是否存在../的路徑穿越符，當(dāng)檢測到路徑中存在%字符時(shí)，如果緊跟的2個(gè)字符是十六進(jìn)制字符，就會(huì)進(jìn)行url解碼，將其轉(zhuǎn)換成標(biāo)準(zhǔn)字符，如%2e->.，轉(zhuǎn)換完成后會(huì)判斷是否存在…/。

如果路徑中存在%2e./形式，就會(huì)檢測到，但是出現(xiàn).%2e/這種形式時(shí)，就不會(huì)檢測到，原因是在遍歷到第一個(gè).字符時(shí)，此時(shí)檢測到后面的兩個(gè)字符是%2而不是./，就不會(huì)把它當(dāng)作路徑穿越符處理，因此可以使用.%2e/或者%2e%2e繞過對(duì)路徑穿越符的檢測。

三、Nginx中間件

Nginx是一個(gè)高性能的HTTP和反向代理web服務(wù)器，同時(shí)也提供了IMAP/POP3/SMTP服務(wù)。其將源代碼以類BSD許可證的形式發(fā)布，因它的穩(wěn)定性、豐富的功能集、示例配置文件和低系統(tǒng)資源的消耗而聞名。

Nginx是一款輕量級(jí)的Web 服務(wù)器/反向代理服務(wù)器及電子郵件（IMAP/POP3）代理服務(wù)器，在BSD-like 協(xié)議下發(fā)行。其特點(diǎn)是占有內(nèi)存少，并發(fā)能力強(qiáng)，nginx的并發(fā)能力在同類型的網(wǎng)頁服務(wù)器中表現(xiàn)較好

1、解析漏洞

漏洞原理

對(duì)任意文件名，在后面添加/任意文件名.php的解析漏洞，比如原本文件名是test.jpg，可以添加test.jpg/x.php進(jìn)行解析攻擊

修復(fù)建議

1、將php.ini文件中的cgi.fix_pathinfo的值設(shè)為0.這樣php在解析1.php/1.jpg這樣的目錄時(shí)，只要1.jpg不存在就會(huì)顯示404;2、將/etc/php5/fpm/pool.d/www.conf中security.limit_ectensions后面的值設(shè)為.php。

2、目錄遍歷

漏洞原理

Nginx 的目錄遍歷與 Apache 一樣，屬于配置方面的問題，錯(cuò)誤的配置可到導(dǎo)致目錄遍歷與源碼泄露。

修復(fù)建議

將/etc/nginx/sites-avaliable/default里的autoindex on改為autoindex off.

3、CRLF注入

漏洞原理

CRLF是“回車+換行”的簡稱（\r\n），HTTPHeader與HTTPBody時(shí)用兩個(gè)CRLF來分隔的，瀏覽器根據(jù)兩個(gè)CRLF來取出HTTP內(nèi)容并顯示出來，通過控制HTTP頭中的字符，注入惡意換行，就能注入一些會(huì)話cookie或者h(yuǎn)tml代碼，由于Nginx配置不正確，導(dǎo)致注入的代碼會(huì)被執(zhí)行。

修復(fù)建議

Nginx的配置文件/etc/nginx/conf.d/error1.conf修改為使用不解碼的url跳轉(zhuǎn).

4、目錄穿越

漏洞原理

Nginx反向代理，靜態(tài)文件存儲(chǔ)在/home/下，而訪問時(shí)需要在url中輸入files，配置文件中/files沒有用/閉合，導(dǎo)致可以穿越至上層目錄

修復(fù)建議

Nginx配置文件/etc/nginx/conf.d/error2.conf的/files使用/閉合.

四、Tomcat中間件

Tomcat是Apache 軟件基金會(huì)（Apache Software Foundation）的Jakarta 項(xiàng)目中的一個(gè)核心項(xiàng)目，由Apache、Sun 和其他一些公司及個(gè)人共同開發(fā)而成。由于有了Sun 的參與和支持，最新的Servlet 和JSP 規(guī)范總是能在Tomcat 中得到體現(xiàn)。因?yàn)門omcat 技術(shù)先進(jìn)、性能穩(wěn)定，而且免費(fèi)，因而深受Java 愛好者的喜愛并得到了部分軟件開發(fā)商的認(rèn)可，成為目前比較流行的Web 應(yīng)用服務(wù)器。

1、遠(yuǎn)程代碼執(zhí)行

漏洞原理

Tomcat運(yùn)行在Windows主機(jī)上，且啟用了 HTTP PUT請(qǐng)求方法，可通過構(gòu)造的攻擊請(qǐng)求向服務(wù)器上傳包含任意代碼JSP文件，造成任意代碼執(zhí)行，受影響版本:Apache Tomcat 7.0.0 – 7.0.81

修復(fù)

1.檢測當(dāng)前版本是否在影響范圍內(nèi)，并禁用PUT方法;2.更新并升級(jí)至最新版.

