漏洞
该标签下有 18 篇文章
MOVEit 大规模数据泄露(2023)—— SQL 注入零日漏洞波及 2,700 多家组织的原因与防御
入口是面向互联网公开的文件传输产品 MOVEit Transfer 的 SQL 注入零日漏洞(CVE-2023-34362)。攻击者植入 Web shell(LEMURLOOT),从后端数据库批量窃取数据,致 2,700 多家组织、约 9,330 万人的数据外泄。许多受害者是因为外包方、合作方使用了 MOVEit 而被间接牵连。在你的环境中,可通过 KEV 即时打补丁、最小化暴露面、Web↔DB 的最小权限与隔离、外包方盘点与数据最小化来防范。
CORS 是什么 — 原理,以及配置错误(CORS misconfiguration)会引发什么
CORS 是浏览器用来控制「其他源的 JS 能否读取自己 API 响应」的机制。配置错误=反射任意 Origin,或把 Access-Control-Allow-Origin:* 与认证信息同时使用,会导致第三方网站读取到已登录数据。核心防御是采用白名单方式、不要不加判断地反射 Origin、默认拒绝。
会话固定(Session Fixation)是什么 — 让用户用攻击者准备好的 ID 登录的漏洞
会话固定是攻击者预先准备一个已知的 session ID 让受害者使用,待其登录后用该 ID 冒充受害者的攻击。关键防御是『每次登录(以及权限变化)时都重新生成 session ID』。禁止从 URL 接收 ID,并用 HttpOnly/Secure/SameSite 加固 Cookie。
IDOR 是什么 — 仅靠改写 ID 就能看到他人数据的漏洞
IDOR 是一种仅靠把 ?id=124 改成 125 就能看到他人发票、个人信息的访问控制缺陷漏洞。关键防御是「在服务端每次校验『当前登录的这个用户,是否可以查看该对象』」。难以猜测的 ID 并不能算作对策。
什么是点击劫持 — 用透明陷阱让你按下「看不见的按钮」的攻击
点击劫持是用透明的 iframe 把自己的站点叠加到另一个站点上,诱导用户执行非本意操作(转账、修改设置、同意授权)的攻击。核心防御是「不让自己的站点被嵌入到他站的框架里」=CSP frame-ancestors 与 X-Frame-Options。
什么是开放重定向(open redirect)——以受信任的 URL 为跳板,被转到别的站点
开放重定向是指可以在 ?next= 等跳转目标参数里塞入外部 URL,从而以受信任域名为跳板把用户转到别的站点的漏洞。它会成为 phishing 的基础。真正的防御是「跳转目标不接收外部 URL/只允许允许列表或相对路径」。
路径遍历是什么 — 用 ../ 读取服务器上「本不该交出的文件」的漏洞
路径遍历是一种在文件名输入中混入 ../,从而逃出基准目录、读写 .env、配置、密钥等的漏洞。关键防御是「不把用户输入直接用作文件路径」「先规范化再将其限制在基准目录内」。
CSRF(跨站请求伪造)是什么 — 让登录中的用户「被擅自操作」的攻击
CSRF 是一种擅自让登录中用户的浏览器发出「并非本人本意的操作」的攻击,它滥用了浏览器自动发送 Cookie 的特性。关键防御是 CSRF Token+SameSite Cookie。不用 GET 来改变状态同样重要。
什么是 SQL injection(SQLi)——能用输入改写数据库命令的漏洞
SQLi 是一种让输入被当作「命令的一部分」而非「数据」来解释、从而改变数据库查询含义的漏洞,直接导致数据被读取、被篡改、被全部删除。真正有效的防御是「停止字符串拼接,用占位符(prepared statement)传值」。
XSS(跨站脚本)是什么 — 让代码在他人浏览器中被擅自执行的漏洞
XSS 是一种让攻击者准备的字符串「作为脚本」在另一名用户的浏览器中被执行的漏洞,直接导致会话被窃取与冒充。真正关键的防御是「输出时转义」。不破坏框架的自动转义是最有效的对策。
什么是 CVE — 给漏洞编上“统一编号”的机制
CVE 是给漏洞分配的全球通用标识编号(例如 CVE-2025-12345)。它让所有人能用同一个名字引用同一个漏洞,是对策与监控的起点。CVE=名字、CVSS=严重程度、KEV=是否正被利用,职责各不相同。对个人而言,用机器监控来追踪才现实。
什么是 RCE(远程代码执行)——为什么它是最糟一类的漏洞
RCE 是一种让攻击者能在服务器上执行任意代码的漏洞。它不止于信息泄露,而是直接通向被接管,属于最糟一类。被害范围由「该进程的权限」决定。防御的关键在于迅速更新、CVE 监控、最小权限。
CVSS 是什么 — 漏洞的“严重程度评分”,以及它的评分标准
CVSS 是用 0.0~10.0 表示漏洞严重程度的通用分数。分数由「攻击途径・复杂度・所需权限・用户交互・影响范围・CIA」这些既定指标通过公式算出。懂了标准就能读懂 10.0 的含义。不过优先级还要结合 KEV(是否正被利用)和你自己是否在用来一起判断。
什么是 SSRF(服务器端请求伪造)
SSRF 是利用外部输入的 URL,让服务器去访问内部资源(内部 IP 或云元数据)的攻击。只要做了去获取 URL 的功能,就必须有目标 allowlist、内部网络阻断,以及堵住重定向 / DNS 重新解析的绕过路径。它也是 Capital One 事故的入口。
Equifax 信息泄露事件(2017)——未打补丁的 Apache Struts 导致 1.47 亿人泄露的原因与防御
原因是『把已经发布修复补丁的已知 CVE(CVSS 10.0)没有应用到公开系统上』。监控设备因证书失效导致长达 76 天都没察觉数据外带,使损失扩大。在你的环境里,要用资产盘点、补丁 SLA、机器监控、检测健全性来防止重演。
Heartbleed(CVE-2014-0160)——加密通信的根基泄露了内存的事件
OpenSSL 的内存越界读取,可能泄露私钥乃至会话的事件。根源是返回的内存比请求长度更多的实现错误。教训是『按已泄露处理=重新签发证书、彻底更换密钥与机密』,以及监控根基软件、重视内存安全的价值。
Log4Shell(CVE-2021-44228)——让全世界一夜之间为『不知道自己是否在用』的漏洞而战栗的一天
Log4j 的漏洞(CVSS 10.0)。本质在于『经由间接依赖(传递性依赖),在不知不觉中正在使用』的恐怖。日志输出这一被动处理成了攻击通道。SBOM 与依赖的机器化监控、迅速打补丁、对后续 CVE 的追踪,都是教训所在。
XZ Utils 后门(CVE-2024-3094)——『信任本身』被瞄准的供应链事件
压缩库 xz 中被一名赢得信任的维护者植入了后门的供应链攻击。在即将进入稳定版的前一刻,一名技术人员凭『慢』这一违和感把它拦下。被瞄准的不是代码,而是『人与信任』。教训是:把依赖最小化、固定版本、提高可复现性、追踪违和感、支援维护者。