SANGFOR_NGAF_V58_2015年度渠道高級認證培訓02_常見攻擊測試_2

1、SANGFOR NGAF 常見攻擊測試_2培訓內(nèi)容培訓目標NGAF web應用防護功能了解常見WEB應用攻擊了解SQL注入了解XSS攻擊掌握SQL&XSS攻擊測試方法了解什么是信息泄露攻擊掌握信息泄露攻擊測試方法SANGFOR NGAF WEB應用常見攻擊SANGFOR NGAF SQL注入深信服公司簡介SANGFOR NGAF 信息泄漏攻擊SANGFOR NGAFSANGFOR NGAF XSS攻擊1.1 常見WEB應用攻擊1.2 了解SQL注入1.3 了解XSS攻擊1.4 SQL&XSS攻擊測試方法1.5 信息泄漏攻擊1.6 信息泄漏攻擊測試方法NGAF WEB應用防護功能

2、 以OWASP的top 10項目為例，其列出了對企業(yè)組織所面臨的10項的最嚴重的web應用程序安全風險，由下圖可以看到，注入和XSS攻擊由07年直至13年始終位居前幾位。1.1 常見WEB應用攻擊Web應用防護，主要用于保護web服務器不受攻擊，導致軟件服務中斷或被遠程控制。其常見的攻擊有如下：1、SQL注入2、XSS攻擊3、網(wǎng)頁木馬4、網(wǎng)站掃描5、WEBSHELL6、跨站請求偽造7、系統(tǒng)命令注入8、文件包含攻擊9、目錄遍歷攻擊10、信息泄漏攻擊等等1.2 了解SQL注入 SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL命

3、令。SQL注入實際就是在web頁面執(zhí)行一些SQL語句來操作數(shù)據(jù)庫，對于其攻擊特點已經(jīng)有初步認識了，要更深一步認識，需要搞清楚以下問題：1、攻擊數(shù)據(jù)出現(xiàn)在哪里（在哪里提交、如何提交）2、什么內(nèi)容才是SQL注入攻擊（提交什么內(nèi)容才認為是SQL注入攻擊）攻擊數(shù)據(jù)出現(xiàn)在哪里？Web提交數(shù)據(jù)一般有兩種形式，一種是get，一種是post。Get的特點，提交的內(nèi)容經(jīng)過URI編碼直接在url欄中顯示，比如：Post提交的特點，提交的內(nèi)容不會直接顯示在url部分，會在post包的data字段中，比如：什么內(nèi)容才是SQL注入攻擊？ SQL注入攻擊可以根據(jù)其特點分為弱特征、強特征、注入工具特征三種。 弱攻擊：類似這

4、種select * from test，這個sql語句中，有兩個關鍵字select和from執(zhí)行了一個查詢語句，其危險性相對強攻擊較低； 強攻擊：如insert into test values（lmj，123） 這個語句中有三個SQL關鍵字insert、into、values，并且這個語句操作可能導致在test表中添加lmj這個用戶，這種語句被認為是危險的；強攻擊大致具備如下特征：1、包含三個及以上的SQL關鍵字，并且這三個關鍵字組合起來能夠成為一條合法的SQL語句。2、包含任何的SQL關鍵字連詞，這些連詞包括union. “;”, and, or等，并且采取了常用的sql注入方法來運用這些

5、連詞，如數(shù)據(jù)包中存在 and 1=1 會被認為是強特征。 注入工具攻擊：利用一些專業(yè)的SQL注入工具進行攻擊，這些工具的攻擊都是具有固定數(shù)據(jù)流特征的。1.3 了解XSS攻擊XSS攻擊：跨站腳本攻擊(Cross Site Scripting)，XSS是一種經(jīng)常出現(xiàn)在web應用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。其主要目的通常是竊取用戶信息、誘使客戶訪問惡意或釣魚網(wǎng)站、抓取肉雞等。XSS漏洞按照攻擊利用手法的不同，有以下三種類型：類型A，本地利用漏洞類型B，反射式漏洞類型C，存儲式漏洞1.4 SQL&XSS測試方法以虛擬環(huán)境測試步驟為例：1、搭建

6、網(wǎng)絡測試環(huán)境；2、準備好工具或手工進行攻擊；3、配置NGAF對WAF防御策略；4、檢查NGAF攻擊防護日志以及攻擊方攻擊情況。 SQL注入測試方法，一般可以分為兩種，一種是直接對客戶真實環(huán)境進行掃描分析查找注入點并入侵，另外一種是搭建虛擬環(huán)境并進行演示。 兩種方法各有利弊，第一種方法要求測試者擁有較高技術(shù)分析水平，并且可能會影響客戶實際業(yè)務，測試成功率較低，但是也是最有說服力的。第二種方法簡單易行，而且可演示實際攻擊效果，測試成功率較高，主要起到演示效果作用。1、搭建網(wǎng)絡測試環(huán)境首先搭建NGAF的測試環(huán)境。本例以較常見的透明模式部署為例。攻擊方PC位于NGAF外網(wǎng)口方向，web服務器位于內(nèi)網(wǎng)口

