针对未知PHP反序列化漏洞利用的检测拦截系统研究

doi:10.3969/j.issn.1671-1122.2018.04.007

信息网络安全 ›› 2018, Vol. 18 ›› Issue (4): 47-55.doi: 10.3969/j.issn.1671-1122.2018.04.007

针对未知PHP反序列化漏洞利用的检测拦截系统研究

陈震杭¹, 王张宜¹(), 彭国军¹, 夏志坚²

1.空天信息安全与可信计算教育部重点实验室,武汉大学国家网络安全学院,湖北武汉 430072
2. 百度科技有限公司,北京 100085

收稿日期:2018-02-02 出版日期:2018-04-15 发布日期:2020-05-11
作者简介:
作者简介：陈震杭（1992—）,男,广东,硕士研究生,主要研究方向为网络安全;王张宜（1978—）,男,河南,讲师,博士,主要研究方向为信息安全、密码学;彭国军（1979—）,男,湖北,教授,博士,主要研究方向为网络安全、恶意代码;夏志坚（1993—）,男,重庆,硕士,主要研究方向为网络安全。
基金资助:
国家自然科学基金[61332019, 61202387, 61373168];国家重点基础研究发展计划(973计划)[2014CB340600]：NSFC-通用技术基础研究联合基金[U1636107]

Research on Detection and Interception System for Unknown PHP Object Injection Exploit

Zhenhang CHEN¹, Zhangyi WANG¹(), Guojun PENG¹, Zhijian XIA²

1. Key Laboratory of Aerospace Information Security and Trusted Computing, Ministry of Education, School of Cyber Science and Engineering, Wuhan University, Wuhan Hubei 430072, China
2. Baidu Inc., Beijing 100085, China

Received:2018-02-02 Online:2018-04-15 Published:2020-05-11

摘要/Abstract

摘要：

针对大部分Web应用在反序列化漏洞防护措施上存在不足,只能在漏洞公开后实行应急措施,无法应对未公开的漏洞攻击的问题,文章通过对PHP反序列化机制的研究,将PHP的敏感函数调用栈作为研究出发点,以Web应用正常运行时的函数调用栈作为判定依据,实现了一个基于敏感函数调用栈的未知反序列化漏洞动态检测与拦截系统。通过对4个PHP Web应用的6个反序列化漏洞的实验测试可知,该系统可成功拦截当前所有PHP反序列化漏洞攻击,并能够提取或回溯漏洞攻击所构造的POP攻击链,实现零误报。系统平均性能消耗为3.67%。

关键词: PHP反序列化漏洞, 函数调用栈, 安全防护

Abstract:

Most Web applications could not be able to defend the unknown PHP deserialization vulnerabilities attack. The common solution is making some emergency measures after the vulnerabilities have been disclosed. This article studies the PHP deserialization mechanism and takes the sensitive function call stack as a starting point for research. Taking the function call stack of Web application in normal running as the basis of judgment, this article implements an unknown PHP deserialization vulnerabilities dynamic detection and interception system based on the sensitive function call stack. Experimental tests of 6 deserialization vulnerabilities in 4 PHP Web applications show that the system can successfully intercept all current PHP deserialization vulnerabilities attacks and can extract or trace the POP attack chains constructed by the attacks. The system achieves zero false positives with an average performance cost of 3.67%.

Key words: PHP object injection, function call stack, security protection

中图分类号:

TP309

陈震杭, 王张宜, 彭国军, 夏志坚. 针对未知PHP反序列化漏洞利用的检测拦截系统研究[J]. 信息网络安全, 2018, 18(4): 47-55.

Zhenhang CHEN, Zhangyi WANG, Guojun PENG, Zhijian XIA. Research on Detection and Interception System for Unknown PHP Object Injection Exploit[J]. Netinfo Security, 2018, 18(4): 47-55.

