思客云開(kāi)源軟件安全漏洞檢測(cè)產(chǎn)品隨時(shí)信息技術(shù)的發(fā)展和國(guó)家網(wǎng)絡(luò)安全法的發(fā)布，信息和網(wǎng)絡(luò)安全問(wèn)題越來(lái)越受到重視。而如今的黑客攻擊最主要的手段就是利用應(yīng)用系統(tǒng)中所存在的安全漏洞。近幾年，特別是“心臟出血”安全漏洞曝發(fā)以后基于開(kāi)源軟件漏洞2017年增長(zhǎng)20%隨時(shí)信息技術(shù)的發(fā)展和國(guó)家網(wǎng)絡(luò)安全法的發(fā)布，信息和網(wǎng)絡(luò)安全問(wèn)題越來(lái)越受到重視。而如今的黑客攻擊最主要的手段就是利用應(yīng)用系統(tǒng)中所存在的安全漏洞。近幾年，特別是“心臟出血”安全漏洞曝發(fā)以后，利用應(yīng)用系統(tǒng)中常見(jiàn)的開(kāi)源軟件的漏洞進(jìn)行大規(guī)模的黑客攻擊行為屢見(jiàn)不鮮，他們最常用和最簡(jiǎn)單的方法就是通過(guò)一個(gè)已知的開(kāi)源框架的安全漏洞，對(duì)同一類型的應(yīng)用系統(tǒng)發(fā)動(dòng)相同的攻擊，如針對(duì)相同的銀行的網(wǎng)銀類系統(tǒng)，或者是針對(duì)政府的門(mén)戶網(wǎng)站類系統(tǒng)進(jìn)行大規(guī)模的攻擊，如果被攻擊的應(yīng)用系統(tǒng)還沒(méi)有及時(shí)及對(duì)開(kāi)源框架的漏洞進(jìn)行修復(fù)，就可以很輕松地拿下這個(gè)應(yīng)用系統(tǒng)。根據(jù)權(quán)威機(jī)構(gòu)對(duì)開(kāi)源項(xiàng)目所收集到的統(tǒng)計(jì)數(shù)據(jù)預(yù)測(cè)到，基于開(kāi)源軟件漏洞的網(wǎng)絡(luò)攻擊活動(dòng)數(shù)量在2017年增長(zhǎng)20%。開(kāi)源軟件漏洞管理——軟件安全保障新挑戰(zhàn)據(jù)統(tǒng)計(jì)，商業(yè)軟件項(xiàng)目的免費(fèi)版本數(shù)量已經(jīng)超過(guò)了50%甚至更多，而開(kāi)源軟件產(chǎn)品所占比重從2011年的3%增長(zhǎng)到了現(xiàn)在的33%。平均每一款商業(yè)軟件都會(huì)使用超過(guò)100個(gè)開(kāi)源組件，而且三分之二的商業(yè)應(yīng)用代碼中已知是存在安全漏洞的。以JAVA應(yīng)用為例，由于開(kāi)發(fā)的模式和開(kāi)發(fā)框架技術(shù)的發(fā)展，幾乎很難找到一個(gè)完全不使用開(kāi)源框架的應(yīng)用系統(tǒng)，如JAVA的開(kāi)源開(kāi)發(fā)框架：Struts,Spring,Hibernate等幾乎成了JAVA應(yīng)用系統(tǒng)開(kāi)發(fā)的標(biāo)準(zhǔn)配置，無(wú)論是政府門(mén)戶網(wǎng)站，銀行的網(wǎng)上銀行系統(tǒng)，電商的銷售平臺(tái)，企業(yè)內(nèi)部OA系統(tǒng)，甚至移動(dòng)應(yīng)用的服務(wù)器端系統(tǒng)都是在使用這些開(kāi)源框架。但Struts2的安全漏洞卻是一波為平一波又起，如下圖，2016年4月26日，Struts2漏洞血洗互聯(lián)網(wǎng)。如下圖，是Apatch官網(wǎng)從2013年4月以后所統(tǒng)計(jì)的Struts2開(kāi)源軟件的安全漏洞就有55個(gè)之多:

ApacheStruts2DocumentationCHILDPAGESNHomeSecurityBulletinsApacheStruts2DocumentationCHILDPAGESNHomeSecurityBulletins82-001kS2-002LS2-003S2-004S2-005S2-006S2-007S2-008S2-009S2-010S2-011S2-012S2-013S2-0140Spacetools■ ?S2-026—SpecialtopobjectcanbeusedtoaccessStruts'internalsS2-027—TextParseUtil.translateVariablesdoesnotfiltermaliciousOGNLexpressionsS2-028—UseofaJREwithbrokenURLDecoderimplementationmayleadtoXSSvulnerabilityinStruts2basedwebapplications.S2-029—ForceddoubleOGNLevaluation,whenevaluatedonrawuserinputintagattributes,mayleadtoremotecodeexecution.S2-030—PossibleXSSvulnerabilityin11SNInterceptorS2-031—XSLTResultcanbeusedtoparsearbitrarystylesheetS2-032—RemoteCodeExecutioncanbeperformedviamethod:prefixwhenDynamicMethodInvocationisenabled.S2-033—RemoteCodeExecutioncanbeperformedwhenusingRESTPluginwith!operatorwhenDynamicMethodInvocationisenabled.S2-034—OGNLcachepoisoningcanleadtoDoSvulnerabilityS2-035—ActionnamecleanupiserrorproneS2-036—ForceddoubleOGNLevaluation,whenevaluatedonrawuserinputintagattributes,mayleadtoremotecodeexecution(similartoS.S2-037—RemoteCodeExecutioncanbeperformedwhenusingRESTPlugin.S2-038—ItispossibletobypasstokenvalidationandperformaCSRFattackS2-039—GetterasactionmethodleadstosecuritybypassS2-040—Inputvalidationbypassusingexistingdefaultactionmethod.S2-041—PossibleDoSattackwhenusingURLValidatorS2-042—PossiblepathtraversalintheConventionpluginS2-043——UsingtheConfigBrowserplugininproductionS2-044—PossibleDoSattackwhenusingURLValidatorS2-045—PossibleRemoteCodeExecutionwhenperformingfileuploadbasedonJakartaMultipartparser.S2-046—PossibleRCEwhenperformingfileuploadbasedonJakartaMultipartparser(similartoS2-045)S2-047—PossibleDoSattackwhenusingURLValidator(similartoS2-044)S2-048—PossibleRCEintheStrutsShowcaseappintheStruts1pluginexampleinStruts2.3.xseriesS2-049—ADoSattackisavailableforSpringsecuredactionsS2-050—AregularexpressionDenialofServicewhenusingURLValidator(similartoS2-044&S2-047)S2-051—AremoteattackermaycreateaDoSattackbysendingcraftedxmlrequestwhenusingtheStrutsRESTpluginS2-052—PossibleRemoteCodeExecutionattackwhenusingtheStrutsRESTpluginwithXStreamhandlertohandleXMLpayloadsS2-053——ApossibleRemoteCodeExecutionattackwhenusinganunintentionalexpressioninFreemarkertaginsteadofstringliteralsS2-054—AcraftedJSONrequestcanbeusedtoperformaDoSattackwhenusingtheStrutsRESTpluginS2-055—ARCEvulnerabilityintheJacksonJSONlibrary思客云開(kāi)源軟件安全漏洞檢測(cè)系統(tǒng)思客云正是根據(jù)用戶目前所面臨的這一問(wèn)題，結(jié)合多年的安全漏洞檢測(cè)技術(shù)經(jīng)驗(yàn)，獨(dú)立自主地研發(fā)一套自動(dòng)化開(kāi)源軟件安全漏洞檢測(cè)系統(tǒng)。該系統(tǒng)是在企業(yè)內(nèi)部建立一個(gè)開(kāi)源框架漏洞應(yīng)急響應(yīng)云平臺(tái)，它能夠在漏洞發(fā)布的最短時(shí)間內(nèi)自動(dòng)化主動(dòng)地探測(cè)開(kāi)源框架漏洞的發(fā)布信息，到在企業(yè)內(nèi)部對(duì)所有應(yīng)用系統(tǒng)是否使用有安全漏洞的開(kāi)源框架的具體情況進(jìn)行快速檢測(cè)，并及時(shí)通知應(yīng)用系統(tǒng)的相關(guān)管理人員進(jìn)行快速修補(bǔ)。將這一安全漏洞事件的危害降到最小。