7、方向。配置相應接口區(qū)域及放通應用控制，定義SQL注入防御策略。另外需要確保web應用防護庫最新。2、準備好工具或手工進行攻擊對目標站點進行攻擊，一般分為兩個階段：1、信息收集；2、攻擊實施。首先需要信息收集，以最普通的chrome自帶開發(fā)者工具為例，直接訪問網(wǎng)站的主頁，查找服務器返回字段或源代碼中包含的有用信息，例如以下圖為例，服務器返回字段標明該服務器采用了IIS6.0版本架設的web站點。檢查發(fā)現(xiàn)該網(wǎng)站附帶了一個頁面元素，是一個在線客服系統(tǒng)，根據(jù)提供的外鏈，我們可以獲知該服務器還安裝了樂語在線系統(tǒng)，由其返回的服務器字段，可知其附帶了用apache-coyote/1.1搭建web站點。以上示

8、例說明了如何獲取相關的信息的的簡單方法。以NGAF測試人員的身份，相對于陌生攻擊者，更容易跟客戶溝通獲取相應的服務器信息，當然也存在客戶也無法提供的資源，例如代碼中的漏洞之類，則需要依賴測試人員自身去發(fā)現(xiàn)?？傊?，依靠各種手段盡可能的獲取關于服務器最詳細的信息，以為后續(xù)攻擊提供資源。攻擊實施依賴與之前的信息收集，我們已經(jīng)知曉目標服務器的數(shù)據(jù)庫類型、系統(tǒng)版本等信息，可以針對性得發(fā)起相應的攻擊測試。本例中，我們采用常見的滲透分析工具IBM Rational Appscan工具來進行攻擊檢測。3、配置NGAF對WAF防御策略4、檢查NGAF攻擊防護日志以及攻擊方攻擊情況檢查【內(nèi)置數(shù)據(jù)中心】-【日志查詢

9、】-【web應用防護】日志，可以看到相關的拒絕日志信息。檢查appscan掃描攻擊情況：1.5 信息泄露攻擊與其危害 信息泄露漏洞是由于在沒有正確處理一些特殊文件，通過訪問這些文件或者路徑，可以泄露web服務器的一些敏感信息，如用戶名、密碼、源代碼、服務器信息、配置信息。常見的信息泄漏有：1、應用錯誤信息泄露；2、備份文件信息泄露；3、web服務器缺省頁面信息泄露；4、敏感文件信息泄露；5、目錄信息泄露。信息泄露的幾種原因：1、web服務器配置存在問題2、web服務器本身存在漏洞3、web網(wǎng)站的腳本編寫存在問題1.6 信息泄露攻擊測試方法測試步驟：1、搭建網(wǎng)絡測試環(huán)境；2、配置NGAF對信息泄

10、漏防御策略；3、進行帶有信息泄漏攻擊特征的操作；4、檢查NGAF攻擊防護日志。 信息泄漏攻擊的測試方法相對較簡單，其實不需要server上真實存在文件，直接在AF上設置信息防泄漏策略后，按照提交網(wǎng)址請求文件就可以看到拒絕效果了。1、搭建網(wǎng)絡測試環(huán)境2、配置NGAF對信息泄漏防御策略3、進行帶有信息泄漏攻擊特征的操作例如對服務器地址下載特定后綴的文件，在url欄輸入00/passwd.bak4、檢查NGAF攻擊防護日志檢查【內(nèi)置數(shù)據(jù)中心】-【日志查詢】-【web應用防護】日志，可以看到相關的拒絕日志信息。NGAF WEB應用防護功能誤判排除方法方法一：在WEBUI的【服務器保護】-【W(wǎng)EB應用防護】-“例外” URL參數(shù)排除后，WEB應用防護的網(wǎng)站攻擊檢測將跳過這些參數(shù)的檢查。主要用于正常業(yè)務下某些請求參數(shù)因攜帶特征串而被檢測為攻擊的情況，可以只針對這些參數(shù)排除。2.1 NGAF WEB應用防護誤判排除方法二：在AF的內(nèi)置數(shù)據(jù)中心中【日志查詢】-【W(wǎng)EB應用防護】在查詢的日志中找出