Web應(yīng)用四大安全漏洞分析

隨著Web技術(shù)的快速演變，近來黑客開始把關(guān)注重點轉(zhuǎn)向Web應(yīng)用系統(tǒng)，2013年上半年Web應(yīng)用系統(tǒng)漏洞數(shù)量目前占新增漏洞的第二位，Web應(yīng)用系統(tǒng)的安全風(fēng)險達到前所未有的高度。目前，針對院校的專有系統(tǒng)（如電子郵件系統(tǒng)、教務(wù)系統(tǒng)登錄）的漏洞呈現(xiàn)增長趨勢，這些專有系統(tǒng)在開發(fā)之初沒有考慮安全因素導(dǎo)致存在安全漏洞，而造成用戶信息泄露等事件。本刊收集了相關(guān)漏洞的詳情供各學(xué)校參考并警惕以下漏洞，以防信息丟失而造成相應(yīng)的損失。

快客電郵(quick mail)遠(yuǎn)程代碼執(zhí)行漏洞

漏洞類型：命令執(zhí)行

危害等級：高

快客郵件系統(tǒng)(QuarkMail)存在的一個遠(yuǎn)程代碼執(zhí)行漏洞（CNVD編號：CNVD-2013-21254）。攻擊者利用漏洞可發(fā)起遠(yuǎn)程攻擊，通過執(zhí)行特定指令逐步滲透控制郵件服務(wù)器主機?；ヂ?lián)網(wǎng)上已經(jīng)出現(xiàn)了攻擊利用代碼，對相關(guān)服務(wù)器構(gòu)成信息泄露和運行安全威脅。

根據(jù)CNVD測試結(jié)果，相關(guān)版本的快客電郵產(chǎn)品采用了CGI腳本，存在一處遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可利用漏洞直接發(fā)起惡意URL請求，遠(yuǎn)程執(zhí)行操作系統(tǒng)指令。通過當(dāng)前郵件服務(wù)器運行用戶已有權(quán)限，攻擊者可逐步滲透并控制郵件服務(wù)器主機操作系統(tǒng)。

CNVD對該漏洞的綜合評級為“高?！?，該產(chǎn)品廣泛應(yīng)用于我國政府和重要信息系統(tǒng)部門以及軍隊、電信、新聞、教育機構(gòu)和科研院所等多個領(lǐng)域。目前，CNVD通過測試結(jié)果還未能確認(rèn)受影響的產(chǎn)品具體版本號。

目前，互聯(lián)網(wǎng)上已經(jīng)披露了攻擊利用代碼，CNVD尚未獲知廠商對該漏洞的響應(yīng)情況。CNVD建議相關(guān)用戶直接聯(lián)系廠商，要求提供解決方案。

eYou郵箱系統(tǒng)系列產(chǎn)品漏洞

漏洞類型：用戶資料大量泄漏

危害等級：高

eYou是目前國內(nèi)機構(gòu)（高校、政府、企業(yè)）使用率最高的郵箱系統(tǒng)之一。今發(fā)現(xiàn)eYou郵件系統(tǒng)、eYou郵件網(wǎng)關(guān)系統(tǒng)有多處嚴(yán)重的安全隱患，攻擊者可入侵服務(wù)器和盜取任意郵箱信息。

影響版本：

2007年以后所有版本，包括最新版。目前主要有默認(rèn)配置漏洞、舊版網(wǎng)關(guān)漏洞與新版網(wǎng)關(guān)漏洞、郵箱系統(tǒng)遠(yuǎn)程執(zhí)行漏洞。利用以上幾個漏洞，只要是使用eYou的郵箱系統(tǒng)，就99%會被入侵。

修復(fù)方案：

更新到最新版本。

詳情參見：

h t t p://w w w.w o o y u n.o r g/b u g s/wooyun-2012-016448#

萬能密碼進入高校銀校通Web管理系統(tǒng)

漏洞類型： 設(shè)計缺陷/邏輯錯誤危害等級： 中

銀校通是建立在銀行和學(xué)校的網(wǎng)絡(luò)互聯(lián)基礎(chǔ)上，方便學(xué)生或?qū)W生家長的網(wǎng)上即時動態(tài)繳費管理系統(tǒng)，是銀行綜合金融服務(wù)產(chǎn)品的重要組成部分，是學(xué)校和銀行的便捷資金結(jié)算通道。

只要進入學(xué)校的銀校通登錄頁面，知道學(xué)生銀校通的賬號，就可以輕松進入系統(tǒng)。但不可以直接修改密碼，從而利用其進入到其他系統(tǒng)中去。

目前該漏洞已交由第三方(CNCERT國家互聯(lián)網(wǎng)應(yīng)急中心)處理 。

而廠商方面答復(fù)，CNVD確認(rèn)并復(fù)現(xiàn)所述情況，對于繞過情況有一個前提條件，即知曉學(xué)號，在近期的測試中復(fù)現(xiàn)一個實例。該問題已由中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組通知相關(guān)學(xué)校處理。

URP教務(wù)系統(tǒng)信息泄露漏洞可查詢學(xué)生成績和照片

漏洞類型： 未授權(quán)訪問/權(quán)限繞過危害等級： 中

URP高校教務(wù)管理系統(tǒng)（University Educational Administration System，簡稱UEAS），數(shù)字化校園核心業(yè)務(wù)系統(tǒng)之一，集Client/Server和Browser/Web Server技術(shù)于一體，涉及教務(wù)、教學(xué)管理各環(huán)節(jié)，面向?qū)W校各部門以及各層次用戶的大型集成教務(wù)管理信息系統(tǒng)。

北京清元優(yōu)軟的URP教務(wù)系統(tǒng)用于國內(nèi)的各大高校的教務(wù)系統(tǒng)，但是系統(tǒng)存在一個頁面，可以非授權(quán)查詢?nèi)魏螌W(xué)生的成績，只要知道學(xué)生的學(xué)號，就可以查詢學(xué)生成績、身份證、頭像等敏感信息。漏洞通用于所有URP系統(tǒng)。

修復(fù)方案：

刪除頁面，或者對頁面訪問進行一個session驗證等。