WEB Security-WEB安全入侵與防御講課

WEB安全ID:HolmesianEmail:Sholmesian@GWebsite:http://H接下來我們將交流……什么是WEB安全？安全事件會帶來什么危害？最流行的WEB攻擊方式有哪些？如何抵御常見的WEB攻擊？怎樣設計安全的WEB程序？什么是網(wǎng)站安全什么是webshellwebshell就是一個asp或php木馬后門，黑客在入侵了一個網(wǎng)站后，常常在將這些asp或php木馬后門文件放置在網(wǎng)站服務器的web目錄中，與正常的網(wǎng)頁文件混在一起。然后黑客就可以用web的方式，通過asp或php木馬后門控制網(wǎng)站服務器，包括上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等。webshell最大的優(yōu)點就是可以穿越防火墻，由于與被控制的服務器或遠程主機交換的數(shù)據(jù)都是通過80端口傳遞的，因此不會被防火墻攔截。并且使用webshell一般不會在系統(tǒng)日志中留下記錄，只會在網(wǎng)站的web日志中留下一些數(shù)據(jù)提交記錄，沒有經(jīng)驗的管理員是很難看出入侵痕跡的。WebShell常見WEB應用存在的漏洞SQL注入漏洞（SQLInjection）跨站腳本漏洞（XSS）遠程包含漏洞文件上傳漏洞Cookie被盜用及偽造后門和調試漏洞邏輯錯誤和配置問題旁注攻擊監(jiān)聽（未加密的請求）SQLInjection技術概述就攻擊技術本質而言，它利用的工具是SQL的語法，針對的是應用程序開發(fā)者編程中的漏洞，當攻擊者能操作數(shù)據(jù)，向應用程序中插入一些SQL語句時，SQLInjection攻擊就發(fā)生了。實際上，SQLInjection攻擊是存在于常見的多連接的應用程序中的一種漏洞，攻擊者通過在應用程序預先定義好的SQL語句結尾加上額外的SQL語句元素，欺騙數(shù)據(jù)庫服務器執(zhí)行非授權的任意查詢,篡改和命令執(zhí)行。就風險而言，SQLInjection攻擊也是位居前列，和緩沖區(qū)溢出漏洞相比，其優(yōu)勢在于能夠輕易的繞過防火墻直接訪問數(shù)據(jù)庫，甚至能夠獲得數(shù)據(jù)庫所在的服務器的系統(tǒng)權限。在Web應用漏洞中，SQLInjection漏洞的風險要高過其他所有的漏洞。安全風險經(jīng)典的SQLInjection漏洞dimrsadmin1=request("admin")password1=request("password")setrs=server.CreateObject("ADODB.RecordSet")rs.open"select*fromadminwhereadmin='"&admin1&"'andpassword='"&password1&"'",conn,1ifrs.eofandrs.bofthenresponse.write"<SCRIPTlanguage=JavaScript>alert('用戶名或密碼不正確！');"response.write"javascript:history.go(-1)</SCRIPT>"response.endelsesession("admin")=rs("admin")session("password")=rs("password")session("aleave")=rs("aleave")response.redirect"admin.asp"endifrs.closesetrs=nothingSQLInjection產生原因在用戶名和密碼都填入'or''='SQL語句被構造成 select*fromadminwhereadmin=‘'OR‘'=‘'

