WEB安全測試培訓(xùn)

1、WEB安全培訓(xùn)安全培訓(xùn) 更多軟件測試資料盡在更多軟件測試資料盡在road軟件測試論壇軟件測試論壇http:/ GET POST Cookie HTTP頭環(huán)境變量頭環(huán)境變量v間接輸入間接輸入 數(shù)據(jù)庫取出的數(shù)據(jù)數(shù)據(jù)庫取出的數(shù)據(jù) 編碼的用戶數(shù)據(jù)編碼的用戶數(shù)據(jù)LOGOWEB程序安全問題vSQL注入注入v跨站腳本跨站腳本vUrl Redirect跳轉(zhuǎn)跳轉(zhuǎn)vAccess Control 越權(quán)訪問越權(quán)訪問LOGOSQL注入vSQL注入簡介注入簡介 拼接的拼接的SQL字符串改變了設(shè)計者原來的意圖，字符串改變了設(shè)計者原來的意圖，執(zhí)行了如泄露、改變數(shù)據(jù)等操作，甚至控制數(shù)執(zhí)行了如泄露、改變數(shù)據(jù)等操作，甚至控制數(shù)據(jù)庫

2、服務(wù)器據(jù)庫服務(wù)器 拼接拼接SQL字符串靈活方便，但是容易導(dǎo)致安全字符串靈活方便，但是容易導(dǎo)致安全問題問題LOGOSQL注入vSQL注入原理注入原理LOGOSQL注入利用v利用示例利用示例 LOGOSQL注入的危害v泄露敏感信息泄露敏感信息 攻擊者可以獲取后臺數(shù)據(jù)庫的種類、版本，操攻擊者可以獲取后臺數(shù)據(jù)庫的種類、版本，操作系統(tǒng)信息，數(shù)據(jù)庫名、表名、字段名以及數(shù)作系統(tǒng)信息，數(shù)據(jù)庫名、表名、字段名以及數(shù)據(jù)庫中的數(shù)據(jù)信息據(jù)庫中的數(shù)據(jù)信息v泄露敏感信息泄露敏感信息 無需知道口令就能以用戶身份登陸應(yīng)用系統(tǒng)無需知道口令就能以用戶身份登陸應(yīng)用系統(tǒng)v篡改敏感數(shù)據(jù)篡改敏感數(shù)據(jù) 對數(shù)據(jù)庫進(jìn)行增加、刪除、篡改的操作對

3、數(shù)據(jù)庫進(jìn)行增加、刪除、篡改的操作v執(zhí)行任意系統(tǒng)命令執(zhí)行任意系統(tǒng)命令 利用數(shù)據(jù)庫支持的特定功能，執(zhí)行任意命令利用數(shù)據(jù)庫支持的特定功能，執(zhí)行任意命令LOGOSQL注入的危害v不同的數(shù)據(jù)庫，不同的數(shù)據(jù)庫配置，危害不同的數(shù)據(jù)庫，不同的數(shù)據(jù)庫配置，危害程度不一樣程度不一樣 SQL Server默認(rèn)配置并且使用默認(rèn)配置并且使用sa帳號帳號 MySQL版本、數(shù)據(jù)庫版本、數(shù)據(jù)庫root帳號、系統(tǒng)帳號、系統(tǒng)root用戶用戶啟動服務(wù)啟動服務(wù)LOGOSQL注入v避免避免SQL注入注入 過濾拼接字符串中的用戶數(shù)據(jù)，尤其不能忽視過濾拼接字符串中的用戶數(shù)據(jù)，尤其不能忽視間接輸入數(shù)據(jù)的間接輸入數(shù)據(jù)的SQL語句拼接語句拼接

4、如果可能，使用其他方法代替如果可能，使用其他方法代替SQL語句拼接語句拼接 使用使用WEB應(yīng)用掃描器檢測程序相對比較明顯的應(yīng)用掃描器檢測程序相對比較明顯的SQL注入問題注入問題LOGO跨站腳本v跨站腳本簡介跨站腳本簡介 跨站腳本跨站腳本(Cross-Site Scripting)是指遠(yuǎn)程是指遠(yuǎn)程WEB頁面的頁面的html代碼可以插入具有惡意目的的代碼可以插入具有惡意目的的數(shù)據(jù)，當(dāng)瀏覽器下載該頁面，嵌入其中的惡意數(shù)據(jù)，當(dāng)瀏覽器下載該頁面，嵌入其中的惡意腳本將被解釋執(zhí)行，從而對客戶端用戶造成傷腳本將被解釋執(zhí)行，從而對客戶端用戶造成傷害。簡稱害。簡稱CSS或或XSS 不影響服務(wù)端程序，但影響客戶端不

5、影響服務(wù)端程序，但影響客戶端LOGO跨站腳本請求：請求：http:/ alert(/XSS/)LOGO跨站腳本危害v竊取竊取Cookie document.cookiev頁面內(nèi)容被篡改頁面內(nèi)容被篡改 Js代碼改寫代碼改寫/跳轉(zhuǎn)頁面跳轉(zhuǎn)頁面v蠕蟲蠕蟲 Myspace 新浪微博新浪微博v惡意代碼惡意代碼LOGO跨站腳本防御v顯示用戶數(shù)據(jù)時對顯示用戶數(shù)據(jù)時對 “&”等等HTML符號進(jìn)符號進(jìn)行編碼轉(zhuǎn)換行編碼轉(zhuǎn)換 htmlspecialcharsv過濾必要的過濾必要的XHTML屬性及各種編碼，尤其屬性及各種編碼，尤其在在WEB提供樣式功能的時候提供樣式功能的時候v設(shè)計時要考慮到關(guān)鍵內(nèi)容不能由用戶

