阿里云-先知計(jì)劃漏洞說明手冊(cè)-D

1、先知計(jì)劃漏洞說明先知計(jì)劃/漏洞說明先知計(jì)劃/漏洞說明 PAGE 7 PAGE 7漏洞說明獎(jiǎng)勵(lì)計(jì)劃說明建議企業(yè)獎(jiǎng)勵(lì)系數(shù)不低于5，以吸引更多的白帽子發(fā)現(xiàn)漏洞；建議企業(yè)設(shè)置階梯獎(jiǎng)勵(lì)系數(shù)，以鼓勵(lì)白帽子關(guān)注重 要漏洞。兩個(gè)例子：漏洞等級(jí)說明根據(jù)漏洞的危害程度將漏洞等級(jí)分為【高】、【中】、【低】三個(gè)等級(jí)。由先知平臺(tái)結(jié)合利用場景中漏洞的嚴(yán) 重程度、利用難度等綜合因素給予相應(yīng)分值的貢獻(xiàn)值和漏洞級(jí)別，每種等級(jí)包含的評(píng)分標(biāo)準(zhǔn)及漏洞類型如下：【高?！炕A(chǔ)分60-100，本等級(jí)包括： PC客戶端權(quán)限）。包括但不僅限于遠(yuǎn)程命令執(zhí)行、任意代碼執(zhí)行、上傳獲取Webshell、SQL注入獲取系統(tǒng)權(quán)限、緩沖區(qū)溢出（包括可利用的

2、ActiveX緩沖區(qū)溢出）。API業(yè)務(wù)拒絕服務(wù)、網(wǎng)站應(yīng)用拒 絕服務(wù)等造成嚴(yán)重影響的遠(yuǎn)程拒絕服務(wù)漏洞。3、重要的敏感信息泄漏。包括但不僅限于重要業(yè)務(wù)DB 的 SQL 注入、可獲取大量企業(yè)核心業(yè)務(wù)數(shù)據(jù)等接口問題引起的敏感信息泄露。阿里云物聯(lián)網(wǎng)套件/OPEN 阿里云物聯(lián)網(wǎng)套件/OPEN API7、大范圍影響用戶的其他漏洞。包括但不僅限于可造成自動(dòng)傳播的重要頁面的存儲(chǔ)型XSS（包括存儲(chǔ)型DOM- XSS）。【中?！炕A(chǔ)分30-50，本等級(jí)包括： XSS，涉及核心業(yè)務(wù)的CSRF等。2、普通越權(quán)操作。包括但不僅限于包括但不限于繞過限制修改用戶資料、執(zhí)行用戶操作等。3、普通的邏輯設(shè)計(jì)缺陷和流程缺陷。包括但不

3、僅限于不限次數(shù)短信發(fā)送、任意手機(jī)郵箱信息注冊(cè)用戶等。【低?！炕A(chǔ)分10-20，獎(jiǎng)勵(lì)系數(shù)可為0，本等級(jí)包括：1、本地拒絕服務(wù)漏洞。包括但不僅限于客戶端本地拒絕服務(wù)（解析文件格式、網(wǎng)絡(luò)協(xié)議產(chǎn)生的崩潰），由Android組件權(quán)限暴露、普通應(yīng)用權(quán)限引起的問題等。2、普通信息泄漏。包括但不僅限于客戶端明文存儲(chǔ)密碼、以及web路徑遍歷、系統(tǒng)路徑遍歷等。3、其他危害較低的漏洞。包括但不僅限于反射型 XSS（包括反射型 DOM-XSS）、普通CSRF、URL跳轉(zhuǎn)漏洞等。Web服務(wù)端安全1.SQL注入攻擊名詞解釋：SQL注入攻擊（SQL Injection），簡稱注入攻擊、SQL注入，被廣泛用于非法獲取網(wǎng)站控制

4、權(quán)，是發(fā)生在應(yīng)用程序的數(shù)據(jù)庫層上的安全漏洞。由于在設(shè)計(jì)程序時(shí)，忽略了對(duì)輸入字符串中夾帶的SQL指令的檢查，被數(shù)據(jù)庫 誤認(rèn)為是正常的SQL指令而運(yùn)行，從而使數(shù)據(jù)庫受到攻擊，可能導(dǎo)致數(shù)據(jù)被竊取、更改、刪除，甚至執(zhí)行系統(tǒng) 命令等，以及進(jìn)一步導(dǎo)致網(wǎng)站被嵌入惡意代碼、被植入后門程序等危害。常見發(fā)生位置：URL參數(shù)提交，主要為GET請(qǐng)求參數(shù)；表單提交，主要是POST請(qǐng)求，也包括GET請(qǐng)求； 3）Cookie參數(shù)提交；HTTP請(qǐng)求頭部的一些可修改的值，比如Referer、User_Agent等；一些邊緣的輸入點(diǎn)，比如.mp3、圖片文件的一些文件信息等。防御措施：使用預(yù)編譯語句。一般來說，防御SQL注入的最佳