图/表 10

图 1

图 2

图 3

图 4

图5

图6

表1

表2

表3

表 4

参考文献 14

[1]	W3Techs.W3Techs - Extensive and Reliable Web Technology Surveys[EB/OL].,2018-1-12.
[2]	LIU Peng, ZHANG Yuqing.PHP Common Security Vulnerabilities Rsearch[J].Netinfo Security,2011(7):33-36.
	刘鹏,张玉清.PHP常见安全漏洞攻防研究[J].信息网络安全,2011(7):33-36.
[3]	dblyf. 2017 Cyber Security Research Report [EB/OL].,2017-12-22.
	dblyf.2017网络安全研究报告[EB/OL].,2017-12-22.
[4]	WEI Kunpeng, GE Zhihui,YANG Bo.Research on Attack-defense of PHP Web Application Upload Vulnerabilities[J].Netinfo Security,2015(10):53-60.
	韦鲲鹏,葛志辉,杨波.PHP Web应用程序上传漏洞的攻防研究[J].信息网络安全,2015(10):53-60.
[5]	Pierluigi Paganini.CVE-2015-8562-16,000 Daily Attacks on vulnerable Joomla Servers [EB/OL].,2015-11-28.
[6]	MEI Rui, MENG Zheng, HUO Wei.Research and Implementation of Typical Document CVE Vulnerabilities Detection Tools[J].Netinfo Security,2014(6):18-22.
	梅瑞,孟正,霍玮.典型文档类CVE漏洞检测工具的研究与实现[J].信息网络安全,2014(6):18-22.
[7]	OWASP. OWASP Top 10 2017 [EB/OL]., 2018-1-12.
[8]	ESSER S. Utilizing Code Reuse Or Return Oriented Programming in PHP Applications[EB/OL]. , 2018-1-12.
[9]	Imperva, Hacker Intelligence Initiative, Monthly Trend Report #17[EB/OL]., 2018-1-12.
[10]	DAHSE J, KREIN N, HOLZ T.Code Reuse Attacks in PHP: Automated POP Chain Generation[C]//ACM. The 2014 ACM Sigsac Conference on Computer and Communications Security, November 3 -7, 2014 , Scottsdale, Arizona, USA. New York: ACM, 2014:42-53.
[11]	SHAHRIAR H, HADDAD H.Object Injection Vulnerability Discovery Based on Latent Semantic Indexing[C]//ACM. The 31st Annual ACM Symposium on Applied Computing, April 4-8, 2016, Pisa, Italy. New York: ACM, 2016:801-807.
[12]	QIAN Jie,LEI Min,ZOU Shihong.The Design of Java Deserialization Vulnerabilities Automatic Detection Script[J].Network Security Technology & Application, 2017(8): 66-68.
	钱劼,雷敏,邹仕洪.Java反序列化漏洞自动检测脚本设计[J].网络安全技术与应用,2017(8):66-68.
[13]	PROKHORENKO V, CHOO K K R, ASHMAN H. Intent-based Extensible Real-time PHP Supervision Framework[J]. IEEE Transactions on Information Forensics & Security, 2016, 11(10):2215-2226.
[14]	CNNVD. Announcement on the Vulnerability of Joomla! Content Management System [EB/OL]. ,2016-11-2.
	CNNVD. 关于Joomla!内容管理系统漏洞情况的通报[EB/OL].,2016-11-2.

[1]	裘玥, 李思其. 人工智能发展应用过程的安全威胁分析及解决策略研究[J]. 信息网络安全, 2018, 18(9): 35-41.
[2]	陈向荣, 程丁, 秦鹏宇, 程成. 一种基于STDM的用户隐私数据保护方案研究[J]. 信息网络安全, 2017, 17(5): 44-50.
[3]	王昱镔, 陈思, 程楠. 工业控制系统信息安全防护研究[J]. 信息网络安全, 2016, 16(9): 35-39.
[4]	马书磊, 田洪娟, 刘丰. 一种基于龙芯平台的安全防护网关设计与实现[J]. 信息网络安全, 2016, 16(9): 196-201.
[5]	王群. 基于安全域的信息安全防护体系研究[J]. 信息网络安全, 2015, 15(9): 206-210.
[6]	王志强，王红凯，张旭东，沈潇军. 工业控制系统安全隐患及应对措施研究[J]. 信息网络安全, 2014, 14(9): 203-206.
[7]	. 基于手机动态密码的计算机使用权限管理机制[J]. , 2014, 14(11): 46-.
[8]	张海霞;连一峰. 基于测试床模拟的通用安全评估框架[J]. , 2013, 13(Z): 0-0.
[9]	孙润康;展娴;邵玉如;秦城. Android手机安全检测与取证分析系统[J]. , 2013, 13(3): 0-0.
[10]	傅建明;李鹏伟;李晶雯. 敏感信息输入安全技术探究[J]. , 2013, 13(3): 0-0.
[11]	聂元铭;郑静;孟军. 一种局域网内部安全防护系统模型及关键技术研究[J]. , 2013, 13(2): 0-0.
[12]	周鸣;常霞. 电信移动业务网络风险评估和安全防护[J]. , 2013, 13(10): 0-0.
[13]	薄明霞;陈军;王渭清. 云计算安全体系架构研究[J]. , 2011, 11(8): 0-0.
[14]	薄明霞;陈军;王渭清. 通信网络安全验收技术体系研究[J]. , 2011, 11(7): 0-0.
[15]	何泾沙;韦潜;张兴. 中美信息安全意识培养模式的比较研究[J]. , 2011, 11(6): 0-0.

针对未知PHP反序列化漏洞利用的检测拦截系统研究

Research on Detection and Interception System for Unknown PHP Object Injection Exploit

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 10

参考文献 14

相关文章 15

编辑推荐

Metrics

本文评价