一、背景介紹

隨著漏洞類型的日益復(fù)雜化，漏洞檢測(cè)設(shè)備的局限性也越來越突出。很多漏洞無法通過現(xiàn)有的安全設(shè)備檢測(cè)出來或不能夠及時(shí)、有效的檢測(cè)出來，此時(shí)需要通過POC漏洞檢測(cè)技術(shù)來發(fā)現(xiàn)。

POC全稱“proof of concept”中文意思是：漏洞概念驗(yàn)證。通常由一段漏洞驗(yàn)證代碼或者漏洞檢測(cè)數(shù)據(jù)。通過對(duì)檢測(cè)目標(biāo)發(fā)送此代碼或數(shù)據(jù)后，通過被檢測(cè)目標(biāo)返回的信息特殊性，判斷漏洞的實(shí)際存在與否。

目前市面上的大部分安全檢測(cè)設(shè)備，僅僅只能對(duì)已知且匹配規(guī)則的漏洞或攻擊行為進(jìn)行檢測(cè)防護(hù)，雖然規(guī)則庫可以擴(kuò)充并檢測(cè)大部分漏洞。但是，對(duì)于某些復(fù)雜的漏洞類型無法正確檢測(cè)，并且對(duì)于新發(fā)現(xiàn)漏洞的匹配規(guī)則補(bǔ)丁發(fā)布有一段真空期。因此僅僅依賴于安全檢測(cè)設(shè)備會(huì)對(duì)我們判斷漏洞的準(zhǔn)確性和及時(shí)性大打折扣，是巨大的潛在隱患。此時(shí)就需要人工利用漏洞的POC （對(duì)于威脅較大的漏洞來說的,文件內(nèi)包含有觸發(fā)漏洞的代碼或信息）去檢測(cè)此漏洞的存在情況。

二、漏洞發(fā)現(xiàn)

1、傳統(tǒng)漏洞掃描

S2-045漏洞爆發(fā)后，對(duì)相關(guān)的具有該漏洞的業(yè)務(wù)系統(tǒng)進(jìn)行了一番整改后，又進(jìn)行了一輪struts2漏洞掃描，未發(fā)現(xiàn)漏洞情況。下圖為綠盟科技主機(jī)掃描器RSAS6.0掃描結(jié)果：

2、POC人工檢測(cè)

漏洞掃描結(jié)束后，我們安全服務(wù)小組利用POC漏洞檢測(cè)技術(shù)進(jìn)行人工檢測(cè)，檢測(cè)結(jié)果發(fā)現(xiàn)的確存在漏洞。

三、總結(jié)及建議

智圣安全服務(wù)小組始終站在安全的第一線，當(dāng)各種新型高危漏洞出現(xiàn)時(shí)，強(qiáng)烈建議定期更新安全設(shè)備的補(bǔ)丁庫。如果漏洞處于安全設(shè)備的真空期，智圣安全服務(wù)小組也會(huì)在第一時(shí)間對(duì)我們服務(wù)的客戶利用此方式及時(shí)準(zhǔn)確的檢測(cè)出系統(tǒng)漏洞情況并提供解決方案。

我們將通過及時(shí)提醒客戶，并在授權(quán)范圍之內(nèi)進(jìn)行服務(wù)器等設(shè)備安全配置加固，涉及代碼層面的修改，可以配合指導(dǎo)業(yè)務(wù)系統(tǒng)廠商進(jìn)行代碼的完善。最終希望保障客戶的服務(wù)器和業(yè)務(wù)系統(tǒng)在面對(duì)所有新型攻擊時(shí)能從容、有效的應(yīng)對(duì)。