苏少博 – 绿盟科技技术博客

【企业安全】企业级安全威胁模型建立与评估

2017-11-24苏少博企业数据模型, 企业级安全威胁模型, 威胁风险评估, 威胁模型, 威胁模型作用, 威胁模型风险评估, 安全威胁模型, 建立威胁模型

一个企业面临的威胁环境是在不断变化的，一个企业自身的业务也是在不断改变的，就需要一个企业定期的回顾检查它所使用的威胁模型，看它是否和企业当前的内部外部环境所同步，必要的时候进行调整以符合当时的情境。本篇文章详细探讨如何建立威胁模型以及如何进行威胁模型的风险评估。

Apache Struts2 远程代码执行漏洞（S2-046）技术分析与防护方案

2017-03-21苏少博Apache Struts2, Apache Struts2 远程代码执行漏洞, S2-046, Struts2 漏洞, Struts2 远程代码执行漏洞, 技术分析与防护方案, 绿盟威胁情报中心NTI, 绿盟科技

3月21日凌晨，Apache Struts2官方发布了一条安全公告，该公告指出Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞，漏洞编号为CVE-2017-5638。攻击者可以通过设置Content-Disposition的filename字段或者设置Content-Length超过2G这两种方式来触发异常并导致filename字段中的OGNL表达式得到执行从而达到远程攻击的目的。

hao123恶意代码样本分析报告与防护方案

2017-03-21苏少博hao123恶意代码, hao123恶意代码样本分析, 传播与感染, 恶意代码样本分析报告, 样本分析, 绿盟科技, 防护方案

近日，百度旗下网站http://www.skycn.net/与http://soft.hao123.com/被爆出用户在该网站下载软件时会被植入恶意代码。此恶意程序作为流量劫持者的初始执行程序会将恶意样本静默安装并且会以特定参数启动，生成的恶意程序将和远程C&C服务器进行通信并且获取对用户流量的劫持策略配置。

Dridex网银木马样本技术分析与防护方案

2017-03-20苏少博Dridex银行木马, TAC检测结果, 动态链接库劫持, 木马专杀解决方案, 用户自我检测, 绿盟科技, 网络行为, 网银木马样本技术分析

IBM X-Force安全团队近日发现了一个Dridex银行木马的升级版本，该版本被称为Dridex v4。Dridex是最为流行的银行木马之一，最早于2014年被发现，由于它当时使用了GameOver ZeuS(GoZ)恶意软件的相关技术从而被认为是GoZ的继任者。新版本的Dridex v4的重要改进是其使用了AtomBoming技术注入恶意代码从而躲避杀毒软件的查杀。

fastjson远程代码执行漏洞技术分析与防护方案

2017-03-20苏少博fastjson, fastjson 漏洞, fastjson远程代码执行漏洞, JSON库, WAF检测, 技术分析与防护方案, 绿盟科技, 远程代码执行漏洞

2017年3月15日，fastjson官方发布安全公告表示fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。

大华科技摄像头产品非授权访问漏洞技术分析与防护方案

2017-03-15苏少博大华科技摄像头, 技术分析与防护方案, 摄像头非授权访问漏洞, 摄像头漏洞, 漏洞安全专家, 漏洞利用, 绿盟威胁情报中心NTI, 绿盟科技, 非授权访问漏洞

近日,国内知名摄像头/DVR 生产厂商大华科技(Dahua Technology)发布了针对其部分产品的固件升级补丁用来修复其中的一个重要安全问题。然而在官方发布声明前，发现此漏洞的安全专家Bashis表示此漏洞疑似为大华科技自身预留的一个后门，因此没有事先通知大华科技而是选择了直接公开此漏洞。

Apache Struts2 远程代码执行漏洞（S2-045）技术分析与防护方案

2017-03-07苏少博Apache Struts2 远程代码执行漏洞, Struts2 漏洞, Struts2 远程代码执行漏洞, Struts2漏洞范围分布图, 技术防护方案, 绿盟威胁情报中心NTI, 绿盟科技, 远程代码执行漏洞

Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞，漏洞编号为CNNVD-201703-152。攻击者可以在使用该插件上传文件时，修改HTTP请求头中的Content-Type值来触发该漏洞，导致远程执行代码。

【威胁通告】OpenSSL拒绝服务漏洞

2017-02-18苏少博openssl, OpenSSL 漏洞, OpenSSL拒绝服务漏洞, 拒绝服务漏洞, 绿盟科技, 规避方案

2017年2月16日，OpenSSL官网发布安全通告，公布了编号为CVE-2017-3733的漏洞。在1.1.0e之前版本的OpenSSL握手阶段的重协商过程中，如果协商使用Encrypt-Then-Mac扩展，会导致OpenSSL崩溃。OpenSSL的服务端和客户端都受该漏洞的影响。

【威胁通告】dotCMS SQL注入漏洞

2017-02-18苏少博dotCMS, DotCMS SQL injection vulnerability, dotCMS SQL注入漏洞, dotCMS version, 绿盟科技, 规避方案

2017年2月15日，seclists.org网站发布了关于dotCMS存在SQL注入漏洞的消息。文章称，dotCMS 3.6.1及其之前的部分版本，在“/categoriesServlet”的q和inode参数上存在SQL注入，未经身份认证的攻击者可以利用该漏洞获取敏感数据。

【威胁通告】Adobe Flash Player多个漏洞

2017-02-15苏少博Adobe Flash Player多个漏洞, Adobe 漏洞, Flash Player, 安全威胁通告, 绿盟科技, 绿盟科技处理建议

2017年2月14日，Adobe官网发布漏洞安全通告，影响到24.0.0.194及更早版本的Flash Player，横跨Windows、Mac、Linux和Chrome OS平台。攻击者可以利用相关漏洞让目标Flash Player崩溃，并且有可能控制受影响的操作系统。

【威胁通告】TP-Link C2和C20i命令注入拒绝服务等漏洞

2017-02-14苏少博root权限执行命令, TP-Link C2和C20i 漏洞, 命令注入拒绝服务, 漏洞安全威胁通告, 绿盟科技, 规避方案

日前，pierrekim.github.io网站发布了一个安全通告，公布了固件版本为“0.9.1 4.2 v0032.0 Build 160706 Rel.37961n”的TP-Link C2和C20i产品的多个漏洞。漏洞包括命令注入(需要身份认证)、拒绝服务以及不安全的默认配置。

ElasticSearch 遭遇勒索攻击

2017-02-02苏少博ElasticSearch, ElasticSearch 安全风险, ElasticSearch 部署, ElasticSearch部署情况, 勒索攻击, 服务器勒索攻击, 绿盟科技

春节前，有超过34000多台存在安全风险的MongoDB数据库遭到了勒索攻击，数据库数据被攻击者擦除并索要赎金，在收到赎金后攻击者才会返还服务器中的数据；紧接着，2017年1月18日，在短短几个小时内又有数百台ElasticSearch服务器受到了勒索攻击，服务器中的数据被擦除，并被索要赎金。

1
2
3