5、方式，就是使用預(yù)編譯語句，綁定變量，但對(duì)現(xiàn)有代碼 的改動(dòng)量較大；使用存儲(chǔ)過程。使用安全的存儲(chǔ)過程可在一定程度上對(duì)抗SQL注入，但要注意此種方法并不是100%安全；嚴(yán)格檢查用戶數(shù)據(jù)。對(duì)用戶傳入的數(shù)據(jù)類型及內(nèi)容進(jìn)行嚴(yán)格的檢查。對(duì)數(shù)據(jù)類型檢查，如利用ID查詢時(shí)判 斷是否為整型，輸入郵箱時(shí)判斷郵箱格式，輸入時(shí)間、日期等必須嚴(yán)格按照時(shí)間、時(shí)期格式等；對(duì)數(shù)據(jù)內(nèi)容進(jìn) 行檢查，如嚴(yán)格檢測用戶提交數(shù)據(jù)中是否包含敏感字符或字符串，是否匹配某種注入規(guī)則，嚴(yán)格轉(zhuǎn)義特殊字符 等。注意此種方法雖然便于實(shí)施，但容易產(chǎn)生誤報(bào)和漏報(bào)，且容易被繞過；其他。使用安全的編碼函數(shù)、統(tǒng)一各數(shù)據(jù)層編碼格式（如統(tǒng)一使用UTF-8等）、嚴(yán)格限

6、制數(shù)據(jù)庫用戶權(quán)限、定期進(jìn)行代碼黑盒白盒掃描、避免將錯(cuò)誤信息顯示到頁面等。2.文件上傳名詞解釋：文件上傳漏洞是指由于程序代碼未對(duì)用戶提交的文件進(jìn)行嚴(yán)格的分析和檢查，導(dǎo)致攻擊者可以上傳可執(zhí)行的代 碼文件，從而獲取Web應(yīng)用的控制權(quán)限（Getshell）。常見發(fā)生位置：所有使用到上傳功能的位置；用戶可自定義的頭像、背景圖片等；富文本編輯器中的文件上傳功能。防御措施：上傳目錄設(shè)置為不可執(zhí)行；嚴(yán)格判斷文件類型，使用白名單而不是黑名單（注意大小寫問題）。需要注意的是一些與Web Server相關(guān)的漏洞所造成的問題，如Apache、IIS、Nginx等的文件解析漏洞；使用隨機(jī)數(shù)改寫上傳后的文件名和文件路徑；

7、單獨(dú)設(shè)置文件服務(wù)器及域名。3.權(quán)限漏洞名詞解釋：訪問控制是指用戶對(duì)系統(tǒng)所有訪問的權(quán)限控制，通常包括水平權(quán)限和垂直權(quán)限。訪問控制問題是所有業(yè)務(wù)系統(tǒng) 都可能產(chǎn)生的邏輯類漏洞，很難通過日常的安全工具掃描或防護(hù)，通常會(huì)造成大量用戶數(shù)據(jù)泄露事件。水平越權(quán)：同一權(quán)限（角色）級(jí)別的用戶之間所產(chǎn)生的問題，如A用戶可以未授權(quán)訪問B用戶的數(shù)據(jù)等；垂直越權(quán)：不同權(quán)限（角色）級(jí)別的用戶之間所產(chǎn)生的問題，如普通用戶可未授權(quán)進(jìn)行管理操作，未登錄用戶 可以訪問需授權(quán)應(yīng)用等。常見發(fā)生位置：所有涉及到與用戶相關(guān)數(shù)據(jù)的位置，如用戶資料、地址、訂單等；所有涉及到登錄及權(quán)限控制的位置，如后臺(tái)登錄、當(dāng)前用戶權(quán)限校驗(yàn)等。防御措施：對(duì)于所

