绿盟科技技术博客

Microsoft Windows Server 2003 R2 IIS 6.0远程代码执行技术分析与防护方案

3月27日，Zhiniang Peng 和Chen Wu发布了关于IIS 6.0 WebDAV远程代码执行的漏洞信息（CVE-2017-7269，CNNVD-201703-1151）。该漏洞源于Microsoft Windows Server 2003 R2的IIS 6.0 中WebDAV 服务下ScStoragePathFromUrl函数存在缓冲区溢出漏洞。如果一个PROPFIND请求中包含以”If: <http://”开头的超长头部，将触发一个缓冲区溢出漏洞，攻击者可以利用此漏洞远程执行任意代码，此利用方法和2016年7-8月份爆出的方法一致。

【预警通告】Microsoft Windows Server 2003 R2 IIS 6.0远程代码执行漏洞

2017-03-28绿盟科技IIS 6.0远程代码执行漏洞, Microsoft Windows Server 2003 R2 IIS 6.0 漏洞, Microsoft Windows Server 2003 R2 IIS 6.0远程代码执行, Microsoft Windows Server 2003 漏洞, R2 IIS 6.0远程代码执行漏洞, Windows Server 2003 漏洞

不越底线不踩红线不碰高压线

2017-03-27张彦ICP服务商, 信息基础设施, 信息安全管理, 关键信息基础设施, 网络安全法, 非关键基础设施

2016年11月7日我国第一部网络安全法颁布。这次是以法律的形式颁发，且法律条文清晰标示出禁止准入、行政处分和判罚、刑事判罚等一系列的红线，这让笔者不禁为大家抹了一脸冷汗，因为太多的点需要注意了。

2017网络安全威胁3月月报

2017-03-24陈颐欢DDoS攻击, ddos攻击事件, 安全会议, 绿盟科技博客, 绿盟科技漏洞库, 网络安全威胁月报, 高危漏洞

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。

Apache Struts 2 Remote Code Execution Vulnerability (S2-046) Technical Analysis and Solution

2017-03-23蒋红梅Apache Struts 2 Remote Code Execution Vulnerability, Apache Struts 2 Vulnerability, EnglishVersion, Remote Code Execution Vulnerability, S2-046, Struts 2 Remote Code Execution Vulnerability

In the wee hours of March 21, Apache Struts 2 released a security bulletin, announcing a remote code execution (RCE) vulnerability in the Jakarta Multipart parser, which has been assigned CVE-2017-5638.

Dridex Banking Malware Sample Technical Analysis and Solution

2017-03-23刘鹏Dridex, Dridex Banking Malware, EnglishVersion, IBM's X-Force, Sample Introduction, Sample Technical Analysis and Solution

IBM’s X-Force security team recently discovered an updated version of Dridex, called Dridex v4. Dridex is one of the most popular banking trojans. It was first spotted in 2014 when it was viewed as the successor of GameOver ZeuS (GoZ) because it uses GoZ-related techniques. An important improvement in Dridex v4 is that it evades detection antivirus software by introducing the AtomBoming technique for malicious code injection.

Apache Struts2 远程代码执行漏洞（S2-046）技术分析与防护方案

2017-03-21苏少博Apache Struts2, Apache Struts2 远程代码执行漏洞, S2-046, Struts2 漏洞, Struts2 远程代码执行漏洞, 技术分析与防护方案, 绿盟威胁情报中心NTI, 绿盟科技

3月21日凌晨，Apache Struts2官方发布了一条安全公告，该公告指出Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞，漏洞编号为CVE-2017-5638。攻击者可以通过设置Content-Disposition的filename字段或者设置Content-Length超过2G这两种方式来触发异常并导致filename字段中的OGNL表达式得到执行从而达到远程攻击的目的。

hao123恶意代码样本分析报告与防护方案

2017-03-21苏少博hao123恶意代码, hao123恶意代码样本分析, 传播与感染, 恶意代码样本分析报告, 样本分析, 绿盟科技, 防护方案

近日，百度旗下网站http://www.skycn.net/与http://soft.hao123.com/被爆出用户在该网站下载软件时会被植入恶意代码。此恶意程序作为流量劫持者的初始执行程序会将恶意样本静默安装并且会以特定参数启动，生成的恶意程序将和远程C&C服务器进行通信并且获取对用户流量的劫持策略配置。

【预警通告】Apache Struts2 远程代码执行漏洞（S2-046）

2017-03-21绿盟科技Apache Structs2, Apache Struts2 远程代码执行漏洞, S2-046, Struts2 漏洞, Struts2 远程代码执行漏洞, 绿盟科技, 绿盟科技威胁事件定级标准

3月21日凌晨，Apache Struts2官方发布了一条安全公告，该公告指出Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞，漏洞编号为CVE-2017-5638。攻击者可以在使用该插件上传文件时，通过修改Content-Length头的值，并且在Content-Disposition 值中添加恶意代码，导致远程代码执行。

Dridex网银木马样本技术分析与防护方案

2017-03-20苏少博Dridex银行木马, TAC检测结果, 动态链接库劫持, 木马专杀解决方案, 用户自我检测, 绿盟科技, 网络行为, 网银木马样本技术分析

IBM X-Force安全团队近日发现了一个Dridex银行木马的升级版本，该版本被称为Dridex v4。Dridex是最为流行的银行木马之一，最早于2014年被发现，由于它当时使用了GameOver ZeuS(GoZ)恶意软件的相关技术从而被认为是GoZ的继任者。新版本的Dridex v4的重要改进是其使用了AtomBoming技术注入恶意代码从而躲避杀毒软件的查杀。

fastjson远程代码执行漏洞技术分析与防护方案

2017-03-20苏少博fastjson, fastjson 漏洞, fastjson远程代码执行漏洞, JSON库, WAF检测, 技术分析与防护方案, 绿盟科技, 远程代码执行漏洞

2017年3月15日，fastjson官方发布安全公告表示fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。