百度講師：以struts2 為例，教你打造一款互聯(lián)網(wǎng)思維的安全防御 | 雷鋒網(wǎng)公開課（附講稿全文和PPT）

小明和小紅是鄰居。

小明會點(diǎn)兒技術(shù)，他暗戀小紅。

但是情商低的小明在小紅不知情的情況下，入侵了鄰居小紅的網(wǎng)絡(luò)，順手從小紅電腦里偷出了小紅的各種生活照，并做了轟天動地的表白網(wǎng)站，配上了這些圖，自以為特別成功地發(fā)給了小紅。

小明，卒。

表白不成功不是啥事。世界上最痛苦的事兒，莫過于有人入侵了你家的網(wǎng)絡(luò)，你卻不知道。互聯(lián)網(wǎng)早已經(jīng)變成了一個沒有硝煙的戰(zhàn)場。

對個人用戶而言，可能是隱私信息、電子財產(chǎn)被盜等，對企業(yè)網(wǎng)絡(luò)而言，形勢可能更嚴(yán)峻。

無時無刻，有成千上萬的掃描器在不停地掃，有各種各樣的系統(tǒng)、中間件、web 程序被曝出漏洞。有那么一群人，為了盜取用戶數(shù)據(jù)、發(fā)動 DDoS 攻擊、勒索等，瘋狂發(fā)起攻擊。

其實(shí)攻擊并不可怕，有數(shù)據(jù)顯示，98%的攻擊都是試探性的。可怕的是攻擊成功——入侵。如何抵抗入侵、及早發(fā)現(xiàn)入侵，甚至在萌芽階段就能阻止入侵，對一個企業(yè)網(wǎng)絡(luò)異常重要。

3月15日，百度安全資深安全工程師小灰灰在雷鋒網(wǎng)硬創(chuàng)公開課中，按照自己的實(shí)操經(jīng)驗(yàn)，詳細(xì)講解了如何建立一個有效的企業(yè)級安全防御。

嘉賓簡介

小灰灰，百度安全資深安全工程師，主要負(fù)責(zé)百度業(yè)務(wù)應(yīng)急響應(yīng)、入侵排查、0Day 分析等，同時是百度安全監(jiān)控體系建設(shè)技術(shù)負(fù)責(zé)人。主要技術(shù)攻關(guān)方向?yàn)?Web 安全及硬件安全。

視頻講稿

由于曾就職在乙方安全公司，現(xiàn)在負(fù)責(zé)甲方安全，所以對整體的國內(nèi)安全狀態(tài)、各方優(yōu)勢以及存在的一些不足都有一些理解&感觸。

整體上來看，國內(nèi)以BAT為首的互聯(lián)網(wǎng)公司，安全地位都比較高，整體研發(fā)能力也很強(qiáng)，基本上各大的安全系統(tǒng)都是自研，靈活性、效果、性能方面都有較大的優(yōu)勢。而國內(nèi)一些中小型企業(yè)，由于整體人員分配、資金投入、業(yè)務(wù)安全風(fēng)險等各方面原因吧，處于想做安全但是人力不足、專業(yè)技能人員不足，主要靠大量的購買盒子類產(chǎn)品、安全服務(wù)等保障公司網(wǎng)絡(luò)安全。

上圖是我親身經(jīng)歷的很多 case 挑了幾個典型代表。可以看見，針對這些安全研發(fā)能力一般的（估計這方面研發(fā)能力強(qiáng)的，也只有大型互聯(lián)網(wǎng)公司+一些金融機(jī)構(gòu)了）公司，看起來像是投入了很多資源，也很重視安全（一些定期匯報之類的），但是實(shí)際效果其實(shí)很差。不是他們不想做好，只是可能缺少了正確的方法。

那么試想下，當(dāng)前兩天的struts2 遠(yuǎn)程命令漏洞來了，可以預(yù)見到，這些企業(yè)大多都會被無情的入侵。工程師早上上班一來，發(fā)現(xiàn)頁面被人改了、數(shù)據(jù)被人偷了、還搞了個locky病毒：要想贖回數(shù)據(jù)，請交錢。

