南宁微网站制作需要多少钱,免费海外网络连接器,常见的网络营销工具有哪些,东莞推广系统怎么做漏洞描述
RCE(remote command/code execute#xff0c;远程命令执行)漏洞 远程代码执行 (RCE) 攻击是指攻击者可以在一个组织的计算机或网络上运行恶意代码。执行攻击者控制的代码的能力可用于各种目的#xff0c;包括部署额外的恶意软件或窃取敏感数据。
漏洞原理
远程代…漏洞描述
RCE(remote command/code execute远程命令执行)漏洞 远程代码执行 (RCE) 攻击是指攻击者可以在一个组织的计算机或网络上运行恶意代码。执行攻击者控制的代码的能力可用于各种目的包括部署额外的恶意软件或窃取敏感数据。
漏洞原理
远程代码执行攻击通常通过网络应用程序和网络基础结构的漏洞发生。 远程代码执行漏洞是软件中的缺陷允许攻击者在目标系统上运行恶意代码。RCE 可以利用几种类型的漏洞包括以下例子 注入漏洞注入漏洞 — 如 SQL 注入或命令注入 — 是通过不良的输入消毒来实现的。如果用户提供一个精心设计的恶意输入则其提供的一些数据将被解释为要运行的命令。这使得攻击者可以强迫有漏洞的系统执行攻击者提供的代码。 不安全的反序列化序列化通过将数据集打包成单一的由接收方系统解包的位串简化了数据集的传输。然而如果序列化数据的结构没有得到很好的定义攻击者可能可以制定一个解包时会被误解的输入。根据数据的存储和处理方式这种误读可能会使攻击者能够实现代码执行。 越界写入缓冲区是一块被分配用来存储数据的固定大小的内存。不安全的数据读取或写入可能允许攻击者将数据放在会被解释为代码或应用程序的重要控制流信息的地方。 文件管理有些应用程序允许用户向服务器上传文件。这种访问可能允许攻击者上传一个包含恶意代码的文件并欺骗应用程序执行该代码。
恶意软件是攻击者提供的被设计为在目标系统上执行的代码。RCE 漏洞会允许攻击者以不同方式部署恶意软件。 因此RCE 漏洞可以用来实现许多与传统恶意软件相同的目标。RCE 可用于在有漏洞的系统上部署恶意软件、进行拒绝服务 (DoS) 攻击或访问存储在系统中的敏感信息。
漏洞场景
RCE 漏洞可能出现在各种类型的应用程序中包括 Web 应用程序、网络服务、操作系统等。常见的场景包括使用远程代码执行漏洞的网络攻击、恶意软件的传播、未经授权的访问等
风险等级
RCE 漏洞通常被视为极高风险的漏洞因为攻击者可以利用它远程执行任意代码并可能导致目标系统的完全控制。
漏洞危害
RCE 漏洞的危害非常严重攻击者可以利用它执行恶意代码包括但不限于窃取敏感信息、篡改数据、拒绝服务等甚至完全控制受影响系统。 如攻击者可以通过RCE继承web用户的权限执行php代码如果web的权限比较高的话就可以读写目标服务器任意文件的内容甚至控制整个网站。
php中与代码执行漏洞相关的危险函数 eval() 将字符串当作php代码执行assert() 将字符串当作php代码执行preg_replace() 将字符串正则匹配后替换call_user_func() 回调函数array_map() 回调函数
漏洞验证
验证 RCE 漏洞通常涉及尝试向目标系统发送包含恶意代码的请求并观察是否成功执行了该代码
漏洞利用
RCE 漏洞可以用于通过以下方式进一步进行普通攻击 远程访问攻击者经常利用 RCE 漏洞在企业网络上获得一个最初的立足点然后再扩展。例如一个 RCE 漏洞可以让攻击者窃取登录凭证从而允许他们通过 VPN 进行网络访问。 恶意软件部署虽然 RCE 漏洞运行代码执行但这种代码的范围可能是有限的。为了避开这一限制攻击者可能利用 RCE 下载并执行其他更具破坏性的恶意软件。例如RCE 可以用来在一个有漏洞的系统上下载和执行勒索软件。 数据盗窃RCE 漏洞可能允许攻击者在有漏洞的应用程序中运行命令。这使攻击者能够访问文件系统、数据库和存储的其他敏感的公司和客户数据。 数据破坏RCE 漏洞可能允许攻击者在数据库中运行 DROP 命令或在系统终端中执行代码。这种访问提供了与合法用户相同的删除文件的能力 DoS 攻击越界写入漏洞允许攻击者覆盖关键代码使应用程序崩溃。其他 RCE 漏洞可能允许终止进程或删除重要数据。
漏洞防御
防御 RCE 漏洞的方法包括 输入验证和过滤 沙箱环境隔离 最小权限原则 及时更新和漏洞修复 安全编码实践
远程代码执行攻击是因为企业网络应用程序中有漏洞。公司可以通过以下方法来减少发生 RCE 攻击的几率 漏洞扫描静态代码分析以识别众所周知的漏洞模式和动态分析如模糊分析的结合可以帮助开发人员在 RCE 漏洞被利用之前识别和纠正这些漏洞。 更新和打补丁可能在一个应用程序或其依赖的第三方库中发现 RCE 漏洞。及时应用更新和补丁可以缩短有漏洞的代码被利用的窗口时间。 输入验证多数 RCE 漏洞涉及不良的输入验证即应用程序对用户提供的数据做出假设。强有力的输入验证可以消除大多数 RCE 漏洞的威胁。 网络监控尝试性的 RCE 攻击可以被网络应用程序和 API 保护 (WAAP) 解决方案检测并阻止。在网络应用程序前部署网络安全解决方案可以减少未修补漏洞的潜在风险。
