Web漏洞原理及檢測- v3

1、 Web漏洞原理及檢測漏洞原理及檢測 案例目錄常見Web漏洞介紹漏洞檢測策略安全中心的支持目錄常見Web漏洞介紹SQLXSSCSRF跳轉(zhuǎn)信息泄漏 目錄常見Web漏洞介紹SQLXSSCSRF跳轉(zhuǎn)信息泄漏 SQL注入漏洞 SQL注入漏洞是由于對用戶輸入的參數(shù)注入漏洞是由于對用戶輸入的參數(shù)未作處理就帶入未作處理就帶入SQL語句中導(dǎo)致的語句中導(dǎo)致的 or 1=1SQL注入形式 SQL注入漏洞常見的三種形式注入漏洞常見的三種形式 整數(shù)型：整數(shù)型：select * from table where id=10 字符型：字符型：select * from table where id=10 搜索型：搜索型：

2、select * from table where id like %10% 針對針對SQL注入漏洞的三種形式的測試用注入漏洞的三種形式的測試用例例 整數(shù)型：整數(shù)型：select * from table where id=10 or 1=1 字符型：字符型：select * from table where id=10 or 1=1 搜索型：搜索型：select * from table where id like %10% or %=%SQL注入解決方案 你如何防止SQL注入呢？目錄常見Web漏洞介紹SQLXSSCSRF跳轉(zhuǎn)信息泄漏 XSS漏洞 Q：我中獎了嗎？XSS漏洞 XSS是跨站腳本

3、（Cross Site Scripting）的簡寫。簡言之，XSS注入是指黑客能夠注入惡意代碼到網(wǎng)頁使得正常用戶執(zhí)行惡意代碼 危害：惡意代碼在客戶端瀏覽器執(zhí)行 XSS分類：持久型、非持久型持久型XSS 惡意代碼存儲到DB，每次訪問該頁面就會執(zhí)行非持久型XSS 惡意代碼惡意代碼不保存不保存在服務(wù)器端，每次都需在服務(wù)器端，每次都需用戶訪問構(gòu)造的特殊用戶訪問構(gòu)造的特殊URLXSS的危害 會話劫持（他人付帳漏洞） 釣魚 冒充用戶身份 網(wǎng)頁掛馬 XSS蠕蟲 XSS的解決方案XSS的解決方案如果允許用戶輸入富文本，比如發(fā)表Qqzone的日志，這個時候又該怎么保證安全呢？ XSS注入變形多樣化 （普通的攻擊

4、）（tab分隔）（tab實(shí)體分隔）（回車實(shí)體分隔） （全部是實(shí)體）（關(guān)于這個攻擊代碼的變化還有很多是的，很多）XSS漏洞的測試 XSS Cheat Sheet /xss.html目錄常見Web漏洞介紹SQLXSSCSRF跳轉(zhuǎn)信息泄漏 CSRF漏洞 Cross-Site Request Forgery，跨站請求偽造，指通過HTML、JS或者flash等載體控制瀏覽器使用當(dāng)前會話向Web程序發(fā)送請求的攻擊方式CSRF漏洞 安全解決方案驗(yàn)證碼： 讓用戶手工輸入驗(yàn)證碼Referer：驗(yàn)證HTTP請求來源Form token：在表單中增加隨機(jī)token目錄常見Web漏

5、洞介紹SQLXSSCSRF跳轉(zhuǎn)信息泄漏 跳轉(zhuǎn)漏洞跳轉(zhuǎn)解決方案在跳轉(zhuǎn)之前一定要驗(yàn)證跳轉(zhuǎn)的目標(biāo)地址是否為合法站點(diǎn)，如果不是則不進(jìn)行跳轉(zhuǎn)，而是到錯誤頁面或者指定的頁面目錄常見Web漏洞介紹SQLXSSCSRF跳轉(zhuǎn)測試頁面信息泄漏 測試頁面主要包含以下幾個方面測試文件Bak文件.svn/entries解決方案不要將測試無關(guān)的文件同步到外網(wǎng)目錄常見Web漏洞介紹XSSCSRF跳轉(zhuǎn)測試頁面信息泄漏 信息泄漏針對惡意用戶的請求，server端返回了過多的錯誤詳情解決方案： 不要將錯誤的信息回顯給用戶，而改用統(tǒng)一的出錯信息，比如“系統(tǒng)繁忙，請稍后再試”目錄常見Web漏洞介紹CSRF跳轉(zhuǎn)測試頁面信息泄漏目錄遍歷

6、 目錄遍歷解決方案：修改webserver的配置目錄常見Web漏洞介紹跳轉(zhuǎn)測試頁面信息泄漏目錄遍歷后臺 管理后臺用戶密碼存在弱口令管理后臺直接放在外網(wǎng)管理后臺的解決方案不要將管理后臺開放在外網(wǎng)，如果確實(shí)需要，請將后臺移動到合作專區(qū)，并且加入ip訪問限制，增加復(fù)雜的帳戶名密碼，驗(yàn)證碼目錄常見Web漏洞介紹測試頁面信息泄漏目錄遍歷后臺上傳漏洞 上傳漏洞 原因：接收上傳文件的程序未做合法性校驗(yàn) 危害： 1）直接上傳PHP/JSP等腳本，黑客直接上傳Web后門控制服務(wù)器（PHPSpy等） 2）上傳非圖片格式的圖片后綴文件：黑客上傳HTML、Flash等格式的.jpg文件配合CSRF漏洞進(jìn)行攻擊 安全最

7、佳實(shí)踐：判斷文件協(xié)議頭和后綴目錄常見Web漏洞介紹信息泄漏目錄遍歷后臺上傳漏洞Info INFO漏洞 INFO漏洞是CGI把輸入的參數(shù)原樣輸出到頁面 最佳安全實(shí)踐：不要將用戶的輸入原樣輸出，而是采用case語句的形式給用戶進(jìn)行選擇目錄常見Web漏洞介紹目錄遍歷后臺上傳漏洞Info第三方模板 第三方web模板的潛在威脅 第三方模版的引入就會增加站點(diǎn)的不可控性，如果第三方有漏洞，自身就也會被黑客利用。 最佳安全實(shí)踐：不用第三方模版目錄 常見Web漏洞介紹 漏洞檢測策略 安全中心的支持漏洞檢測策略 踩點(diǎn)準(zhǔn)備，摸清流程 尋找?guī)?shù)的CGI程序 提交各種BT的參數(shù)，看它如何反應(yīng) 區(qū)分程序異常與正常的參數(shù)校驗(yàn) 使用網(wǎng)絡(luò)工具輔助分析 使用專業(yè)掃描器縮小目標(biāo) 由此及彼的推測：同一個程序員寫的程序，可能會犯同樣的毛病 旁敲側(cè)擊：同域不同主機(jī)上的應(yīng)用 Google Hacking技術(shù)目錄 Web安全現(xiàn)狀 常見Web漏洞介紹 漏洞檢測策略 安全