所以我希望我能通過介紹互聯(lián)網(wǎng)公司的，包含理念和具體方法的最佳實(shí)踐，能夠幫助這些企業(yè)在安全建設(shè)方面開拓些思路，改善下當(dāng)前買了安全、做了安全但又經(jīng)常處處挨打的處境。

知己知彼，百戰(zhàn)不殆。首先我們來看看黑客們都是如何入侵到企業(yè)網(wǎng)絡(luò)中的，以及他們都做了什么惡事兒。

看起來，他們還是有幾個主要途徑的，這里面最重要的 莫過于web系統(tǒng)了。暴露的服務(wù)越多，遭受攻擊的可能性就越大。而且黑客獲取服務(wù)器權(quán)限后還會進(jìn)一步漫游內(nèi)網(wǎng)，獲取更多資源。

說到web系統(tǒng)，不得不提掃描器。其實(shí)黑客大多數(shù)也很忙，沒有時間針對每個網(wǎng)站一點(diǎn)點(diǎn)人工測試，大多數(shù)是這么做的：開一堆掃描器，任其瘋狂掃描，坐等最終結(jié)果。如果結(jié)果中有了一些中高危漏洞，他們便嘗試去利用，這時候才開始針對性測試。所以，掃描算是一個重要入口了吧，如果能擋住點(diǎn)掃描行為，擾亂掃描器這群傻機(jī)器，其實(shí)也可以很大程度上增強(qiáng)安全性了。

對webserver進(jìn)行些加固、用個效果不錯的waf抵擋掃描器的探測、同時自己也用掃描器提前掃一下，針對已知漏洞還是有很大效果的。

但是針對struts2 s2-045 這樣的0day漏洞，效果就很有限了。那如何在0day下，也有一部分的防御&感知能力呢？

由于是0day，第一時間：

? 沒有規(guī)則，無法攔截

? 沒有poc詳情，無法掃描

但是，利用漏洞必定會 有攻擊路徑

? 特征（主要是 已入侵，得到shell的方法）

? 行為（主要是進(jìn)一步攻擊，漫游，擴(kuò)大戰(zhàn)果）

所以這時，用安全監(jiān)控作為彌補(bǔ)，感知已入侵的入侵特征和行為，及時發(fā)現(xiàn)黑客入侵并應(yīng)急處置，將變得異常重要和有效。

下面，我會從這三個方面給大家介紹下互聯(lián)網(wǎng)公司一般是如何做的，以及需要注意的問題。著重講下安全監(jiān)控的思路。其中的一些實(shí)踐經(jīng)驗(yàn)總結(jié)來自于大量的攻防對抗、入侵排查、0day應(yīng)急處理。

關(guān)于掃描器，我們需要明白，掃描器并不是萬能的，他主要的作用有兩個：

• 已知問題提前發(fā)現(xiàn)，先于黑客發(fā)現(xiàn)并修復(fù)漏洞，防止被外界利用 

• 新問題 快速review（0day、SRC、其他公司等近期多發(fā)高危case）

掃描器只能是一個公司安全整體情況的晴雨表，通過掃描結(jié)果反饋不足并不斷改進(jìn)。而這個晴雨表的效果來自于整體掃描能力的構(gòu)建。

 

如何評判一個掃描系統(tǒng)是否優(yōu)秀呢？Poc的數(shù)量、質(zhì)量、是否有智能識別是一個很重要的指標(biāo)。數(shù)量代表了能掃到的漏洞范圍（但切記范圍要本地化、實(shí)用，一些老舊、無大風(fēng)險的漏洞其實(shí)并沒有必要），質(zhì)量代表了掃描效果（例如sql注入掃描poc，是否覆蓋了各種注入類型等），智能識別能極大的降低由于“傻掃”帶來的資源占用、任務(wù)時間延長。

