邮箱安全服务专题 | Web漏洞是表象,代码容错不足是本质

上一期我们谈到了邮箱安全扫描部分的网络和主机安全检测,狭隘的讲这类漏洞是属于静态漏洞,只要我们有心,及时更新策略库,扫描发现和修补,可以把风险控制在一定的安全范围之内的。可是,Web层面的安全相对于网络和主机安全来讲更加具有复杂性,由于Web程序代码未过滤危险请求是本质原因,我们要通过表象特征去判断其本质问题,这要比直接验证的公开的漏洞要复杂得多,本期为大家介绍安恒信息的邮箱安全Web层面服务内容。

图:OWASP TOP 10 2017

本项服务目的在于全面深入发现邮箱应用中存在的安全弱点,检测应用层漏洞和邮件Web管理平台中存在的木马,帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高邮箱应用系统安全性提供依据,帮助用户建立安全可靠的Web邮箱应用服务。

我们主要通过工具扫描的方式开展这项检测工作,在服务期间,通常使用安恒信息的明鉴Web应用弱点扫描器开展,明鉴Web应用弱点扫描器(MatriXay)是安恒信息在深入分析研究B/S典型应用架构中常见安全漏洞以及流行的攻击技术基础上,研制开发的一款Web应用安全专用评估工具。该项服务产品支持OWASP TOP 10等主流安全漏洞的自动检测,同时对各种挂马方式的网页木马如iframe、CSS、JS、SWF、ActiveX等,进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。

图:明鉴Web应用弱点扫描功能结构图

同时,我们还将用专业的检测工具和分析手段,发现邮件协议相关漏洞,帮助应用开发者和管理者了解邮件系统存在的脆弱性,为改善并提高邮件系统安全性提供依据,帮助用户建立安全可靠的邮件应用服务。主要采用Nessus工具开展此项服务工作,Nessus是一种典型的基于客户/服务器结构的网络扫描系统,Nessus服务器程序可以运行在各种类UNIX平台上,包括FreeBSD、Linux、Solaris以及Windows系统上。客户端包括用户配置工具和存储/报告生成工具。服务端包括一个扫描方法库(由插件组成)、当前活动扫知识描库和一个扫描引擎,利用此工具检测过程的优势是:

1、提供完整的邮箱漏洞服务器和客户端扫描服务, 并随时更新其漏洞数据库;

2、不同于传统的漏洞扫描软件, Nessus 可同时在本机或远端上摇控, 进行系统的漏洞分析扫描;

3、其运作效能能随着系统的资源而自行调整。如果将主机加入更多的资源(例如加快CPU速度或增加内存大小),其效率表现可因为丰富资源而提高;

4、可自行定义插件(Plug-in);

5、完整支持SSL(Secure Socket Layer)。

图:安全服务工具Nessus

通过这两个工具的检测和分析,基本上完成了上期内容介绍网络和主机扫描以及本期介绍的Web漏洞和协议方面的全面体检,用户可以根据实际情况自行周期性检测,全面筛查,但这并不能判断出哪些漏洞更容易被利用,或者说哪些漏洞会直接导致被入侵,哪些漏洞本身并没有危害。因此,我们建议大家寻找专业的厂商或者团队进行“渗透测试”服务。

附:部分最新与邮箱安全有关的漏洞

CVE-2017-12628 Symantec Mail Security for SMTP响应处理拒绝服务漏洞

CVE-2016-9920 Roundcube steps/mail/sendmail.inc任意代码执行漏洞(CVE-2016-9920)

CVE-2015-0824 Mozilla Firefox拒绝服务漏洞(CVE-2015-0824)

CVE-2014-3556 Nginx SMTP代理远程命令注入漏洞

CVE-2011-4040 NJStar Communicator MiniSMTP Server远程栈缓冲区溢出漏洞

CVE-2010-1689 Microsoft Windows SMTP服务可预测DNS查询ID漏洞(MS10-024)

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-12-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏VMCloud

【腾讯云的1001种玩法】在腾讯云上创建您的SQL Server 故障转移集群 (1)

在国内公有云厂商上搭建一套SQL Cluster的难度相信做Windows的童鞋都会很清楚,并非它的搭建有多少难度,只是很多细节需要注意。所以,今天我就来讲讲如...

5.4K2
来自专栏Java进阶架构师

dubbo源码解析-服务暴露原理

之前讲完了dubbo集群容错系列,现在开始讲比较重要的环节,也就是dubbo面试中比较喜欢问的两个点:服务发布和服务引用.

1732
来自专栏NetCore

从三个方面提高网站的链接广泛度

从三个方面提高网站的链接广泛度      网站的链接广泛度(Link Popularity)在搜索引擎排名中的作用已得到广泛的认同和重视。实际上,即使...

1785

我与Apache Storm和Kafka合作的经验

对于这个学派的新手来说,我会尝试用非常简单的方式去解释。基于海量写入的扇出架构尝试在写入时使用所有业务逻辑。初衷是为了给每个用户及用例准备好视图;当有人想要读取...

2912
来自专栏开发与安全

建议程序员都读一读的31篇论文系列笔记(1~2)

序:前几日网上偶然看到”程序员必读论文系列“,顺便搜了一下,发现有多个版本共31篇,不过看起来都不错,故准备花时间都读一下,可以拓宽下视野。来源论文题目主要参考...

2400
来自专栏猿湿Xoong

5 个 Android 工具 Apk,有效提升开发效率

2544
来自专栏编程软文

小程序二维码和小程序带参数二维码生成

9094
来自专栏程序员互动联盟

【专业技术第四讲】如何检测浏览器的快慢?

现在做浏览器的大概有下面几个方向吧 1. 从事浏览器外壳的工作,开发基于浏览器的各种应用和扩展; 2. 做浏览器内核优化的,大概又分为几个部分: a. 渲染模块...

34412
来自专栏熊二哥

《大型网站技术架构》学习笔记-02架构篇

上一篇文章已经介绍了网站系统最需要关注的5大质量属性,接下来对这些特性进行详细介绍(这部分有部分内容会显得有些陈旧,之后会进行更新)。 ? 高性能架构 网站...

2715
来自专栏布尔

后短信集成时代

后短信集成时代,短信提醒(短信交互)功能基本上已经是一个日常应用系统的必备功能,当前的应用也做了一次这样的尝试。 1.移动部署的MAS包括两个部分,一是移动短信...

2278

扫码关注云+社区

领取腾讯云代金券