Vulfocus 0.3.2.4 新增镜像信息与规范

xiannv  1241天前

1.png

Vulfocus 作为首个基于 Docker 构建的公共型靶场,于 2021 年 6 月 11 日发布 0.3.2.4 版本加入漏洞镜像信息与规范。

Vulfocus 官网:

http://vulfocus.io/

http://vulfocus.club/

http://fofapro.github.io/vulfocus/

在线演示:http://vulfocus.fofa.so/

漏洞环境地址:https://hub.docker.com/u/vulfocus

新增功能

  • 新增一键更新官方镜像信息功能。

2.png

  • 新增 Rank、漏洞类型筛选功能。

3.png

漏洞镜像规范

为解决 Vulfocus 漏洞环境相关命名不一致问题,现在通过该方案来解决问题。另外,依据约束力强弱及故障敏感性,规约依次分为【重要】、【强制】、【推荐】、【参考】四大类。在延伸信息中,“说明”对规约做了适当扩展和解释; “正例”提倡什么样的编码和实现方式;“反例”说明需要提防的雷区,以及真实的错误案例。

版本号制定团队修改/制定人更新时间备注
1.0.0Vulfocus 团队r4v3zn2021-06-09首次发布 Vulfocus 环境信息规范

漏洞名称

  1. 【重要】漏洞名称命名规则:系统名称+漏洞类型+(漏洞编号)。
  2. 【重要】英文与中文之间必须通过“空格”分割。
  3. 【强制】漏洞编号中的括号必须为()中文括号。

正例:

Weblogic 远程命令执行(CVE-2020-2883)
Tomcat 文件包含(CVE-2020-1938)
Tomcat 任意写入文件漏洞(CVE-2017-12615)

反例:

Weblogic远程命令执行(CVE-2020-2883)

漏洞描述

  1. 【重要】漏洞描述规则:产品简介+(换行)+漏洞细节(如没有漏洞细节用漏洞危害替代)+(换行)+备注(描述环境的特殊信息如登陆信息或者特殊URL等内容)三部分组成,描述完毕一段内容时必须换行。
  2. 【重要】产品简介必须单独写一段,禁止使用夸张的语言描述漏洞简介。

正例:

DokuWiki是德国软件开发者Andreas Gohr所研发的一款基于PHP的Wiki引擎,它主要用于中小团队和个人网站知识库的管理,并提供版本控制、全文检索和权限控制等功能。
DokuWiki 2016-06-26a及之前的版本中的/inc/HTTPClient.php文件中的HTTPClient Class中的‘sendRequest’方法存在跨站请求伪造漏洞,该漏洞源于程序未能限制对专用网络的访问。攻击者可通过SSRF利用该漏洞扫描内部网络端口,例如:10.0.0.1/8,172.16.0.0/12,192.168.0.0/16。

Freefloat FTP Server是瑞典Freefloat公司的一套免费的用于上传文件和管理有线及无线设备的软件。
FreeFloat FTP Server 1.0版本中存在缓冲区溢出漏洞。远程攻击者可借助RMD命令中的长字符串利用该漏洞执行任意代码。

反例:

海洋CMS又名SEACMS,完全开源免费,自适应电脑、手机、平板、APP多终端,无加密、更安全,是您最佳的建站工具!
ThinkCMF是一款支持Swoole的开源内容管理框架(CMF),基于ThinkPHP开发,我们一直秉承ThinkPHP大道至简的理念,坚持做最简约的ThinkPHP开源软件,多应用化开发方式,让您更快地完成自己的创业项目!

漏洞分类

  1. 【重要】漏洞分类必须根据漏洞实际类型进行选择。

Rank

  1. 【重要】 Rank 值最高为5分。
  2. 【重要】Rank 必须根据漏洞实际类型以及漏洞利用复杂度评判。漏洞类型最高占比3分,漏洞复杂度占2分。详细规则如下:

漏洞分类:(分值根据拿flag的难易程度得出)

漏洞类型分值
命令执行1.0
代码执行1.0
文件写入1.5
文件上传1.5
后门1.5
默认口令2.0
弱口令2.0
权限绕过2.5
未授权访问1.5
XXE 漏洞3.0
SQL 注入3.0
文件读取1.0
文件下载1.0
文件包含1.0
目录遍历1.0

漏洞复杂度:

复杂度权限要求用户交互分值
不需要1.0
需要1.5
需要2.0

新增镜像

  • vulfocus/junams-cnvd_2020_24741
  • vulfocus/joomla-cve_2021_23132
  • vulfocus/wordpress-cve_2019_15866
  • vulfocus/empire-cve_2018_19462
  • vulfocus/node.js-cve_2021_21315
  • vulfocus/php8.1.0-dev

修复问题

  • 修改创建计时模式页面。
  • 修复页面缩放留白问题。#156
  • 修复启动计时模式后首页可以搜索查询到不在计时模式中的镜像的Bug。
  • 修复积分排行榜无法区分多个相同时间的计时模式问题。

总结

本次更新 0.3.2.4 版本新增 2 项功能6个漏洞环境,修复 4 个BUG。上线漏洞环境描述规范以及一键同步镜像功能功能。

问题汇总

如有问题可以在 GitHub 提 issue, 也可在下方的讨论组里
GitHub issue: https://github.com/fofapro/vulfocus/issues
微信群: 扫描以下二维码加我的个人微信,会把大家拉到 Vulfocus 官方微信群。

Image

最新评论

昵称
邮箱
提交评论