这个漏洞(CVE-2018-1000656)四天前(8月20号)被发布在NVD(National
Vulnerability Database,国家漏洞数据库)上,漏洞描述如下:


The Pallets Project flask version Before 0.12.3 contains a CWE-20:
Improper Input Validation vulnerability in flask that can result in
Large amount of memory usage possibly leading to denial of service.
This attack appear to be exploitable via Attacker provides JSON data
in incorrect encoding. This vulnerability appears to have been fixed
in 0.12.3.

title: 漏洞扫描基本概念
date: 2016-06-15 10:30
tags: Kali渗透测试 漏洞扫描

大致的翻译如下:


Pallets项目组开发的Flask
0.12.3及以下版本包含CWE-20类型的漏洞:不合适的输入验证漏洞。这个漏洞将会导致大量内存占用,可能会导致拒绝服务。攻击者可以通过提供使用了错误编码的JSON数据来进行攻击。这个漏洞已经在0.12.3版本中修复(#2691)。

通过之前的扫描我们可以知道目标主机的一些基本信息,然后我们可以基于这些个基本信息去进一步的发现目标是否存在漏洞,当然这种方式虽然可行,但是效率太低。

应对措施

对于这个漏洞,你可以通过升级来进行防范。如果你打算使用最新版本(Flask
1.0.2),可以使用下面的命令更新(参见这篇文章了解Flask
1.0版本包含哪些主要变化):

$ pip install -U flask

如果你使用Pipenv,则可以使用下面的命令:

$ pipenv update flask

如果你还没有准备好使用最新版本,可以升级到0.12.3版本:

$ pip install flask==0.12.3

然后更新requirements.txt:

flask ~> 0.12.3

如果使用Pipenv,则使用下面的命令:

$ pipenv install flask==0.12.3

对于这方面,kali的提供了一个漏洞集成网站:https://www.exploit-db.com/

附注

  • NVD是美国政府收集网络安全漏洞的网站,详情见National Vulnerability
    Database;
  • CWE(Common Weakness
    Enumeration,常见缺陷枚举)是漏洞分类标准,由美国非营利组织MITRE维护,详情见Common
    Weakness
    Enumeration。
  • CVE(The Common Vulnerabilities and
    Exposures,一般漏洞及暴露)是一个漏洞数据库,由美国非营利组织MITRE维护,详情见Common
    Vulnerabilities and Exposures
    (CVE)。

searchsploit

同时kali系统也集成了searchsploit命令,该命令可以查询到eploit-db网站中所有的漏洞信息。

➜  ~ searchsploit tomcat
--------------------------------------------- ----------------------------------
 Exploit Title                               |  Path
                                             | (/usr/share/exploitdb/platforms)
--------------------------------------------- ----------------------------------
Apache Tomcat < 5.5.17 - Remote Directory Li | ./multiple/remote/2061.txt

由此也可以知道searchsploit的文档库的位置为:/usr/share/exploit/platforms

然后我们只需要对其中的脚本只进行简单的修改就可以加以利用了。


Sandi

Sandi将会以图形化的界面对exploit-db库中结果进行显示。


发表评论

电子邮件地址不会被公开。 必填项已用*标注