8、有涉及到用戶數(shù)據(jù)的操作，嚴(yán)格判斷當(dāng)前用戶的身份；對(duì)于所有需要權(quán)限控制的位置，嚴(yán)格校驗(yàn)用戶權(quán)限級(jí)別。4.暴力破解名詞解釋： 暴力破解是指攻擊者通過遍歷或字典的方式，向目標(biāo)發(fā)起大量請(qǐng)求，通過判斷返回?cái)?shù)據(jù)包的特征來找出正確的驗(yàn)證信息，從而繞過驗(yàn)證機(jī)制。隨著互聯(lián)網(wǎng)眾多網(wǎng)站的數(shù)據(jù)庫被泄露，攻擊者選擇的樣本可以更具 針對(duì)性，暴力破解的成功率也在不斷上升。1）2）； 3） 找回密碼或二次身份驗(yàn)證等可能用到的手機(jī)短信驗(yàn)證碼；1）2）3）4） 限制一定時(shí)間內(nèi)的高頻訪問次數(shù)。5.拒絕服務(wù)攻擊名詞解釋：拒絕服務(wù)攻擊（DoS，Denial of Service）是利用合理的請(qǐng)求造成資源過載，從而導(dǎo)致服務(wù)不可用的一種攻

9、擊方式。分為針對(duì)Web應(yīng)用層的攻擊、客戶端/APP的攻擊。常見發(fā)生位置：Web層常見于會(huì)大量消耗資源的位置，如查找功能等；客戶端/APP常見于異常輸入數(shù)據(jù)造成的程度崩潰。防御措施：針對(duì)Web層DoS：限制每個(gè)客戶端的請(qǐng)求頻率；使用驗(yàn)證碼過濾自動(dòng)攻擊者；做好應(yīng)用代碼的性能優(yōu)化，網(wǎng)絡(luò)架構(gòu)優(yōu)化等； 針對(duì)客戶端/APP拒絕服務(wù)攻擊：刪除不必要的組件；對(duì)用戶輸入數(shù)據(jù)進(jìn)行過濾和檢查。6.敏感信息泄露名詞解釋：敏感信息泄露是指包括用戶信息、企業(yè)員工信息、內(nèi)部資料等不應(yīng)當(dāng)被外部訪問到的數(shù)據(jù)通過網(wǎng)站、接口、外 部存儲(chǔ)等途徑被未授權(quán)泄露到外部的漏洞。信息泄露漏洞會(huì)導(dǎo)致大量用戶或企業(yè)信息被惡意利用，進(jìn)行詐騙、 賬戶

10、竊取等，給用戶和企業(yè)帶來嚴(yán)重的不良影響。并且信息一旦信息被泄露，影響會(huì)很難消除。常見發(fā)生位置：獲取用戶、企業(yè)信息等數(shù)據(jù)的網(wǎng)站或客戶端接口；企業(yè)可訪問到的外部存儲(chǔ)，如網(wǎng)盤、郵箱等；其他一切可能泄露數(shù)據(jù)的途徑。防御措施： 1) 對(duì)數(shù)據(jù)接口進(jìn)行嚴(yán)格的權(quán)限檢查和訪問限制；劃分企業(yè)安全邊界，限制內(nèi)部數(shù)據(jù)外流，如禁止訪問外部存儲(chǔ)應(yīng)用等；提高員工數(shù)據(jù)安全意識(shí)。7.業(yè)務(wù)邏輯漏洞名詞解釋：業(yè)務(wù)邏輯漏洞是指由于業(yè)務(wù)在設(shè)計(jì)時(shí)考慮不全所產(chǎn)生的流程或邏輯上的漏洞，如用戶找回密碼缺陷，攻擊者可 重置任意用戶密碼；如短信炸彈漏洞，攻擊者可無限制利用接口發(fā)送短信，惡意消耗企業(yè)短信資費(fèi)，騷擾用戶 等。由于業(yè)務(wù)邏輯漏洞跟業(yè)務(wù)問題

11、貼合緊密，常規(guī)的安全設(shè)備無法有效檢測出，多數(shù)需要人工根據(jù)業(yè)務(wù)場景及 特點(diǎn)進(jìn)行分析檢測。常見發(fā)生位置：所有涉及到用戶交互的位置。防御措施：針對(duì)業(yè)務(wù)場景進(jìn)行全面的檢測。8.安全配置缺陷包括：文件遍歷、源碼泄露、配置文件泄露等。文件遍歷：可以瀏覽服務(wù)器Web目錄下的文件列表，可能會(huì)泄露重要文件； 源碼泄露：可以查到的Web程序的源代碼；配置文件泄露：Web服務(wù)器及程度代碼的配置文件泄露等。防御措施：1） 檢查所有可能存在安全配置問題的點(diǎn)，在滿足業(yè)務(wù)需求的情況下，最大化安全配置。反欺詐/API手冊(cè)反欺詐/API手冊(cè)Web客戶端安全1.跨站腳本攻擊（XSS）名詞解釋：跨站腳本攻擊（XSS, Cross