另一個常見問題是大多數(shù)掃描器資產(chǎn)發(fā)現(xiàn)能力很弱，單靠爬蟲等會使得掃描輸入源（訪問url和參數(shù)）很有限，輸入源少了，自然整體掃到的漏洞也少。一種有效的方法是通過流量中、瀏覽器插件、access日志等獲取更多的輸入源補(bǔ)充到掃描任務(wù)中。

如果不滿足商業(yè)掃描器的功能&靈活性，或者希望更深入了解掃描器的原理，或者干脆自己實(shí)現(xiàn)一款掃描器，那么可以參考下W3AF（如上圖所示）。W3AF是一款很優(yōu)秀的開源掃描器，使用python語言實(shí)現(xiàn)。其中的audit模塊包含了常見漏洞的檢測及判斷方法。而crawl模塊包含了爬蟲、google hacking、dictionary list等多種資產(chǎn)發(fā)現(xiàn)方式。整體上來看，很具有參考價值。

WAF通常是放在了一些中小型企業(yè)DMZ區(qū)域的最外側(cè)。同樣的，WAF也不是萬能的，別指望有了WAF就一切萬事大吉了（這是大家一直的誤區(qū)）。它所解決的問題，其一是讓掃描器得不到想要的結(jié)果，混淆掃描器；其二是在攔截0day方面，由于是最外側(cè)入口，有著不可比擬的優(yōu)勢，在業(yè)務(wù)沒有統(tǒng)一修復(fù)之前，針對性利用代碼，防范0day。

同時WAF也可以作為一些數(shù)據(jù)產(chǎn)出，比方說根據(jù)近期攻擊情況做防御調(diào)整，比方說收集最新的POC等。

上面第一個是我們從WAF收集到的具有攻擊性的POC（poc放出當(dāng)天就發(fā)現(xiàn)了）。下面的兩個是我們收集到的構(gòu)造十分精巧的POC，后來放在我們一部分掃描規(guī)則中。

既然我已經(jīng)說了，WAF在0day攔截方面有著非常好的效果，那么大家就跟隨我一起，實(shí)際做下這次的struts2 0day在waf上的防御吧。

首先讓我們先對struts2進(jìn)行下漏洞分析。

首先diff代碼，發(fā)現(xiàn)刪除了LocalizedTextUtil.findText(......);。由于這次poc也很快放出來了，時間原因我們?nèi)€巧，一會，邊觸發(fā)poc邊單步調(diào)試。

以上我們只通過diff代碼向上回溯LocalizedTextUtil.findText函數(shù)的調(diào)用關(guān)系，便找到了重要信息：該漏洞的觸發(fā)是在content type中，而且包含multipart/form-data時。

但是跟進(jìn)了下findText尋找觸發(fā)命令執(zhí)行的關(guān)鍵點(diǎn)，并沒有發(fā)現(xiàn)什么有價值信息（分支條件很多，不知道走到哪了）。這時候，poc上場（如果沒有poc，這個分析將會技術(shù)要求很高了）。

Poc如下：

header["Content-Type"]="aaa_multipart/form-data %{#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,@java.lang.Runtime@getRuntime().exec('calc')};"

單步調(diào)試，發(fā)現(xiàn)走到evaluator.evaluate(var)，彈出計算器。

分析之后，漏洞成因已經(jīng)很清晰了。

Content type中包含multipart/form-data 而且內(nèi)容包含%{….}  、 ${….} 的，中間內(nèi)容會被當(dāng)做 ognl 表達(dá)式執(zhí)行，從而引發(fā)命令執(zhí)行。 

上圖是做 %{….}  、 ${….}的判斷。

通過分析后，把相關(guān)規(guī)則上到WAF上，保證了WAF攔截的有效性和防繞過。

 

關(guān)于監(jiān)控，主要的思路是數(shù)據(jù)采集+數(shù)據(jù)分析。而采集方面，包含的內(nèi)容非常之多，我們這里只看下通過hook大法實(shí)現(xiàn)的安全監(jiān)控。這一類監(jiān)控通常是在漏洞發(fā)生的最根本位置進(jìn)行惡意識別，所以其獲取到的報警通常效果最好。