該檢測(cè)系統(tǒng)是一套集開(kāi)源軟件安全漏洞收集，開(kāi)源軟件安全檢查管理、安全檢查漏洞報(bào)警及發(fā)布、安全策略執(zhí)行、開(kāi)源軟件安全漏洞知識(shí)分享等為一體的綜合性開(kāi)源軟件安全漏洞應(yīng)急響的平臺(tái)級(jí)系統(tǒng)。這套系統(tǒng)將大大地方便企業(yè)級(jí)用戶在開(kāi)源軟件組件漏洞曝露的改變傳統(tǒng)軟件安全測(cè)試工具的使用方式，成為企業(yè)級(jí)的產(chǎn)品解決方案。思客云■開(kāi)源代碼檢測(cè)漏洞最多的項(xiàng)目ToplO崛目呂橙測(cè)配苴zbg-webl.0-2.5.1-3doud-5caner252椅婚情開(kāi)源代踴辟zbg-Webl.&-2.5.1-3 血⑴訴盼1■開(kāi)源代碼檢測(cè)漏洞最多的項(xiàng)目ToplO崛目呂橙測(cè)配苴zbg-webl.0-2.5.1-3doud-5caner252椅婚情開(kāi)源代踴辟zbg-Webl.&-2.5.1-3 血⑴訴盼1showcasecloudStanerjfirial_demQelixra-scAner2-5^■1showcase—『cloud-web3.1出現(xiàn)次數(shù)最多的漏洞ToplO漏洞名CVE-2016-3082y^CVE-2017-CVE-2016-3082y^CVE-2017-12611CVE-2017-12611CVE-2016-a093CVE-2016-4436192.163.0.ISiOO/dcHjd&ecure/task/listTatal＞具體一個(gè)項(xiàng)目的檢測(cè)詳情報(bào)告:查看白名單導(dǎo)出報(bào)吉下載查看白名單導(dǎo)出報(bào)吉下載Exce服告項(xiàng)目名稱：＜JAVA_Webgoat＞項(xiàng)目版本：11.0序號(hào)名稱版本已知風(fēng)險(xiǎn)踣徑操作1struts2-rest-plugin2.3.7CVE-2017-9805 臼CVE-2017-9793 E3lib\lib\WebGoat5.0\WebContent\WEB-INRIib\stnjts2-rest-plugin-2.3.7.jarCVE-2016-0785CVE-2016-4003CVE-2013-4316CVE-2013-4310CVE-2013-2248CVE-2013-2251CVE-2013-2135CVE-2013-2115CVE-2013-1966CVE-2012-4387CVE-2011-3923CVE-2011-1772struts2-coreCVE-2016-3093lib\lib\WebGoat5.0\WebContent\WEB-INF\lib\stnjts2-core-.jar宙計(jì)struts2-coreCVE-2016-3093lib\lib\WebGoat5.0\WebContent\WEB-INF\lib\stnjts2-core-.jar宙計(jì)CVE-2015-5209CVE-2014-0112CVE-2014-7809CVE-2014-0116CVE-2014-0094CVE-2012-4386CVE-2017-12611CVE-2016-4461CVE-2016-3082＞思客云開(kāi)源軟件漏洞管理平臺(tái)提供不同開(kāi)發(fā)語(yǔ)言下的開(kāi)源軟件的每個(gè)漏洞的解釋說(shuō)明，修復(fù)建議和參考資料：思客云開(kāi)源框架安全漏洞知識(shí)平臺(tái)rW開(kāi)源框架漏洞知識(shí)庫(kù):■US導(dǎo)入漏洞庫(kù)曰0JAVAOMaven卜。xmltoolingrW開(kāi)源框架漏洞知識(shí)庫(kù):■US導(dǎo)入漏洞庫(kù)曰0JAVAOMaven卜。xmltooling-chOjackrabbitswagger-parserSQLitemqttZuuloWittptomcat-nativeCVE-2018-1308漏洞名稱(CVE):ImproperRestrictionofXMLExternalEntityReference('XXE')漏洞名稱(CVE): XML外部擴(kuò)展漏洞名稱(CNNVD): ApacheSolrDatalmportHandler安全漏洞bOxmlsec日€3SolrLO遠(yuǎn)程反序列化代碼執(zhí)行漏洞(CVE-2019I1-0XML外瀚囑(CVE-2(H8~13O8)ICVE^^：CVE-2018-1308CNNVg號(hào):CNNVD-201804Y15危險(xiǎn)等級(jí)：High影響版本：solr-core:1.2.0-6.6.2;solr-core:7.0.0-7.2.1j-0XML外部擴(kuò)展(CVE-2018-8010)!0跨站點(diǎn)腳本(XSS)(CVE-2015-8795)1-0跨站點(diǎn)腳本(XSS)(CVE-2014-3628)〔?？缯军c(diǎn)腳本(XSS)(CVE-2015-879