这篇文章以阿里巴巴的FastJSon来介绍一下Zero-day(0-day)漏洞的基础常识。

Zero-day

Zero-day漏洞也被称为0-day漏洞,0-day原意指的是软件的提供商为对应相应漏洞产生危害所拥有的时间。因为从漏洞的披露到真正被黑客所利用,往往都会有一个时间差,这个时间差就是留给软件提供商的时间,只要在这个时间内提供补丁和对应方法,就能最大程度降低损害。之所以0-day漏洞的危害较大,是因为它的发现往往是软件提供商之外的使用者先发现,很多时候往往是黑客所首先掌握,这种漏洞是开发者和使用者往往都未意识到而已经被攻击者所掌握的漏洞,就像有一个后门,开发者自己都不知道而攻击者知道,所以这自然是影响最大的漏洞。

示例:FastJson

阿里巴巴的FastJson是一个很不错的JSON的Java库,有很多用户的支持,但是最近频爆安全问题,比如:

  • 2019年6月22日,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。

  • 2020年6月,阿里云应急响应中心监测到fastjson爆发新的反序列化远程代码执行漏洞,黑客利用漏洞,可绕过autoType限制,直接远程执行任意命令攻击服务器,风险极大。

  • 详细说明:
    https://github.com/alibaba/fastjson/wiki/security_update_20200601

0-day漏洞的一个重要特点往往就是被其他业者先行发现,而且官方可能还没有提供正式或者暂时的解决方案,比如此次的FastJson的0-day漏洞的发现过程:

2020年05月28日, 360CERT监测发现业内安全厂商发布了Fastjson远程代码执行漏洞的风险通告,漏洞等级:高危。
Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。Fastjson存在远程代码执行漏洞,autotype开关的限制可以被绕过,链式的反序列化攻击者精心构造反序列化利用链,最终达成远程命令执行的后果。此漏洞本身无法绕过Fastjson的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。
截止到漏洞通告发布,官方还未发布1.2.69版本,360CERT建议广大用户及时关注官方更新通告,做好资产自查,同时根据临时修复建议进行安全加固,以免遭受黑客攻击。

对应方法

以最近的这个版本为例,影响范围为1.27.68及其以下,官方在1.2.69修复了此次发现的高危漏洞,开启safeMode时完全关闭autoType功能,理论上避免了类似问题再次发生,所以升级到目前的最新版本即可解决此问题。当前版本是1.27.70,除了刚刚升级的使用者,几乎目前所有在用的fastjson均会受到此问题的影响。

灰色产业链

有相当一部分0-day漏洞就是所谓的“未公开漏洞”,这些能用来干什么,虽然各大公司对于漏洞的提供者都有奖励,但是相较于灰色产业链提供的价格,这些奖励相当于九牛一毛,比如下图中相应的0-day漏洞的价格信息,最高的0-day漏洞的收购价格可高达150万美元。

参考内容

https://zhuanlan.zhihu.com/p/30044629
https://github.com/alibaba/fastjson/wiki/fastjson_safemode

安全基础:0-day漏洞相关推荐

  1. 小白兔快开门,我是你爸爸。WEB安全基础入门—访问控制漏洞和权限提升

    欢迎关注订阅专栏! WEB安全系列包括如下三个专栏: <WEB安全基础-服务器端漏洞> <WEB安全基础-客户端漏洞> <WEB安全高级-综合利用> 知识点全面细致 ...

  2. FineCMS 5 0 10漏洞集合

    分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章.分享知识,造福人民,实现我们中华民族伟大复兴! 笔记地址 ...

  3. 【Web安全笔记】之【4.0 常见漏洞攻防】

    文章目录 4.0 常见漏洞攻防 4.1 SQL注入 4.1.1 注入分类 1. 简介 2. 按技巧分类 1). 盲注 2). 报错注入 3). 堆叠注入 3. 按获取数据的方式分类 1). inban ...

  4. 利用该0 day漏洞的攻击活动情况

    谷歌研究人员发现macOS漏洞利用. 谷歌研究人员在macOS系统中发现了一个安全漏洞--CVE-2021-30869.攻击者利用该漏洞可以以kernel权限执行任意代码.8月底,谷歌研究人员发现了该 ...