 

例如常見的SQL注入漏洞，好一點(diǎn)的情況是最外層有waf做攔截，但是waf存在各種各樣的繞過&誤傷等等，況且很多公司根本沒有沒有部署WAF。同時掃描器針對這種漏洞掃描起來也比較困難，需要考慮多種注入方式。那么如何有效的對SQL注入進(jìn)行識別，做到：如果存在注入攻擊便及時報警呢？hook 數(shù)據(jù)庫拿到查詢?nèi)罩静⑦M(jìn)行分析是一個很有效的方案。為了簡化，這里直接取數(shù)據(jù)庫的查詢?nèi)罩緇og做分析（實(shí)際場景采用DB Proxy類技術(shù)會有更好的性能和穩(wěn)定性）

由于每次的請求（包括攻擊請求）已經(jīng)轉(zhuǎn)化為對應(yīng)的數(shù)據(jù)庫查詢操作，故已經(jīng)無需考慮編碼解碼、引號閉合等問題，只需要關(guān)注是否存在異常的查詢。例如：如果存在 union all select null,null 這樣的查詢操作，便為明顯的數(shù)據(jù)庫注入測試行為，并且關(guān)鍵的是，這種行為已經(jīng)完成了引號閉合等動作，是一次成功查詢。

那么現(xiàn)在要做的，就是格式化查詢，最終匹配出惡意查詢行為并報警。

在演示例子中，我們實(shí)現(xiàn)了對查詢進(jìn)行語法解析并且替換字符串的功能。

圖上第一行為原始查詢，第二行是經(jīng)過解析和字符串替換后的查詢，可以清楚的看到，

第一次查詢?yōu)檎５臉I(yè)務(wù)請求

第二次查詢被解析成了select xx from xx where name =’s’ union all select null,null --。這是一個明顯的注入測試操作并且匹配了union all select null,null的規(guī)則

第三次 實(shí)際上仍然是黑客在做注入測試，只不過沒有成功閉合引號，一大串查詢測試僅是被當(dāng)做成了一個長字符串。

通過這種方法，僅需要預(yù)定義幾種注入攻擊特征，便能很高效的對SQL這種攻擊進(jìn)行監(jiān)控識別。

 

PHP引擎的hook以及redis的hook也是類似原理，從最根本層面發(fā)現(xiàn)入侵行為，排除其他干擾因素。

篇幅的關(guān)系，這里不詳細(xì)介紹。

我們再來看看基于流量的監(jiān)控。其實(shí)這一塊很早大家就在做，傳統(tǒng)的IPS、IDS就是做的這塊，也有很多人搭建開源的snort等系統(tǒng)。但是實(shí)際效果來看，這些硬件、軟件系統(tǒng)都沒有發(fā)揮太大的價值，究其原因，有可能一個是規(guī)則方面的問題，數(shù)量大而又老舊；一個是理念方面的問題，只著眼于一個方向的特征識別（請求或返回）。

其實(shí)基于流量方面的監(jiān)控（這里指外部流量，非IDC內(nèi)部），能做的事情非常的多，但是還是那個問題，覆蓋的太多 or 太寬泛，都會導(dǎo)致報警指數(shù)級增加，真正有用信息被淹沒。另一方面，外界的各種掃描是無時無刻的，這些信息觸發(fā)的報警實(shí)際上是無價值的。

如果只關(guān)注有效入侵&攻擊成功的高危漏洞，整體量級就會小很多，而且這些才是我們真正需要處理的。

在基于流量的監(jiān)控方面，大帶寬下數(shù)據(jù)包捕獲是一個很棘手的問題。好在現(xiàn)在有PF_RING、DPDK等高性能數(shù)據(jù)包捕獲方案做支持。這兩種方案，都能達(dá)到線速收發(fā)，而新的瓶頸，似乎放到了如何快速解析4層or 7層協(xié)議的問題上了。