12、Site Script）通常指黑客通過HTML注入篡改了網(wǎng)頁，插入惡意腳本，從而在用戶瀏覽網(wǎng)頁時(shí)，控制用戶瀏覽器的一種攻擊。XSS漏洞可被用于用戶身份竊?。ㄌ貏e是管理員）、行為劫持、 掛馬、蠕蟲、釣魚等。XSS是目前客戶端Web安全中最重要的漏洞。XSS按效果的不同可以分為3種：反射XSS：頁面僅把用戶輸入直接回顯在頁面或源碼中，需要誘使用戶點(diǎn)擊才能成功；存儲(chǔ)XSS：XSS攻擊代碼會(huì)被存儲(chǔ)在服務(wù)器中，由于用戶可能會(huì)主動(dòng)瀏覽被攻擊頁面，此種方法危害較大；DOM XSS：通過修改頁面的DOM節(jié)點(diǎn)形成XSS，嚴(yán)格來講也可劃為反饋型XSS。常見發(fā)生位置：1） 所有涉及到用戶可控的輸入輸出點(diǎn)，如個(gè)人信息

13、、文章、留言等。防御措施：對(duì)重要的Cookie字段使用HTTPOnly參數(shù)；檢查所有用戶可控輸入。對(duì)所有的輸入點(diǎn)進(jìn)行嚴(yán)格的檢查，過濾或攔截所有不符合當(dāng)前語境的輸入。由于 無法預(yù)期所有可能的輸出點(diǎn)語境，此種方法效果較差；檢查所有用戶輸入的輸出點(diǎn)。因?yàn)閄SS最終攻擊是發(fā)生在輸出點(diǎn)，因此需要分析出用戶輸入數(shù)據(jù)的所有輸出 點(diǎn)的環(huán)境，是輸入在HTML標(biāo)簽中，還是HTML屬性、script標(biāo)簽、事件、CSS位置中，針對(duì)不同的輸出位置，制定不同的轉(zhuǎn)義或過濾規(guī)則；處理富文本。在文章、論壇等需要用到富文本的地方，需要特別注意富文本與XSS的區(qū)分，嚴(yán)格禁止所有的 危險(xiǎn)標(biāo)簽及事件，原則上應(yīng)當(dāng)使用白名單過濾標(biāo)簽、事件

14、及屬性。2.跨站點(diǎn)請(qǐng)求偽造（CSRF）名詞解釋：跨站點(diǎn)請(qǐng)求偽造（CSRF, Cross Site Request Forgery）。由于重要操作的所有參數(shù)都是可以被攻擊者猜到，攻擊者即可偽造請(qǐng)求，利用用戶身份完成攻擊操作，如發(fā)布文章、購買商品、轉(zhuǎn)賬、修改資料甚至密碼等。常見發(fā)生位置：1） 所有由用戶（包括管理員）發(fā)起的操作處。防御措施：使用驗(yàn)證碼。驗(yàn)證碼是對(duì)抗CSRF攻擊最簡潔有效的方法，但會(huì)影響用戶的使用體驗(yàn)，并且不是所有的操作 都可以添加驗(yàn)證碼防護(hù)。因此，驗(yàn)證碼只能作為輔助驗(yàn)證方法；添加足夠隨機(jī)的csrf_token并每次更新，以防止參數(shù)被猜解到。使用CSRF_token是目前通用的防護(hù)方法；驗(yàn)證HTTPReferer，拒絕不安全的來源。但服務(wù)器并非在任何情況下都能獲取到Referer；建議配合使用上述方法。評(píng)分標(biāo)準(zhǔn)通用原則4、第三方產(chǎn)品的漏洞只給第一個(gè)提交者計(jì)貢獻(xiàn)值，等級(jí)不高于【中】，包括但不限于企業(yè)所使用的等服務(wù)端相關(guān)組件、OpenSSL、第三方SDK等；不同版本的同一處漏洞視 為相同漏洞。5、同一漏洞，首位報(bào)告者計(jì)貢獻(xiàn)值，其他報(bào)告者均不計(jì)。6、在漏洞未修復(fù)之前，被公開的漏洞不計(jì)分。7、報(bào)告網(wǎng)上已公開的漏洞不計(jì)貢獻(xiàn)值。8、同