  5. Razer Synapse 0 day漏洞可获得Windows 10管理员权限

    Razer Synapse 0 day漏洞,插入Razer鼠标即可获得Windows 10管理员权限. Razer 是一家知名的游戏设备品牌厂商,提供的产品包括游戏鼠标和键盘.在Windows 10或 ...

  6. metinfov5.0.4漏洞复现

    metinfov5.0.4漏洞复现 最近学习,metinfov5.0.4漏洞复现,个人感觉这次的漏洞还是比较有意思的,为什么呢?原因是这次的3个漏洞都跟一个漏洞有关,这个漏洞就是变量覆盖覆盖漏洞. 简 ...

  7. java+poodle漏洞修复_SSL3.0 POODLE漏洞修复方案

    SSL3.0 POODLE漏洞修复方案 发布时间:2014-10-15 15:02:27 关于SSLPOODLE漏洞 POODLE = Padding Oracle On Downgraded Leg ...

  8. thinkphp3.2.3漏洞_Chrome新版本修复CVE202015999 0 day漏洞

    10月20日,谷歌发布新版本的Chrome 86.0.4240.111,新版本中共修复了5个安全漏洞,其中一个是0 day 漏洞CVE-2020-15999.Windows.mac和Linux桌面版用 ...

  9. Buhtrap在最新监控活动中使用多个0 day漏洞

    Buhtrap组织主要攻击俄罗斯的金融结构和企业.从2015年底开始,研究人员发现该组织的攻击目标发生了变化,从完全获取经济利益目的转变为扩展恶意软件工具集来对东欧和中亚地区发起监控活动. 研究人员追 ...

  10. web安全从基础术语、windows/linux基础到安全漏洞/病毒木马挖掘与分析利用(持续更新)

    web安全知识从基础术语.windows/linux基础到安全漏洞/病毒木马挖掘与分析利用(持续更新) 专业术语 web环境搭建 windows基础 linux基础 linux系统命令 linux命令 ...

最新文章

  1. 高颜值性价比神器,乐Pro3双摄AI版带来不一样的上手体验
  2. JS鼠标滚轮事件详解
  3. MM 常用table
  4. bzoj 1999: [Noip2007]Core树网的核【树的直径+单调队列】
  5. linux查看r的安装路径,在Linux CentOS 6.5版上安装R3.1.1的问题(检查LDFLAGS以获取Fortran库的路径)...
  6. php 开启phalocn 扩展_php7安装3.4版本的phalcon扩展
  7. kafka不使用自带zk_kafka概念扫盲
  8. 微信收费事件背后被广泛忽略的技术细节
  9. 用Matlab搭建GUI视频处理工具
  10. 车载系统华山论剑:Ali OS、Android、QNX孰优孰劣
  11. 函数参数约定、传递顺序、传递方式
  12. java 需求文档_java 项目需求文档要怎么写?
  13. Firemonkey Control的TabStop处理
  14. 如何免费复制网页内容
  15. 谈谈成功,你离成功有多远?施瓦辛格励志演讲分享(配中文翻译)
  16. linux组态文件,嵌入式Linux组态软件实时数据库的设计
  17. Python全栈[第二篇]:计算机基础知识-进制
  18. 大数据【企业级360°全方位用户画像】业务数据调研及ETL
  19. 运筹学与博弈论的关系
  20. cocos2dx中精灵点击事件处理的两种方式——Sprite和ImageView

热门文章

  1. 60秒学脑科学常识——《科学美国人》专栏文集
  2. 计算机科学导论:第六章 计算机网络和因特网
  3. python 经典图书排行榜_书榜 | 计算机书籍(1.7-1.13)销售排行榜
  4. yate怎样调出彩色的log日志实时调试信息
  5. BitMap生成艺术字体Bf文件
  6. 【超全面】Python内置函数详解
  7. linux中分号转义字符,Linux职场技术篇-Linux shell中元字符、转义符、通配符的使用方法...
  8. 模电_热敏PTC电阻_NTC电阻-区别与作用-20190507
  9. macbook 查看本机ip地址
  10. Excel中,编制卡方分布临界值表