而在入侵行為的識別上，現(xiàn)在普遍的一種觀點(diǎn)是識別請求與響應(yīng)報文，通過匹配兩個方向，找出已經(jīng)入侵成功反彈shell 上傳shell等，或者利用高危漏洞（例如redis 遠(yuǎn)程命令執(zhí)行、代理漏洞等）成功的情況，這種報警一般非常準(zhǔn)確并且不像是傳統(tǒng)IDS那樣量級巨大。

最后，我們來看一下以這次的struts2 為例，應(yīng)急響應(yīng)的流程該如何做。

 

如上只是一種推薦的應(yīng)急響應(yīng)流程，具體實(shí)施還得看企業(yè)的安全能力、漏洞種類等多種情況。

最后，其實(shí)一個企業(yè)能不能做好安全，技術(shù)只是一方面，同時還要看公司整體的支持、公司領(lǐng)導(dǎo)的支持、體系架構(gòu)的建設(shè)等很多管理因素。但是不管現(xiàn)階段如何，總有方法可以改善并且做的更好。

公開課視頻

讀者問答

1.發(fā)現(xiàn)被黑客利用 ST2-045 漏洞攻擊，如何第一時間修補(bǔ)漏洞降低損失？

百度小灰灰：我們經(jīng)常遇到的case是，當(dāng)一臺機(jī)器被入侵后，黑客有可能會將這臺機(jī)器種植后門，當(dāng)做跳板，進(jìn)行內(nèi)網(wǎng)漫游，進(jìn)一步入侵，時間通常很快。這臺機(jī)器如果不停，一條魚會攪得一鍋腥味，影響到期他機(jī)器，影響將擴(kuò)大。

所以，建議先下線服務(wù)，或至少把外網(wǎng)先下了，再進(jìn)行安全排查，看是否有可疑進(jìn)程和網(wǎng)絡(luò)鏈接，如果判斷確認(rèn)沒有問題，就可重新部署服務(wù)，強(qiáng)烈建議重裝系統(tǒng)再部署服務(wù)。

對于修復(fù)，建議替換成官網(wǎng)最新的 struts2 的 jar 包。經(jīng)常遇到的問題是，業(yè)務(wù)線系統(tǒng)非常久遠(yuǎn)，老的 jar包替換成新的 jar 包，會遇到很多不可預(yù)知的問題，這時建議使用 filter攔截器攔截content type中的惡意內(nèi)容。

2.對于類似漏洞，企業(yè)今后應(yīng)該做好哪些方面的防護(hù)體系？

百度小灰灰：把問題扼殺在萌芽中通常效果最好，也就是說，在編碼階段，就要防止很多漏洞。比如，SQL 注入，要求開發(fā)者強(qiáng)制使用參數(shù)化查詢，不使用拼接的方式。同時，大多數(shù)企業(yè)有很多安全設(shè)備，這些設(shè)備的最大問題是沒有對規(guī)則進(jìn)行精細(xì)化設(shè)置，導(dǎo)致很多設(shè)備報警過多，都不知道哪些是真實(shí)有效的，處于無法運(yùn)維狀態(tài)。所以，要優(yōu)化規(guī)則，高優(yōu)關(guān)注攻擊行為。

如果企業(yè)自身安全能力有限，做一些外界的眾測，也比較有效。但是做眾測不是單單為了找漏洞，更重要的是反饋企業(yè)的應(yīng)用存在哪類問題。比如，眾測發(fā)現(xiàn)企業(yè)存在兩三個 SQL 注入的漏洞，就需要告訴我們的開發(fā)人員，可能有大量這些漏洞的存在，我們需要排查，解決類似問題，同時設(shè)定相應(yīng)標(biāo)準(zhǔn)，以后用安全的方式避免問題再次發(fā)生。

3.對系統(tǒng)漏洞怎么進(jìn)行評估風(fēng)險，確定修復(fù)的必要性？漏洞修復(fù)的流程步驟如何？對于像大規(guī)模主機(jī)的漏洞修復(fù)又該如何進(jìn)行修復(fù)更科學(xué)或快速？

