阿里云-先知計劃漏洞說明手冊-D

1、先知計劃漏洞說明先知計劃/漏洞說明先知計劃/漏洞說明 PAGE 7 PAGE 7漏洞說明獎勵計劃說明建議企業(yè)獎勵系數(shù)不低于5，以吸引更多的白帽子發(fā)現(xiàn)漏洞；建議企業(yè)設置階梯獎勵系數(shù)，以鼓勵白帽子關注重 要漏洞。兩個例子：漏洞等級說明根據(jù)漏洞的危害程度將漏洞等級分為【高】、【中】、【低】三個等級。由先知平臺結合利用場景中漏洞的嚴 重程度、利用難度等綜合因素給予相應分值的貢獻值和漏洞級別，每種等級包含的評分標準及漏洞類型如下：【高?！炕A分60-100，本等級包括： PC客戶端權限）。包括但不僅限于遠程命令執(zhí)行、任意代碼執(zhí)行、上傳獲取Webshell、SQL注入獲取系統(tǒng)權限、緩沖區(qū)溢出（包括可利用的

2、ActiveX緩沖區(qū)溢出）。API業(yè)務拒絕服務、網(wǎng)站應用拒 絕服務等造成嚴重影響的遠程拒絕服務漏洞。3、重要的敏感信息泄漏。包括但不僅限于重要業(yè)務DB 的 SQL 注入、可獲取大量企業(yè)核心業(yè)務數(shù)據(jù)等接口問題引起的敏感信息泄露。阿里云物聯(lián)網(wǎng)套件/OPEN 阿里云物聯(lián)網(wǎng)套件/OPEN API7、大范圍影響用戶的其他漏洞。包括但不僅限于可造成自動傳播的重要頁面的存儲型XSS（包括存儲型DOM- XSS）?！局形！炕A分30-50，本等級包括： XSS，涉及核心業(yè)務的CSRF等。2、普通越權操作。包括但不僅限于包括但不限于繞過限制修改用戶資料、執(zhí)行用戶操作等。3、普通的邏輯設計缺陷和流程缺陷。包括但不

3、僅限于不限次數(shù)短信發(fā)送、任意手機郵箱信息注冊用戶等?！镜臀！炕A分10-20，獎勵系數(shù)可為0，本等級包括：1、本地拒絕服務漏洞。包括但不僅限于客戶端本地拒絕服務（解析文件格式、網(wǎng)絡協(xié)議產生的崩潰），由Android組件權限暴露、普通應用權限引起的問題等。2、普通信息泄漏。包括但不僅限于客戶端明文存儲密碼、以及web路徑遍歷、系統(tǒng)路徑遍歷等。3、其他危害較低的漏洞。包括但不僅限于反射型 XSS（包括反射型 DOM-XSS）、普通CSRF、URL跳轉漏洞等。Web服務端安全1.SQL注入攻擊名詞解釋：SQL注入攻擊（SQL Injection），簡稱注入攻擊、SQL注入，被廣泛用于非法獲取網(wǎng)站控制

4、權，是發(fā)生在應用程序的數(shù)據(jù)庫層上的安全漏洞。由于在設計程序時，忽略了對輸入字符串中夾帶的SQL指令的檢查，被數(shù)據(jù)庫 誤認為是正常的SQL指令而運行，從而使數(shù)據(jù)庫受到攻擊，可能導致數(shù)據(jù)被竊取、更改、刪除，甚至執(zhí)行系統(tǒng) 命令等，以及進一步導致網(wǎng)站被嵌入惡意代碼、被植入后門程序等危害。常見發(fā)生位置：URL參數(shù)提交，主要為GET請求參數(shù)；表單提交，主要是POST請求，也包括GET請求； 3）Cookie參數(shù)提交；HTTP請求頭部的一些可修改的值，比如Referer、User_Agent等；一些邊緣的輸入點，比如.mp3、圖片文件的一些文件信息等。防御措施：使用預編譯語句。一般來說，防御SQL注入的最佳

5、方式，就是使用預編譯語句，綁定變量，但對現(xiàn)有代碼 的改動量較大；使用存儲過程。使用安全的存儲過程可在一定程度上對抗SQL注入，但要注意此種方法并不是100%安全；嚴格檢查用戶數(shù)據(jù)。對用戶傳入的數(shù)據(jù)類型及內容進行嚴格的檢查。對數(shù)據(jù)類型檢查，如利用ID查詢時判 斷是否為整型，輸入郵箱時判斷郵箱格式，輸入時間、日期等必須嚴格按照時間、時期格式等；對數(shù)據(jù)內容進 行檢查，如嚴格檢測用戶提交數(shù)據(jù)中是否包含敏感字符或字符串，是否匹配某種注入規(guī)則，嚴格轉義特殊字符 等。注意此種方法雖然便于實施，但容易產生誤報和漏報，且容易被繞過；其他。使用安全的編碼函數(shù)、統(tǒng)一各數(shù)據(jù)層編碼格式（如統(tǒng)一使用UTF-8等）、嚴格限

