QSecurity 月度安全评论(2012 年 3 月):传说中的 0day 漏洞

  • 殷钧钧

2012 年 4 月 8 日

话题:语言 & 开发架构

在开始自己回味这个月跟开发安全相关的文章之前,请各位读者先检查一下自己企业和个人 Windows 操作系统,有没有打上 CVE-2012-0002 漏洞的补丁。3 月 13 日,微软正式发公布了 MS12-020 安全公告(http://technet.microsoft.com/zh-cn/security/bulletin/ms12-020),警示所有 Windows 用户,Windows 系统的远程桌面协议(RDP)存在着两个严重的安全漏洞:一个可以造成远程代码执行,另一个则会造成拒绝服务(DoS)。

事实上江湖上关于 3389 和 IIS 远程代码执行 0day 漏洞的传说流传已久,可是只是限于传说而已,谁也没有亲眼见过。见过的人,也绝不会向外界泄露半点关于这种神器的信息。如今被微软官方亲自证实 3389 0day 漏洞的存在,算是给江湖传说留下一个完美结局。

关于这两个漏洞的利用(exploit), DoS 已经有人完成了 PoC。但是远程代码执行至今笔者还没有见到可信的 PoC。可以想象有多少 Windows Server 至今为止还没有打上补丁,这种 exploit 一旦流出,又不知会造成多少的血雨腥风。看来只能留待日后有机会再一探究竟了。

本月国内互联网安全界的一件大事是 2012“互联网用户安全峰会”的召开。来自国内一线互联网厂商的众多安全部门负责人纷纷现身说法,贡献了一些有意义的话题。如果对互联网安全感兴趣,那么这十几场演讲是非常有参考价值的。会议组织方非常贴心的准备了全部演讲的 PPT 下载和在线视频,地址在这里:

http://sepblog.my.phpcloud.com/?p=92

上月评论中推荐了 John Melton 的博客。这是位高产的劳模博客作者,本月他又发表了 4 篇关于 Java 安全编程的文章,内容涉及 Content-Type, XSS, Log Forging 和框架安全。值得一读,再度推荐。

http://www.jtmelton.com

本月另外一件引起技术界关注的事件就是 GitHub 的被“攻击”。虽然事实证明这只是某个 GitHub 用户为了引起官方重视而做的一个小恶作剧,但是依然引发了关于 Rails 框架默认安全和程序员实现安全之间的争论。

http://shiflett.org/blog/2012/mar/hacking-rails-and-github

本期的最后,向大家郑重推荐一个非常好用的 web 安全训练课程:OWASP Webgoat。这是由 OWASP 开发的免费开源 Web 安全训练课程。用户可以在指导下由易至难的完成众多安全攻击任务,从而加深对 Web 安全的理解。可以作为企业开发人员安全培训的主要工具使用。链接地址:

https://www.owasp.org/index.php/Webgoat

相信本期的内容足够各位读者花上一段时间了,咱们下月再见。


给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

语言 & 开发架构