安全基础:0-day漏洞

最新推荐文章于 2024-08-09 20:21:52 发布
最新推荐文章于 2024-08-09 20:21:52 发布
阅读量5.8k 收藏 5
点赞数 1
分类专栏: # 前端 文章标签: 安全 0-day fastjson
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liumiaocn/article/details/106620098
版权
本文介绍了0-day漏洞的概念及其危害,以阿里巴巴的FastJson库为例,阐述了FastJson中的0-day漏洞如何导致远程代码执行,并提到了2019年和2020年的具体安全事件。官方在新版本中修复了这些问题,建议用户升级到最新版以防止潜在风险。同时,文章揭示了0-day漏洞在灰色产业链中的价值,强调了及时应对的重要性。
摘要由CSDN通过智能技术生成

在这里插入图片描述
这篇文章以阿里巴巴的FastJSon来介绍一下Zero-day(0-day)漏洞的基础常识。

Zero-day

Zero-day漏洞也被称为0-day漏洞,0-day原意指的是软件的提供商为对应相应漏洞产生危害所拥有的时间。因为从漏洞的披露到真正被黑客所利用,往往都会有一个时间差,这个时间差就是留给软件提供商的时间,只要在这个时间内提供补丁和对应方法,就能最大程度降低损害。之所以0-day漏洞的危害较大,是因为它的发现往往是软件提供商之外的使用者先发现,很多时候往往是黑客所首先掌握,这种漏洞是开发者和使用者往往都未意识到而已经被攻击者所掌握的漏洞,就像有一个后门,开发者自己都不知道而攻击者知道,所以这自然是影响最大的漏洞。

示例:FastJson

阿里巴巴的FastJson是一个很不错的JSON的Java库,有很多用户的支持,但是最近频爆安全问题,比如:

  • 2019年6月22日,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。

  • 2020年6月,阿里云应急响应中心监测到fastjson爆发新的反序列化远程代码执行漏洞,黑客利用漏洞,可绕过autoType限制,直接远程执行任意命令攻击服务器,风险极大。

  • 详细说明:

