安全是有分量的

ddos清洗_济南高防服务器_如何解决

2022-06-21 15:00栏目:科技报

ddos清洗_济南高防服务器_如何解决

安全解决方案旨在确保组织安全,但当同一软件成为攻击者利用的威胁向量时,这些模型就会崩溃。

新的Bitdefender远程代码执行漏洞CVE-2020-8102就属于这种情况,该漏洞潜伏在其Safepay浏览器组件中。

"Bitdefender Total Security 2020的Safepay浏览器组件中存在不正确的输入验证漏洞,允许外部精心编制的网页在Safepay实用程序进程内运行远程命令。此问题影响24.0.20.116之前的Bitdefender Total Security 2020版本,带ddos防御的国外服务器,"今天披露的一条建议。

安全博客作者、AdBlock Plus扩展的原始开发者Wladimir Palant披露,Bitdefender如何保护用户免受无效证书的侵害,发现了一个漏洞。

作为整体系统安全解决方案的一部分,Bitdefender充当中间人(MitM)代理来检查安全的HTTPS连接。

这种行为通常被几乎所有防病毒供应商采用,通常被称为安全搜索、Web保护、Web访问保护等。

大多数浏览器在收到无效或过期的SSL证书时,会将选项传递给用户,防御webcc攻击,以接受带有警告的证书或导航离开。类似地,Bitdefender为其用户提供了类似的浏览体验,并提供了此类网页的自定义版本,如下所示。

如果用户选择忽略HSTS警告并自行承担风险,这通常不是问题。

正如Palant所指出的,有趣的是web浏览器地址栏中的URL本身保持不变。这会诱使应用程序在该(潜在恶意)页面和托管在同一服务器上并在Bitdefender的Safepay虚拟浏览环境中运行的任何其他网站之间共享安全令牌。

"浏览器地址栏中的URL不会更改。就浏览器而言,此错误页起源于web服务器,同一服务器上的其他网页没有理由无法访问它。无论其中包含什么安全令牌,专业防御ddos,网站都可以读取它们–这是我们在Kas中看到的问题之前的persky产品,"Palant在其报告中指出。

Palant通过一个PoC演示了这种行为,在该PoC中,他让一个本地运行的web服务器在第一次请求时提供有效的SSL证书,但在之后立即切换到无效的证书。

切换证书后,发出AJAX请求以下载SSL错误页。在任何情况下,同源策略都是相同的如果web浏览器感觉保持相同的来源,它自然会允许此请求。

"这允许在浏览器中加载恶意页面,然后切换到无效证书,然后使用XMLHttpRequest下载生成的错误页面。这是一个相同来源的请求,浏览器不会阻止您。在该页面中,您将拥有"我了解风险"链接背后的代码,怎样防御ddos,"Palant解释道。

与其他防病毒产品一样,Bitdefender在会话期间发出AJAX请求时使用一组安全令牌。但是,这些值是硬编码的,不一定在应该更改时更改。

此外,多服务器防御ddos,组件的安全搜索和安全银行功能没有实现任何额外的保护,"事实证明,所有功能都使用相同的BDNDSS_B67EA559F21B487F861FDA8A44F01C50和BDNDCA_BBACF84D61A04F9A66019A14B035478值,但安全搜索和安全银行功能没有实现任何额外的保护。"实际上,这意味着可以查看这些值的攻击者,例如,如果用户在Bitdefender运行时访问其恶意网站,现在可以危害Bitdefender内同一Safepay浏览器会话中运行的所有其他"孤立"银行网站。

更糟糕的是,攻击者的恶意页面可以使用这些相同的安全令牌发出AJAX请求,在受害者的计算机上执行任意代码。

该请求包含在Safepay安全银行会话期间使用的相同令牌,另外还包括作为"数据:"URI的有效负载。一旦处理完毕,有效载荷就会在受害者的机器上启动一个命令提示符,运行"whoami"命令,例如:

当一个补丁已经发布给受影响的用户时,像这样的漏洞会提醒人们,尽管出于最佳意图,也会发生错误,例如提供一个安全的浏览环境。

除非玩家在玩中间人(MitM)时非常确定,否则最好不要使用加密连接:因为加密连接本来就应该如此。

Bitdefender随后推出了一个自动更新,修复了版本24.0.20.116及更高版本中的此漏洞。