6、制數(shù)據(jù)庫用戶權限、定期進行代碼黑盒白盒掃描、避免將錯誤信息顯示到頁面等。2.文件上傳名詞解釋：文件上傳漏洞是指由于程序代碼未對用戶提交的文件進行嚴格的分析和檢查，導致攻擊者可以上傳可執(zhí)行的代 碼文件，從而獲取Web應用的控制權限（Getshell）。常見發(fā)生位置：所有使用到上傳功能的位置；用戶可自定義的頭像、背景圖片等；富文本編輯器中的文件上傳功能。防御措施：上傳目錄設置為不可執(zhí)行；嚴格判斷文件類型，使用白名單而不是黑名單（注意大小寫問題）。需要注意的是一些與Web Server相關的漏洞所造成的問題，如Apache、IIS、Nginx等的文件解析漏洞；使用隨機數(shù)改寫上傳后的文件名和文件路徑；

7、單獨設置文件服務器及域名。3.權限漏洞名詞解釋：訪問控制是指用戶對系統(tǒng)所有訪問的權限控制，通常包括水平權限和垂直權限。訪問控制問題是所有業(yè)務系統(tǒng) 都可能產生的邏輯類漏洞，很難通過日常的安全工具掃描或防護，通常會造成大量用戶數(shù)據(jù)泄露事件。水平越權：同一權限（角色）級別的用戶之間所產生的問題，如A用戶可以未授權訪問B用戶的數(shù)據(jù)等；垂直越權：不同權限（角色）級別的用戶之間所產生的問題，如普通用戶可未授權進行管理操作，未登錄用戶 可以訪問需授權應用等。常見發(fā)生位置：所有涉及到與用戶相關數(shù)據(jù)的位置，如用戶資料、地址、訂單等；所有涉及到登錄及權限控制的位置，如后臺登錄、當前用戶權限校驗等。防御措施：對于所

8、有涉及到用戶數(shù)據(jù)的操作，嚴格判斷當前用戶的身份；對于所有需要權限控制的位置，嚴格校驗用戶權限級別。4.暴力破解名詞解釋： 暴力破解是指攻擊者通過遍歷或字典的方式，向目標發(fā)起大量請求，通過判斷返回數(shù)據(jù)包的特征來找出正確的驗證信息，從而繞過驗證機制。隨著互聯(lián)網(wǎng)眾多網(wǎng)站的數(shù)據(jù)庫被泄露，攻擊者選擇的樣本可以更具 針對性，暴力破解的成功率也在不斷上升。1）2）； 3） 找回密碼或二次身份驗證等可能用到的手機短信驗證碼；1）2）3）4） 限制一定時間內的高頻訪問次數(shù)。5.拒絕服務攻擊名詞解釋：拒絕服務攻擊（DoS，Denial of Service）是利用合理的請求造成資源過載，從而導致服務不可用的一種攻

9、擊方式。分為針對Web應用層的攻擊、客戶端/APP的攻擊。常見發(fā)生位置：Web層常見于會大量消耗資源的位置，如查找功能等；客戶端/APP常見于異常輸入數(shù)據(jù)造成的程度崩潰。防御措施：針對Web層DoS：限制每個客戶端的請求頻率；使用驗證碼過濾自動攻擊者；做好應用代碼的性能優(yōu)化，網(wǎng)絡架構優(yōu)化等； 針對客戶端/APP拒絕服務攻擊：刪除不必要的組件；對用戶輸入數(shù)據(jù)進行過濾和檢查。6.敏感信息泄露名詞解釋：敏感信息泄露是指包括用戶信息、企業(yè)員工信息、內部資料等不應當被外部訪問到的數(shù)據(jù)通過網(wǎng)站、接口、外 部存儲等途徑被未授權泄露到外部的漏洞。信息泄露漏洞會導致大量用戶或企業(yè)信息被惡意利用，進行詐騙、 賬戶

10、竊取等，給用戶和企業(yè)帶來嚴重的不良影響。并且信息一旦信息被泄露，影響會很難消除。常見發(fā)生位置：獲取用戶、企業(yè)信息等數(shù)據(jù)的網(wǎng)站或客戶端接口；企業(yè)可訪問到的外部存儲，如網(wǎng)盤、郵箱等；其他一切可能泄露數(shù)據(jù)的途徑。防御措施： 1) 對數(shù)據(jù)接口進行嚴格的權限檢查和訪問限制；劃分企業(yè)安全邊界，限制內部數(shù)據(jù)外流，如禁止訪問外部存儲應用等；提高員工數(shù)據(jù)安全意識。7.業(yè)務邏輯漏洞名詞解釋：業(yè)務邏輯漏洞是指由于業(yè)務在設計時考慮不全所產生的流程或邏輯上的漏洞，如用戶找回密碼缺陷，攻擊者可 重置任意用戶密碼；如短信炸彈漏洞，攻擊者可無限制利用接口發(fā)送短信，惡意消耗企業(yè)短信資費，騷擾用戶 等。由于業(yè)務邏輯漏洞跟業(yè)務問題

