中華資安國際發現CVE弱點,某國外保全徵才開源平台具有三項漏洞
中華資安國際SOC團隊發現,國外保全徵才開源平台具有三項漏洞(CVE-2023-36119、CVE-2023-39551、CVE-2023-39552),該平台前端及管理頁面都有XSS問題,且在搜索功能有SQL Injection的漏洞及文件上傳功能並未過濾可執行檔上傳。
【風險等級】Critical
【影響範圍】1.0的版本
【細節描述】
CVE-2023-36119、CVE-2023-39551、CVE-2023-39552: 該平台有分管理員頁面及一般用戶查看的前端頁面,在這兩者頁面都發現可以被攻擊者進行利用的漏洞,分別是SQL injection、XSS、File upload Vulnerability,File upload的功能雖然已經被限制了上傳檔案類型,可是還能透過在WebShell內容開頭添加GIF89a跟修改文件副檔名,成功地上傳漏洞。SQL injection的漏洞需要對關鍵字中的字串進行編碼或轉義才能繞過。多處的XSS問題只需簡單的語法就可執行攻擊成功且存在於平台中。
若機關或企業有使用此平台系統,建議儘快聯繫廠商進行修補更新。
中華資安國際建議採取以下防範措施:
- 使用者:儘速將相關程式碼搬移至仍在維護的專案。
- 系統開發商:
- SQL注入防範:
使用參數化查詢或預編譯語句,確保用戶輸入的數據被視為參數而不是直接拼接到SQL查詢中。避免使用動態拼接SQL查詢,而是使用ORM(對象關係映射)或其他安全的資料庫訪問方式。
對用戶輸入和其他未信任來源的數據進行嚴格的驗證和過濾,確保只允許合法的字串和格式。
- XSS防範:
對輸出進行編碼,確保用戶輸入的數據不會被解釋為腳本。使用HTML轉義或安全的輸出Encoding Library,如OWASP Java Encoder或PHP htmlspecialchars函數。
在特定上下文中使用CSP(內容安全策略)header,限制頁面可加載的資源來源。對於敏感操作,使用HTTP-Only和Secure flag設置Cookie,避免JavaScript訪問敏感信息。
- 文件上傳漏洞防範:
對文件上傳進行嚴格的驗證和過濾,包括文件類型、文件大小和文件名。使用白名單驗證,僅允許特定類型的文件上傳,並拒絕其他類型。
為上傳的文件分配一個隨機的、不可預測的文件名,避免使用用戶提供的文件名,並限制上傳目錄的權限,確保只有有限的訪問權限。
【參考資訊】