最低0.47元/天 解锁文章
淼叔
关注
专栏目录
《0day安全:软件漏洞分析技术》学习笔记·1(需要补充节部分)
黑夜黎明
06-13 538
基础知识 漏洞概述   通常把这类能够引起软件做一些“超出设计范围的事情”的bug称为漏洞(vulnerability)。   功能性逻辑缺陷(bug):影响软件的正常功能,例如,执行结果错误,图标显示错误   安全性逻辑缺陷(漏洞):通常情况下不影响软件的正常功能,但被攻击者成功利用后,有可能引起软件去执行额外的恶意代码,常见的漏洞包括软件中的缓冲区溢出漏洞、网络中的跨站脚本漏洞(XSS)、SQ...
0day漏洞检测
04-13
利用FUZZING技术检测漏洞,检测Activex插件的漏洞学习。
Fastjson反序列化漏洞
最新发布
qq_50296568的博客
08-09 1177
使用恶意MySQL的url作为参数创建一个com.mysql.cj.jdbc.admin.MiniAdmin对象可以通过MySQL的JDBC驱动的com.mysql.cj.jdbc.admin.MiniAdmin类创建一个指定url的JDBC连接。再通过LOAD DATA LOCAL INFILE语句读取任意文件。只要用户期望类继承自 Throwable 类,Fastjson便会将该类信任,从而造成只要是继承Throwable的任意类都可以被反序列化。生成恶意mysql文件后,
【网络安全】零日漏洞(0day)是什么?如何防范零日攻击?
par@ish的博客
12-08 9908
零日攻击是利用零日漏洞(0day)对系统或软件应用发动的网络攻击,近年来,零日攻击威胁在日益增长且难以防范,零日攻击已成为企业网络信息安全面临的最严峻的威胁之一。
什么是0day漏洞,1day漏洞和nday漏洞
dzqxwzoe的博客
03-16 1730
作者:火绒安全链接:https://www.zhihu.com/question/323059851/answer/2642868488来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。,通常就是指还,也就是已经。这种漏洞危害巨大,因此也深得黑客的喜爱。通常0-day漏洞被公开后,都会引起广泛关注,相关厂商也需要紧急评估并尽快推出补丁,因为利用0-day漏洞进行的会很快随之而来。
IoT 0 day漏洞启示
systemino的博客
04-24 690
有效的恶意软件常使用已知或者未知的漏洞来完成其主要功能。本文中介绍McAfee ATR提交的一个漏洞,并介绍一款利用多个相似漏洞的恶意软件。 McAfee ATR安全研究人员2018年5月21日就向Belkin提交了Belkin WeMo Insight智能插座中一个重要的远程代码执行漏洞,还提供了PoC和利用代码以及demo视频。厂商回应称已经准备好了补丁,会及时修复。但是截止8月21日厂商仍...
零日漏洞到底是什么
weixin_34292959的博客
03-28 2427
在黑市上,零日漏洞属于高价商品,但有漏洞奖励项目鼓励安全人员发现并向厂商报告这些安全漏洞。修复危机意味着零日漏洞重要性日趋下降,而所谓的老(0ld-days)漏洞变得几乎与零日漏洞效果一样。零日漏洞就是厂商未修复且可被利用来当作网络***武器的安全缺陷,威力强大但却脆弱。出于军事、情报和司法目的,各国政府会寻找、购买和使用零日漏洞。这是个充满矛盾的操作,因为会让发现了相同漏洞的其他***者也掌握有...
0day-安全性-软件-漏洞分析技术:0day安全_软件突破分析技术
02-06
0day-安全性-软件-漏洞分析技术 《 0day安全:软件突破分析技术(第二版)》随书资料包使用注意事项 资料包中资料仅用于学习目的,任何组织,个人,机构不可以任何形式利用资料包中的资料进行商业盈利目的的活动。 ...
安全漏洞--基于NDAY和0DAY漏洞免杀技巧
关注互联网安全的小虾米一枚
05-09 8704
漏洞简介 漏洞开发者在利用0day和Nday时,除了在逃过windos的自身安全机制的基础上,不可避免的要接触到与杀软对抗的工作,就一般情况来看,如果针对特定的目标杀软还是有很大可能可以绕过,难点是通用所有的杀软。 另外值得注意的一点,现今主流杀软很多,在通用的前提下,免杀工作往往占用很多时间。 二 构造POC 2.1 构造POC
USENIX Security 23 论文解读 # VulChecker: Graph-based Vulnerability Localization in Source Code
skysys的研究小屋
07-09 1301
基于AI实现的SAST实现漏洞检测、分类和精确定位
安全管理」WEB框架0day漏洞的发掘及分析经验分享 - Linux.zip
12-06
在网络安全领域,特别是针对Web应用的安全管理,"0day漏洞"是一个至关重要的概念。0day漏洞,也称为零日漏洞,是指那些公众和厂商都尚未知晓的软件或系统中的安全缺陷,攻击者可以利用这些漏洞在官方发布修复补丁...
什么是0day漏洞
热门推荐
zxのdream
10-24 1万+
0day漏洞
0-day(网站建设-部署与发布)
冬ji陽光
09-12 1396
www.yanbowen.cn网站建设-部署与发布
ZERO DAY.
Miss_JingEr的博客
10-31 210
FIRST DAY@TOC 人的一生总该有一些坚持。# 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助...
0Day --- 简单说明和防范
daibaohui的博客
02-26 3035
一、零日漏洞是什么? 零日漏洞或零时差漏洞(英文:zero-day、0day)通常是指还没有补丁的安全漏洞,零日漏洞得名于开发人员发现漏洞时补丁存在的天数:零天。 零日攻击或零时差攻击(英语:Zero-day attack)则是指利用这种零日漏洞进行的攻击。零日漏洞的利用程序对网络安全具有巨大威胁,从特征角度看,零日攻击与传统的黑客攻击有极大的相似特征,其区别仅仅在于零日攻击的对象以及渠道,是潜在的未知的,或者是虽然已经公布但尚未来得及修复的系统漏洞。 二、零日攻击的危害? 黑客善于在发现安全.
0DAY漏洞是什么,如何进行有效的防护
HoewDec的博客
03-27 1463
漏洞扫描服务(Vulnerability Scan Service)集Web漏洞扫描、操作系统漏洞扫描、资产内容合规检测、配置基线扫描、弱密码检测五大核心功能,自动发现网站或服务器在网络中的安全风险,为云上业务提供多维度的安全检测服务,满足合规要求,让安全弱点无所遁形。同时,建立快速响应机制,一旦发现零日漏洞,立即启动应急响应流程,包括漏洞分析、风险评估、补丁开发、测试验证等环节,确保在最短时间内发布安全补丁,降低漏洞被利用的风险。零日漏洞,指的是软件或系统中未被公开的、未被厂商知晓的安全漏洞
Zero-Day Vulnerabilities
weixin_34192993的博客
04-15 567
中文译为:零日漏洞攻击 Background Zero-day vulnerabilities are vulnerabilities against which no vendor has released a patch. The absence of a patch for a zero-day vulnerability presents a threat to organizatio...
“神秘的”0day漏洞
weixin_45303938的博客
09-16 1342
我们在一些涉及到安全、黑客的文章里经常会看到“0day漏洞”这个词。今天就来介绍一下什么是0day漏洞。 概念 首先要说明的是,“0day”并不是某一种技术的名称,因此0day漏洞也不是指某一种特定技术的漏洞,它是指软件或系统中已经被发现,但官方还不知道或还没有发布相应补丁的漏洞。 那为什么叫0day漏洞呢?缘由有两个,比较正统的说法是0day的概念最早来源于软件和游戏破解,即一款新发布的软件或游戏,不到一天就被破解,用户玩家可以免费使用。当然,不一定真的是当天,0day强调的是以最快的时间内破解。后来,这
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值