这篇文章以阿里巴巴的FastJSon来介绍一下Zero-day(0-day)漏洞的基础常识。
Zero-day
Zero-day漏洞也被称为0-day漏洞,0-day原意指的是软件的提供商为对应相应漏洞产生危害所拥有的时间。因为从漏洞的披露到真正被黑客所利用,往往都会有一个时间差,这个时间差就是留给软件提供商的时间,只要在这个时间内提供补丁和对应方法,就能最大程度降低损害。之所以0-day漏洞的危害较大,是因为它的发现往往是软件提供商之外的使用者先发现,很多时候往往是黑客所首先掌握,这种漏洞是开发者和使用者往往都未意识到而已经被攻击者所掌握的漏洞,就像有一个后门,开发者自己都不知道而攻击者知道,所以这自然是影响最大的漏洞。
示例:FastJson
阿里巴巴的FastJson是一个很不错的JSON的Java库,有很多用户的支持,但是最近频爆安全问题,比如:
-
2019年6月22日,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。
-
2020年6月,阿里云应急响应中心监测到fastjson爆发新的反序列化远程代码执行漏洞,黑客利用漏洞,可绕过autoType限制,直接远程执行任意命令攻击服务器,风险极大。
-
详细说明: