安全攻防技能30讲
何为舟
前微博安全研发负责人
立即订阅
2951 人已学习
课程目录
已更新 13 讲 / 共 30 讲
0/4登录后,你可以任选4讲全文学习。
开篇词 (1讲)
开篇词 | 别说你没被安全困扰过
免费
安全基础概念 (5讲)
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
02 | 安全原则:我们应该如何上手解决安全问题?
03 | 密码学基础:如何让你的密码变得“不可见”?
04 | 身份认证:除了账号密码,我们还能怎么做身份认证?
05 | 访问控制:如何选取一个合适的数据保护方案?
Web安全 (7讲)
06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
07 | SQL注入:明明设置了强密码,为什么还会被别人登录?
08 | CSRF/SSRF:为什么避免了XSS,还是“被发送”了一条微博?
09 | 反序列化漏洞:使用了编译型语言,为什么还是会被注入?
10 | 信息泄漏:为什么黑客会知道你的代码逻辑?
11 | 插件漏洞:我的代码看起来很安全,为什么还会出现漏洞?
12 | 权限提升和持久化:为什么漏洞修复了,黑客还是能够自由进出?
安全攻防技能30讲
登录|注册

11 | 插件漏洞:我的代码看起来很安全,为什么还会出现漏洞?

何为舟 2020-01-01
你好,我是何为舟。
在讲反序列化漏洞的时候,我们说过,这个漏洞其实就存在于 Fastjson、Jackson 等知名的 JSON 解析库中,跟你自己写的代码没有太多关系,所以极难掌控。也就是说,在开发应用的过程中,尽管你的代码很安全了,黑客还是能够通过插件漏洞对应用发起攻击(我文中提到的插件,是第三方的插件、依赖库、工具和框架等的统称)。
说到这儿,想不想测试一下你的插件是否安全?在这里,我准备了几个问题,你可以看看自己是否对所用的插件了如指掌。
你所使用的所有插件的版本是什么?(包括前端和后端,直接引用和间接引用)
你所使用的这些插件,是否存在漏洞,是否不被维护了,是否被废弃了?
你所使用的这些插件,会在哪些地方发布更新信息和漏洞信息?
你所使用的这些插件,是否会定期更新?你是否会对更新插件进行完整的测试?
你所使用的这些插件,在安全方面,有哪些配置需要关注?
对于这些问题,如果你还没办法很快回答上来,那你的应用很有可能要受到插件漏洞的威胁了。所以,我接下来要讲的内容,你要认真听了。

为什么要重视插件漏洞?

在谈论安全漏洞的时候,你应该经常会听到“0 day”(中文译为“零日”)这个词。到底什么是“0 day”呢?“0 day”,即在插件发布修复漏洞的安全补丁之前,黑客就已经知道漏洞细节的漏洞。换一句话说,“0 day”就是只有黑客知晓的未公开漏洞。
取消
完成
0/1000字
划线
笔记
复制
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
该试读文章来自付费专栏《安全攻防技能30讲》,如需阅读全部文章,
请订阅文章所属专栏。
立即订阅
登录 后留言

精选留言(7)

  • leslie
    "插件分析和外部依赖以及补丁管理“:这其实就是安全中最典型的问题同时又是我们最容易处在处理与不处理之间的事情。
       ”永恒之蓝“印象非常深:但是事后查过,这个补丁的出现远远早于国内爆发时期,这其实就涉及到了一个现象-安全意识。自己作为一个从事运维十余载的老兵同样不可能层层意识到这么多问题,毕竟精力有限且主业不在此-不过这种意识我又觉得确实必须有。
            今天的东西很实际且非常实用:“发现问题、控制问题、分析问题、解决问题”。无乱是运维还是安全这都是必须的。
            感谢老师的分享,学习中提升自己。今天是元旦、学习中新的一年开始了、祝老师新年快乐,谢谢一直以来的辛勤付出。

    作者回复: 谢谢~

    2020-01-01
    2
  • hello
    老师,新年快乐

    作者回复: 新年快乐

    2020-01-01
    1
  • Roy Liang
    执行mvn org.owasp:dependency-check-maven:check会以当前时间下载最新的CVE漏洞库,现在新年刚过,会报“Unable to download meta file: https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2020.meta; received 404 -- resource not found”错误。解决办法:1. 调整当前日期为2019年12月31日,2. 等待网站的新漏洞文件发布

    作者回复: 赞

    2020-01-02
  • 小老鼠
    安全工作由开发工程师、测试工程师还是安全工程师来防范?

    作者回复: 这就得由公司领导来定义了。大公司一般有专门的安全部门,因此会由安全工程师来防范。

    2020-01-02
  • 小晏子
    试着去安装了这个OWASP dependency check,可是这个工具用不了了,有个“new year bug”。
    记得之前用其他工具扫描过android的漏洞,扫描到好多依赖包的CVE 问题,都是通过升级这些依赖包解决的。
    对于第二个问题,有个疑问,比如现在数据库用的是mysql 5.7.18,os用的是ubuntu 16.04,可是这些组件都是用的公有云提供的现成的,比如数据库是阿里云的rds,os也是直接安装在ECS上,这样的话,这些CVE的漏洞威胁是不是就不那么大了?因为阿里云已经做了一层安全隔离?

    作者回复: 对于第二个问题,是的。阿里云会提供一些安全检测的能力,随意问题不是那么严重。我在用阿里云的安骑士的时候,它也会经常提醒我去更新各种插件。

    2020-01-01
  • Cy23
    公司很少会主动弥补漏洞,都是等检查未通过后弥补

    作者回复: 对于大部分公司都是这个情况,所以需要有人做好向上教育,并自上而下推动整改。。

    2020-01-01
  • qinsi
    node项目可通过depcheck检查未使用的依赖项,通过npm audit检查依赖项中的已知漏洞
    2020-01-01
收起评论
7
返回
顶部