6、的直設(shè)計時要考慮到關(guān)鍵內(nèi)容不能由用戶的直接數(shù)據(jù)顯示，要有轉(zhuǎn)換或后臺間接審核的接數(shù)據(jù)顯示，要有轉(zhuǎn)換或后臺間接審核的過程過程v用用WEB應(yīng)用掃描器對程序進(jìn)行檢測應(yīng)用掃描器對程序進(jìn)行檢測LOGOUrl Redirect跳轉(zhuǎn)vUrl Redirect釣魚攻擊原理釣魚攻擊原理vredirect.htm?target=http:/LOGOURL跳轉(zhuǎn)攻擊QQQQ用戶LOGOURL跳轉(zhuǎn)攻擊vUrl Redirect策略策略 目標(biāo)地址應(yīng)限制跳轉(zhuǎn)到當(dāng)前域內(nèi)目標(biāo)地址應(yīng)限制跳轉(zhuǎn)到當(dāng)前域內(nèi) 如果需要跳轉(zhuǎn)到外部鏈接需要有如果需要跳轉(zhuǎn)到外部鏈接需要有url的白名單的白名單LOGOAccess ControlvAccess

7、Control攻擊例子攻擊例子(前臺代碼前臺代碼) LOGOAccess ControlvAccess Control攻擊例子攻擊例子(后臺代碼后臺代碼)public boolean canManageMssage() if (isAdmin() return true; 檢查了角色檢查了角色但是短消息屬于用戶，不屬于角色但是短消息屬于用戶，不屬于角色LOGOAccess ControlvAccess Control安全策略安全策略 權(quán)限框架權(quán)限框架 SQL語句條件語句條件LOGOCookie的安全v簡介簡介 Cookie是是Netscape的一個重大發(fā)明，當(dāng)用戶的一個重大發(fā)明，當(dāng)用戶訪問網(wǎng)站

8、時，它能夠在訪問者的機器保存一段訪問網(wǎng)站時，它能夠在訪問者的機器保存一段信息，可以用來標(biāo)識各種屬性。當(dāng)用戶再次訪信息，可以用來標(biāo)識各種屬性。當(dāng)用戶再次訪問這個網(wǎng)站的時候，它又能夠讀出這些信息，問這個網(wǎng)站的時候，它又能夠讀出這些信息，這樣這樣WEB程序就能知道該用戶上次的操作程序就能知道該用戶上次的操作 Cookie大大提高了用戶體驗，被廣泛使用大大提高了用戶體驗，被廣泛使用LOGOCookie的安全vCookie的欺騙的欺騙 Cookie是純客戶端數(shù)據(jù)，非常容易偽造是純客戶端數(shù)據(jù)，非常容易偽造 文件型的文件型的Cookie可以直接改瀏覽器的可以直接改瀏覽器的Cookie文件文件 通過通過cur

9、l或或firefox的的LiveHTTPHeaders插件可插件可以輕松偽造各種類型的以輕松偽造各種類型的Cookie數(shù)據(jù)數(shù)據(jù)LOGOCookie的安全v使用使用Cookie時應(yīng)注意的問題時應(yīng)注意的問題 盡量不要用盡量不要用Cookie明文存儲敏感信息明文存儲敏感信息 數(shù)據(jù)加密后保存到客戶端的數(shù)據(jù)加密后保存到客戶端的Cookie 為為Cookie設(shè)置適當(dāng)?shù)挠行r間設(shè)置適當(dāng)?shù)挠行r間LOGOWEB服務(wù)器端安全問題v合理的文件權(quán)限設(shè)置合理的文件權(quán)限設(shè)置 取消取消WEB用戶對用戶對apache日志的讀權(quán)限日志的讀權(quán)限 nobody有寫權(quán)限的有寫權(quán)限的WEB目錄取消解析權(quán)限目錄取消解析權(quán)限LOGOWEB服務(wù)器端安全問題v信息泄露信息泄露 服務(wù)器版本信息泄露服務(wù)器版本信息泄露 運行環(huán)境遺留測試文件運行環(huán)境遺留測試文件 phpinfo.php conn.asp.bak 程序出錯泄露物理路徑程序出錯泄露物理路徑 程序查詢出錯返回程序查詢出錯返回SQL語句語句 過于詳細(xì)的用戶驗證返回信息過于詳細(xì)的用戶驗證返回信息LOGOWEB應(yīng)用掃描器vAppScan 非常專業(yè)的商業(yè)非常專業(yè)的商業(yè)WEB應(yīng)用掃描器應(yīng)用掃描器 功能強大，準(zhǔn)確率高，尤其是跨站腳本和功能強大，準(zhǔn)確率高，尤其是跨站腳本和SQL注入的檢測注入的檢測 掃描速度較慢掃描速度較慢LOGOWEB應(yīng)