百度小灰灰：如何評估？比如，linux 有些系統(tǒng)組件存在存在溢出問題，有安全風(fēng)險，這種漏洞通常在入侵到內(nèi)網(wǎng)后才能觸發(fā)，修與不修，安全整體收益不大。但是，如果修復(fù)，產(chǎn)生的不可控性比漏洞更嚴(yán)重，甚至?xí)l(fā)中斷業(yè)務(wù)，這種業(yè)務(wù)就不能接受。

比如，glibc版本過低，使用gethostbyname()可能會造成安全風(fēng)險。但是貿(mào)然升級glibc會導(dǎo)致大量的依賴風(fēng)險，對業(yè)務(wù)可能造成巨大影響。推薦的方法是，排查對外業(yè)務(wù)，如果使用了gethostbyname()，需要進(jìn)行升級。否則內(nèi)網(wǎng)中大量系統(tǒng)，不升級風(fēng)險也不是太大。

漏洞的修復(fù)步驟，我只說下 WEB 漏洞的修復(fù)，系統(tǒng)漏洞方法類似。建議安全人員指導(dǎo)研發(fā)人員來修復(fù)，比如，SQL 注入，安全人員會對開發(fā)人員說，xxx 處存在 xx 類型的 SQL 注入漏洞，使用參數(shù)化查詢，不要用拼接的方式，同時告知該漏洞的具體風(fēng)險。而開發(fā)人員對參數(shù)查詢很清晰，修復(fù)起來很容易。對方需要知道的是漏洞的類別、危害和修復(fù)方法的方向，如果能給他代碼級的修復(fù)方法更好。所以我們也可以寫文檔，總結(jié)常見漏洞的修復(fù)方法，讓他學(xué)習(xí)和修復(fù)，但是他修復(fù)完你必須進(jìn)行復(fù)測，如果復(fù)測沒有問題，工單或者流程就可以關(guān)閉。

針對大規(guī)模主機(jī)的漏洞修復(fù)，如果規(guī)模很大，勢必會有統(tǒng)一的運(yùn)維系統(tǒng)去進(jìn)行操作、部署，不會讓你一個一個去安裝。所以，你要和運(yùn)維人員溝通，為什么必須修復(fù)，給出必要性，讓運(yùn)維人員進(jìn)行灰度測試，比如，有 20 萬臺機(jī)器，先對2000臺機(jī)器進(jìn)行灰度測試沒有問題，，再上一些機(jī)器測試，按部就班地進(jìn)行。

4.請您推薦下比較好用的開源掃描器。

百度小灰灰：其實(shí)，我之前也推薦了 W3AF 的掃描器。為什么選它，一則是用Python語言寫的，安全工程師一般對python上手很容易。其次，這是開源掃描器，我們主要是借鑒掃描思路，甚至可以自己寫一個掃描器。比方說他的audit審計模塊，會包含大量常見漏洞的檢測和判斷方式和規(guī)則，參考這些規(guī)則就知道如何去實(shí)現(xiàn)一個掃描器了。

5.怎么才能成為您的同事？（實(shí)習(xí)生、正式員工）

百度小灰灰：

•  實(shí)習(xí)生：要求有安全背景、大量攻防對抗經(jīng)驗(yàn)。

• 正式員工：要求更高，需要是在攻防領(lǐng)域比較牛的人。

一句話：能力強(qiáng)就ok。有興趣的同學(xué)可以發(fā)簡歷到 security@baidu.com 。

以上就是本次雷鋒網(wǎng)硬創(chuàng)公開課的全部總結(jié)文，如果想看到更多網(wǎng)絡(luò)安全干貨，請關(guān)注雷鋒網(wǎng)宅客頻道，多多參與雷鋒網(wǎng)硬創(chuàng)公開課。如果你有特別期待的嘉賓，也可在雷鋒網(wǎng)宅客頻道公眾號里留言，或許，你的男神/女神就會來講課啦！

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。