11、貼合緊密，常規(guī)的安全設備無法有效檢測出，多數(shù)需要人工根據(jù)業(yè)務場景及 特點進行分析檢測。常見發(fā)生位置：所有涉及到用戶交互的位置。防御措施：針對業(yè)務場景進行全面的檢測。8.安全配置缺陷包括：文件遍歷、源碼泄露、配置文件泄露等。文件遍歷：可以瀏覽服務器Web目錄下的文件列表，可能會泄露重要文件； 源碼泄露：可以查到的Web程序的源代碼；配置文件泄露：Web服務器及程度代碼的配置文件泄露等。防御措施：1） 檢查所有可能存在安全配置問題的點，在滿足業(yè)務需求的情況下，最大化安全配置。反欺詐/API手冊反欺詐/API手冊Web客戶端安全1.跨站腳本攻擊（XSS）名詞解釋：跨站腳本攻擊（XSS, Cross

12、Site Script）通常指黑客通過HTML注入篡改了網(wǎng)頁，插入惡意腳本，從而在用戶瀏覽網(wǎng)頁時，控制用戶瀏覽器的一種攻擊。XSS漏洞可被用于用戶身份竊取（特別是管理員）、行為劫持、 掛馬、蠕蟲、釣魚等。XSS是目前客戶端Web安全中最重要的漏洞。XSS按效果的不同可以分為3種：反射XSS：頁面僅把用戶輸入直接回顯在頁面或源碼中，需要誘使用戶點擊才能成功；存儲XSS：XSS攻擊代碼會被存儲在服務器中，由于用戶可能會主動瀏覽被攻擊頁面，此種方法危害較大；DOM XSS：通過修改頁面的DOM節(jié)點形成XSS，嚴格來講也可劃為反饋型XSS。常見發(fā)生位置：1） 所有涉及到用戶可控的輸入輸出點，如個人信息

13、、文章、留言等。防御措施：對重要的Cookie字段使用HTTPOnly參數(shù)；檢查所有用戶可控輸入。對所有的輸入點進行嚴格的檢查，過濾或攔截所有不符合當前語境的輸入。由于 無法預期所有可能的輸出點語境，此種方法效果較差；檢查所有用戶輸入的輸出點。因為XSS最終攻擊是發(fā)生在輸出點，因此需要分析出用戶輸入數(shù)據(jù)的所有輸出 點的環(huán)境，是輸入在HTML標簽中，還是HTML屬性、script標簽、事件、CSS位置中，針對不同的輸出位置，制定不同的轉義或過濾規(guī)則；處理富文本。在文章、論壇等需要用到富文本的地方，需要特別注意富文本與XSS的區(qū)分，嚴格禁止所有的 危險標簽及事件，原則上應當使用白名單過濾標簽、事件

14、及屬性。2.跨站點請求偽造（CSRF）名詞解釋：跨站點請求偽造（CSRF, Cross Site Request Forgery）。由于重要操作的所有參數(shù)都是可以被攻擊者猜到，攻擊者即可偽造請求，利用用戶身份完成攻擊操作，如發(fā)布文章、購買商品、轉賬、修改資料甚至密碼等。常見發(fā)生位置：1） 所有由用戶（包括管理員）發(fā)起的操作處。防御措施：使用驗證碼。驗證碼是對抗CSRF攻擊最簡潔有效的方法，但會影響用戶的使用體驗，并且不是所有的操作 都可以添加驗證碼防護。因此，驗證碼只能作為輔助驗證方法；添加足夠隨機的csrf_token并每次更新，以防止參數(shù)被猜解到。使用CSRF_token是目前通用的防護方法；驗證HTTPReferer，拒絕不安全的來源。但服務器并非在任何情況下都能獲取到Referer；建議配合使用上述方法。評分標準通用原則4、第三方產品的漏洞只給第一個提交者計貢獻值，等級不高于【中】，包括但不限于企業(yè)所使用的等服務端相關組件、OpenSSL、第三方SDK等；不同版本的同一處漏洞視 為相同漏洞。5、同一漏洞，首位報告者計貢獻值，其他報告者均不計。6、在漏洞未修復之前，被公開的漏洞不計分。7、報告網(wǎng)上已公開的漏洞不計貢獻值。8、同