网站漏洞真的防不胜防么？

创宇君近日在安全媒体freebuf上看到一篇文章，作者称发现了某金融企业网站留有后门，而且是个0day。原文地址如下：

http://www.freebuf.com/articles/web/164609.html  有兴趣的可以看一看。

在这里我们不去讨论这个后门的真假和性质，创宇君看到MallBuilder这个系统的瞬间，突然打开了记忆的大门......

2017年，创宇君作为404积极防御实验室的一员，通过知道创宇安全大数据平台发现了某商场的两个系统漏洞，该商场使用的正是MallBuilder(v5.8.1.1)。

存在的漏洞文件

文件替换漏洞：

$pic 是一个固定路径拼接上用户访问时传递过来的 pname, 通过构造pname，可以替换网站上任意jpg后缀的图片。创宇君试了一下：

另一个是代码执行漏洞：

如果将 pname的值置为 test.php ，这段代码将先从指定的URL获取内容，命名为 test.php 保存。然后生成缩略图,再将test.php重命名为xxx.php.jpg 。

此时用多个线程去生成 test.php ，再用多个线程去尝试请求 test.php ，就有可能成功执行 test.php 中的代码。 

这两个漏洞由于当时属于0day，而且非常容易利用，企业网站往往只能任人宰割......

我们实验室小伙伴第一时间提交给了官方，据说官方也及时进行了修复（每天漏洞太多了，实在没有精力再去跟踪，摊手～）。

进入安全领域，特别是来知道创宇之后的这几年，见了太多漏洞，也见了太多因为各种各样安全问题造成很大损失的客户。有一部分原因是很多企业没有安全意识，很多网站完全是裸奔状态。而更为可怕的是，对于大多数企业，即使有安全意识也很难有方法防范。

一是此类漏洞安装的时候后门就已经存在了，企业很难注意到。二是大多数企业没有专门的安全部门，大部分公司是缺乏专业安全知识的，遇到这种问题很难去避免。

那么企业在没有专业安全人员或者人员较少的情况下，如何避免此类问题呢？创宇盾在开发的时候就提出了，去人工化帮助网站进行防御。

所以我们采用了创宇盾历史累积的攻击模型，网站接入后可以直接识别并阻断利用过程，无需人工参与的方式，常见攻击手法直接挡住，特殊的漏洞添加防御规则也就可以防御啦，不仅大大减少了企业专业安全人员不足的问题，更为重要的是防御能力是人工远不可能达到的。

更多精彩文章精选

棋牌游戏易招黑，DDoS防御要常备

DDoS核导弹已引爆，全球17万网络设备可能已受核辐射

【聚焦两会】代表们的安全观

知道创宇云安全已在全球部署多个海外CN2数据中心

等保2.0 | 知道创宇出招助企业应对安全挑战

知道创宇云安全

-----------------------

让你的网站更安全

微博 ID：知道创宇云安全

点击“阅读原文”进入云安全防御平台