典型案例
典型的 RCE 漏洞案例包括
Apache Struts2 远程执行代码漏洞CVE-2017-5638
于2017年3月被公开披露。该漏洞允许攻击者通过构造恶意的 HTTP 请求利用 Struts2 框架对表达式语言OGNLObject-Graph Navigation Language的解析不当远程执行任意代码
EternalBlue SMB 漏洞CVE-2017-0144
于2017年3月由美国国家安全局NSA的 Equation Group 组织被泄露。该漏洞存在于 Windows 的 Server Message Block SMB协议的实现中攻击者可以利用该漏洞在网络上远程执行任意代码 EternalBlue 漏洞曾被广泛利用于大规模网络攻击最著名的案例包括 WannaCry 勒索软件攻击和 NotPetya 攻击。这两次攻击导致了全球范围内数百万台计算机被感染造成了巨大的经济损失和社会影响。
Heartbleed 漏洞CVE-2014-0160
于2014年4月被公开披露。这个漏洞的存在使得攻击者可以利用 OpenSSL 实现的 TLS/SSL 协议中的心跳扩展heartbeat extension功能从服务器内存中读取敏感信息包括私钥、会话密钥和其他用户数据. 漏洞的原理是由于 OpenSSL 实现的心跳扩展功能中存在缓冲区溢出漏洞攻击者可以发送恶意的心跳请求heartbeat request并在请求中伪造心跳数据的长度字段导致服务器未经授权地泄露内存中的敏感信息 Heartbleed 漏洞的影响非常广泛因为 OpenSSL 是用于加密互联网通信的一种广泛使用的开源加密库。受影响的系统包括 Web 服务器如 Apache 和 Nginx、电子邮件服务器、虚拟私有网络VPN设备等。此外许多大型互联网服务提供商和网站也受到了这个漏洞的影响
Drupal 远程执行代码漏洞CVE-2018-7600
Drupal 远程执行代码漏洞CVE-2018-7600是 Drupal 内核中的一个严重漏洞于2018年3月被公开披露。该漏洞影响了 Drupal 7.x 和 8.x 版本允许未经身份验证的攻击者利用漏洞在受影响的 Drupal 网站上执行任意代码并获取网站管理员权限。
Shellshock 漏洞CVE-2014-6271、CVE-2014-7169
于2014年9月被公开披露。该漏洞允许攻击者利用特定的环境变量注入方式远程执行任意代码从而获取系统的完全控制。 Shellshock 漏洞的原理是由于 Bash shell 在解析环境变量时存在缓冲区溢出漏洞攻击者可以利用恶意构造的环境变量在受影响的系统上执行任意代码。具体来说攻击者可以通过在环境变量中注入恶意的 shell 命令并通过传递这些变量给 Bash shell 的方式触发漏洞。 由于 Bash 是许多 Unix 和 Linux 系统的默认 shell因此 Shellshock 漏洞影响了大量的服务器、工作站和网络设备。
Joomla 远程执行代码漏洞CVE-2015-8562
于2015年12月被公开披露。该漏洞影响了 Joomla 1.5.x、2.x 和 3.x 版本允许未经授权的攻击者利用漏洞在受影响的 Joomla 网站上执行任意代码并获取网站管理员权限。 由于 Joomla 是一个广泛使用的内容管理系统CMS受影响的 Joomla 网站数量庞大
WordPress 远程执行代码漏洞CVE-2019-8942
于2019年2月被公开披露。该漏洞影响了 WordPress 4.9.9 版本及之前的所有版本允许未经授权的攻击者利用漏洞在受影响的 WordPress 网站上执行任意代码并获取网站管理员权限 于2019年2月被公开披露。该漏洞影响了 WordPress 4.9.9 版本及之前的所有版本允许未经授权的攻击者利用漏洞在受影响的 WordPress 网站上执行任意代码并获取网站管理员权限
PHPMailer 远程执行代码漏洞CVE-2016-10033
于2016年12月被公开披露。PHPMailer 是一个常用的 PHP 库用于发送电子邮件受影响的版本包括 PHPMailer 5.2.18 之前的版本。 受影响的 PHPMailer 版本中的漏洞是由于对邮件地址和主题字段的不充分验证导致了代码注入漏洞的存在。攻击者可以利用此漏洞在邮件发送过程中执行任意 PHP 代码