2、war后門文件部署

漏洞原理

Tomcat支持在后臺(tái)部署war文件，可以直接將webshell部署到web目錄下，若后臺(tái)管理頁面存在弱口令，則可以通過爆破獲取密碼

修復(fù)

• 1.在系統(tǒng)上以低權(quán)限運(yùn)行Tomcat應(yīng)用程序。創(chuàng)建一個(gè)專門的Tomcat服務(wù)用戶，該用戶只能擁有一組最小權(quán)限，例如不允許遠(yuǎn)程登錄;

• 2.增加對(duì)于本地和基于證書的身份驗(yàn)證，部署賬戶鎖定機(jī)制，對(duì)于集中式認(rèn)證，目錄服務(wù)也要做相應(yīng)配置，在CATALINA_HOME/conf/web.xml文件設(shè)置鎖定機(jī)制和時(shí)間超時(shí)限制;

• 3.以及針對(duì)manager-gui/manager-status/manager-script等目錄頁面設(shè)置最小權(quán)限訪問限制;

• 4.后臺(tái)管理避免弱口令.

五、jBoss中間件

1、反序列化漏洞

漏洞原理

Java序列化，簡而言之就是把java對(duì)象轉(zhuǎn)化為字節(jié)序列的過程。而反序列話則是再把字節(jié)序列恢復(fù)為java對(duì)象的過程，然而就在這一轉(zhuǎn)一變得過程中，程序員的過濾不嚴(yán)格，就可以導(dǎo)致惡意構(gòu)造的代碼的實(shí)現(xiàn)

修復(fù)

• 1.不需要http-invoker.sar 組件的用戶可直接刪除此組件;

• 2.用于對(duì)httpinvoker組件進(jìn)行訪問控制.

2、war后門文件部署

jBoss后臺(tái)管理頁面存在弱口令，登錄后臺(tái)上傳war包

六、WebLogic中間件

WebLogic是Oracle公司出品的一個(gè)application server，確切的說是一個(gè)基于JAVAEE架構(gòu)的中間件

WebLogic是用于開發(fā)、集成、部署和管理大型分布式Web應(yīng)用、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫應(yīng)用的Java應(yīng)用服務(wù)器，將Java的動(dòng)態(tài)功能和Java Enterprise標(biāo)準(zhǔn)的安全性引入大型網(wǎng)絡(luò)應(yīng)用的開發(fā)、集成、部署和管理之中

1、反序列化漏洞

漏洞原理

Java序列化，簡而言之就是把java對(duì)象轉(zhuǎn)化為字節(jié)序列的過程。而反序列話則是再把字節(jié)序列恢復(fù)為java對(duì)象的過程，然而就在這一轉(zhuǎn)一變得過程中，程序員的過濾不嚴(yán)格，就可以導(dǎo)致惡意構(gòu)造的代碼的實(shí)現(xiàn)

修復(fù)

• 升級(jí)補(bǔ)丁
• 對(duì)訪問wls-wsat資源進(jìn)行訪問控制

2、SSRF

漏洞原理

Weblogic/uddiexplorer/SearchPublicRegistries.jsp中存在一個(gè)SSRF漏洞，利用該漏洞可以發(fā)送任意HTTP請(qǐng)求，進(jìn)而攻擊內(nèi)網(wǎng)中redis、fastcgi等脆弱組件

修復(fù)

• 1.將SearchPublicRegistries.jsp直接刪除;

• 2.刪除uddiexplorer文件夾、限制uddiexplorer應(yīng)用只能內(nèi)網(wǎng)訪問;

• 3.將weblogic安裝目錄wlserver_10.3/server/lib/uddiexplorer.war做好備份、將weblogic安裝目錄下的server/lib/uddiexplorer.war下載、用winrar等工具打開uddiexplorer.war、將其下的SearchPublicRegistries.jsp重命名為SearchPublicRegistries.jspx、保存后上傳回服務(wù)端替換原先的uddiexplorer.war、對(duì)于多臺(tái)主機(jī)組成的集群，針對(duì)每臺(tái)主機(jī)都要做這樣的操作、由于每個(gè)server的tmp目錄下都有緩存所以修改后要徹底重啟weblogic(即停應(yīng)用–停server–停控制臺(tái)–啟控制臺(tái)–啟server–啟應(yīng)用).

3、任意文件上傳

漏洞原理

Weblogic管理端未授權(quán)的兩個(gè)頁面存在任意文件上傳漏洞，進(jìn)而獲取服務(wù)器權(quán)限，訪問ws_utc/config.do，設(shè)置Work Home Dir為ws_utc應(yīng)用的靜態(tài)文件css目錄，訪問這個(gè)目錄是無需權(quán)限的(如果能改的話)

修復(fù)

• 升級(jí)補(bǔ)丁

• 進(jìn)入Weblogic Server管理控制臺(tái)，domain設(shè)置中，啟用”生產(chǎn)模式”.

4、war后臺(tái)文件部署

漏洞原理

由于WebLogic后臺(tái)存在弱口令，可直接登陸后臺(tái)上傳包含后門的war包

修復(fù)

防火墻設(shè)置端口過濾，也可以設(shè)置只允許訪問后臺(tái)的IP列表，避免后臺(tái)弱口令.

關(guān)鍵詞：