专栏首页安恒信息邮箱安全服务专题 | Web漏洞是表象,代码容错不足是本质

邮箱安全服务专题 | Web漏洞是表象,代码容错不足是本质

上一期我们谈到了邮箱安全扫描部分的网络和主机安全检测,狭隘的讲这类漏洞是属于静态漏洞,只要我们有心,及时更新策略库,扫描发现和修补,可以把风险控制在一定的安全范围之内的。可是,Web层面的安全相对于网络和主机安全来讲更加具有复杂性,由于Web程序代码未过滤危险请求是本质原因,我们要通过表象特征去判断其本质问题,这要比直接验证的公开的漏洞要复杂得多,本期为大家介绍安恒信息的邮箱安全Web层面服务内容。

图:OWASP TOP 10 2017

本项服务目的在于全面深入发现邮箱应用中存在的安全弱点,检测应用层漏洞和邮件Web管理平台中存在的木马,帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高邮箱应用系统安全性提供依据,帮助用户建立安全可靠的Web邮箱应用服务。

我们主要通过工具扫描的方式开展这项检测工作,在服务期间,通常使用安恒信息的明鉴Web应用弱点扫描器开展,明鉴Web应用弱点扫描器(MatriXay)是安恒信息在深入分析研究B/S典型应用架构中常见安全漏洞以及流行的攻击技术基础上,研制开发的一款Web应用安全专用评估工具。该项服务产品支持OWASP TOP 10等主流安全漏洞的自动检测,同时对各种挂马方式的网页木马如iframe、CSS、JS、SWF、ActiveX等,进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。

图:明鉴Web应用弱点扫描功能结构图

同时,我们还将用专业的检测工具和分析手段,发现邮件协议相关漏洞,帮助应用开发者和管理者了解邮件系统存在的脆弱性,为改善并提高邮件系统安全性提供依据,帮助用户建立安全可靠的邮件应用服务。主要采用Nessus工具开展此项服务工作,Nessus是一种典型的基于客户/服务器结构的网络扫描系统,Nessus服务器程序可以运行在各种类UNIX平台上,包括FreeBSD、Linux、Solaris以及Windows系统上。客户端包括用户配置工具和存储/报告生成工具。服务端包括一个扫描方法库(由插件组成)、当前活动扫知识描库和一个扫描引擎,利用此工具检测过程的优势是:

1、提供完整的邮箱漏洞服务器和客户端扫描服务, 并随时更新其漏洞数据库;

2、不同于传统的漏洞扫描软件, Nessus 可同时在本机或远端上摇控, 进行系统的漏洞分析扫描;

3、其运作效能能随着系统的资源而自行调整。如果将主机加入更多的资源(例如加快CPU速度或增加内存大小),其效率表现可因为丰富资源而提高;

4、可自行定义插件(Plug-in);

5、完整支持SSL(Secure Socket Layer)。

图:安全服务工具Nessus

通过这两个工具的检测和分析,基本上完成了上期内容介绍网络和主机扫描以及本期介绍的Web漏洞和协议方面的全面体检,用户可以根据实际情况自行周期性检测,全面筛查,但这并不能判断出哪些漏洞更容易被利用,或者说哪些漏洞会直接导致被入侵,哪些漏洞本身并没有危害。因此,我们建议大家寻找专业的厂商或者团队进行“渗透测试”服务。

附:部分最新与邮箱安全有关的漏洞

CVE-2017-12628 Symantec Mail Security for SMTP响应处理拒绝服务漏洞

CVE-2016-9920 Roundcube steps/mail/sendmail.inc任意代码执行漏洞(CVE-2016-9920)

CVE-2015-0824 Mozilla Firefox拒绝服务漏洞(CVE-2015-0824)

CVE-2014-3556 Nginx SMTP代理远程命令注入漏洞

CVE-2011-4040 NJStar Communicator MiniSMTP Server远程栈缓冲区溢出漏洞

CVE-2010-1689 Microsoft Windows SMTP服务可预测DNS查询ID漏洞(MS10-024)

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-12-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 安全漏洞公告

    1 Linux Kernel 'linux-image-3.2.0-4-5kc-malta'软件包拒绝服务漏洞Linux Kernel 'linux-image...

    安恒信息
  • 安全漏洞公告

    Dell OpenManage Server Administrator 'file'参数开放重定向漏洞 Dell OpenManage Server Admi...

    安恒信息
  • 安全漏洞公告

    1 Apache Struts2 CVE-2014-0094(S2-020)漏洞修补绕过漏洞 Apache Struts2 CVE-2014-0094(S...

    安恒信息
  • 小心你的网站被劫持,偷偷为他人挖矿

    腾讯云安全
  • Web Services---初级篇1

    1前言 通过使用 Web Services,您的应用程序可以向全世界发布信息,或提供某项功能。Web Services 脚本平台需支持 XML + HTTP。 ...

    码神联盟
  • Web风险评估:腾讯云Web漏洞扫描

    Web 漏洞扫描是用于监测网站漏洞的安全服务,为企业提供 7*24 小时准确、全面的漏洞监测服务,并为企业提供专业的修复建议, 从而避免漏洞被黑客利用,影响网站...

    腾讯云基础安全
  • 丰田将于明年免费开放汽车碰撞测试软件,可帮助降低碰撞实验成本

    这款软件是由丰田与丰田中央研究所于2000年研发的,具体是一个能够还原、解析车辆碰撞时对人体全身伤害的虚拟人体模型,名为“THUMS”。后来经过不断迭代,它如今...

    镁客网
  • CVE-2019-6340 Drupal8's REST RCE 漏洞复现

    Drupal官方之前更新了一个非常关键的安全补丁,修复了因为接受的反序列化数据过滤不够严格,在开启REST的Web服务拓展模块的情况下,可能导致PHP代码执行的...

    墙角睡大觉
  • [科普]保护WiFi无线网络安全

    全球有超过四分之一的互联网用户在家使用WiFi上网,不过其中许多人并不清楚该如何保护家庭网络以及这样做的重要性。在这方面,最妥当的想法就是将您家中的WiFi网络...

    安恒信息
  • 不传之密:杀毒软件开发之感染型病毒查杀、启发式杀毒

    在前文《不传之密:杀毒软件开发,原理、设计、编程实战》中,讲述了基于特征码的杀毒软件开发。本文作为继章,将继续介绍杀毒软件开发:感染型病毒的查杀。

    FB客服

扫码关注云+社区

领取腾讯云代金券