漏洞扫描基本概念

Posted by

The Pallets Project flask version Before 0.12.3 contains a CWE-20:
Improper Input Validation vulnerability in flask that can result in
Large amount of memory usage possibly leading to denial of service.
This attack appear to be exploitable via Attacker provides JSON data
in incorrect encoding. This vulnerability appears to have been fixed
in 0.12.3.

CPE(Common Product Enumeration)

信息技术产品,系统,软件包的结构化命名规范,分类命名标准。


Pallets项目组开发的Flask
0.12.3及以下版本包含CWE-20类型的漏洞:不合适的输入验证漏洞。这个漏洞将会导致大量内存占用,可能会导致拒绝服务。攻击者可以通过提供使用了错误编码的JSON数据来进行攻击。这个漏洞已经在0.12.3版本中修复(#2691)。

OVAL(Open Vulnerability and Assessment Language)

描述漏洞检测方法的机器可识别语言。会以xml的格式进行发布。它是一个技术性的描述。它详细的描述了漏洞检测的技术细节,可导入自动化检测工具中实施漏洞检测工作。


这个漏洞(CVE-2018-1000656)四天前(8月20号)被发布在NVD(National
Vulnerability Database,国家漏洞数据库)上,漏洞描述如下:


附注

  • NVD是美国政府收集网络安全漏洞的网站,详情见National Vulnerability
    Database;
  • CWE(Common Weakness
    Enumeration,常见缺陷枚举)是漏洞分类标准,由美国非营利组织MITRE维护,详情见Common
    Weakness
    Enumeration。
  • CVE(The Common Vulnerabilities and
    Exposures,一般漏洞及暴露)是一个漏洞数据库,由美国非营利组织MITRE维护,详情见Common
    Vulnerabilities and Exposures
    (CVE)。

通过之前的扫描我们可以知道目标主机的一些基本信息,然后我们可以基于这些个基本信息去进一步的发现目标是否存在漏洞,当然这种方式虽然可行,但是效率太低。

大致的翻译如下:

CVE(Common Vulnerabilities and Exposures)

CVE是已公开的信息安全漏洞字典,同时也是统一的漏洞编号标准。
因为CVE的存在,使得漏洞的世界秩序变得清晰可辨。

当发现一个漏洞后,CAN负责指定CVE ID,然后发布到CVE
LIst中:CVE-2008-4250,然后MITRE公司负责对内容进行编辑维护。

同时有的厂商也会有自己的CVE标准,比如微软的MS漏洞编号,MSKB为补丁编号。不同组织不同机构也许会有不同的CVE标准。


应对措施

对于这个漏洞,你可以通过升级来进行防范。如果你打算使用最新版本(Flask
1.0.2),可以使用下面的命令更新(参见这篇文章了解Flask
1.0版本包含哪些主要变化):

$ pip install -U flask

如果你使用Pipenv,则可以使用下面的命令:

$ pipenv update flask

如果你还没有准备好使用最新版本,可以升级到0.12.3版本:

$ pip install flask==0.12.3

然后更新requirements.txt:

flask ~> 0.12.3

如果使用Pipenv,则使用下面的命令:

$ pipenv install flask==0.12.3

SCAP(Security Content Automation Protocol)

SCAP是一个集合了多种安全标准的框架,它共有六个子元素:CVE,OVAL,CCE,CPE,CVSS,XCCDF。其目的是以标准的方法展示和操作安全数据。有NIST负责维护。

框架是个很有效率的东西,美国人民很擅长做框架的东西,因为一般只要完成了框架里所要求的事情,基本上就很规范了。所以,SCAP是当前美国比较成熟的一套信息安全评估标准体系,其标准化,自动化的思想对信息安全行业产生了深远的影响。

SCAP主要解决三个问题:

  • 实现高层政策法规等到底层实施的落地。
  • 将信息安全所涉及的各个要素标准化。
  • 将复杂的系统配置核查工作自动化。

由于SCAP太完美,太细致啦,所以太复杂了,目前这个星球上完全安装按照SCAP标准去干的,只有NVD(National
Vulnerabiliy Database:美国国家漏洞管理标准数据)一家。

NVD:https://nvd.nist.gov/

nvd的CheckList是很好用的。

CEE

描述软件配置缺陷的一种标准格式。
在信息安全风险评估中,配置缺陷的检测是一项重要内容,使用CCE可以让配置缺陷以标准的方式展现出来,便于配置缺陷评估的可量化操作。


title: 漏洞扫描基本概念
date: 2016-06-15 10:30
tags: Kali渗透测试 漏洞扫描

相关文章

Leave a Reply

电子邮件地址不会被公开。 必填项已用*标注