and

password=‘'OR‘'=‘‘SQL語句的實際意思變?yōu)閍dmin為空或者空等于空，password為空或者空等于空的時候整個查詢語句就為真。SQLInjection利用發(fā)現(xiàn)注入點（and1=2、and1=1、'……）判斷數(shù)據(jù)庫類型（ACCESS、MYSQL、MSSQL……）利用數(shù)據(jù)庫特性獲得權限（MSSQL、Oracle……）構造語句猜解表名、字段名、敏感內容查找后臺登陸地址、使用得到的密碼成功登陸SQLInjection實例/look.asp?id=66/look.asp?id=66and1=1/look.asp?id=66and1=2/look.asp?id=66andexists(select*fromadminwhere1=1andlen(password)=13andid=(Selectmax(id)Fromadminwhereidin(selecttop1idfromadminOrderbyid)))/look.asp?id=66andexists(select*fromadminwhere1=1andasc(mid(cstr(password),1,1))between30and80andid=(Selectmax(id)Fromadminwhereidin(selecttop1idfromadminOrderbyid)))[62839-23922=38917|3141]PHPSQLInjection判斷是否存在注入,加';and1=1;and1=2判斷版本andord(mid(version(),1,1))>51/*返回正常說明是4.0以上版本，可以用union查詢利用orderby暴字段，在網(wǎng)址后加orderby10/*如果返回正常說明字段大于10再利用union來查詢準確字段，如:and1=2unionselect1,2,3,......./*直到返回正常，說明猜到準確字段數(shù)。如過濾了空格可以用/**/代替。判斷數(shù)據(jù)庫連接帳號有沒有寫權限，and(selectcount(*)frommysql.user)>0/*如果結果返回錯誤，那我們只能猜解管理員帳號和密碼了。修補SQLInjection漏洞在服務端正式處理之前對提交數(shù)據(jù)的合法性進行檢查；封裝客戶端提交信息；替換或刪除敏感字符/字符串；（/new/）屏蔽出錯信息。一個通用防注入的函數(shù)DimTc_Post,Tc_Get,Tc_In,Tc_Inf,Tc_Xh '定義需要過濾的字串Tc_In="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|or|char|declare"Tc_Inf=split(Tc_In,"|")'處理post數(shù)據(jù)IfRequest.Form<>""ThenForEachTc_PostInRequest.FormForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.Form(Tc_Post)),Tc_Inf(Tc_Xh))<>0ThenResponse.Write"<ScriptLanguage=JavaScript>alert('請不要在參數(shù)中包含非法字符嘗試注入！');</Script>"'處理get數(shù)據(jù)IfRequest.QueryString<>""ThenForEachTc_GetInRequest.QueryStringForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.QueryString(Tc_Get)),Tc_Inf(Tc_Xh))<>0ThenResponse.Write"<ScriptLanguage=JavaScript>alert('請不要在參數(shù)中包含非法字符嘗試注入！');</Script>"跨站腳本攻擊Crosssitescripting簡稱XSS原理：由于WEB應用程序沒有對用戶的輸入和輸出進行嚴格的過濾和轉換，就導致在返回頁面中可能嵌入惡意代碼。數(shù)據(jù)流程：

惡意用戶的Html輸入—>web程序—>進入數(shù)據(jù)庫—>web程序—>用戶瀏覽器80%網(wǎng)站存在跨站漏洞,包括許多大型知名網(wǎng)站！

XSS的危害掛馬插入惡意的腳本內容，運行病毒、木馬。釣魚篡改網(wǎng)頁內容，騙取賬號、密碼等詐騙行為。劫持會話讀取會話COOKIE,傳送給第三方劫持身份。XSSWorm使用AJAX技術，做幾何趨勢的增長傳播。XSS實例1XSS實例2跨站蠕蟲流程圖劫持會話記錄會話模擬登錄發(fā)送xss給好友刪除個人信息XSS的防御之道永遠不要相信客戶端提交的任何數(shù)據(jù)?。。?1、服務器端永遠不使用未驗證的客戶端數(shù)據(jù)。GET、POST、Cookies、URL、HTTP

Header、IP… 2、服務器永遠不對外展示任何未驗證的客戶端數(shù)據(jù)。遠程文件包含漏洞遠程文件包含實例phpwind較高版本論壇中存在一個嚴重的漏洞，成功利用該漏洞可以遠程執(zhí)行任意php代碼pw_ajax.php中的}elseif($action=='pcdelimg'){ InitGP(array('fieldname','pctype')); InitGP(array('tid','id'),2); if(!$tid||!$id||!$fieldname||!$pctype){ echo'fail'; } $id=(int)$id; if($pctype=='topic'){ $tablename=GetTopcitable($id); }elseif($pctype=='postcate'){ $tablename=GetPcatetable($id); } $path=$db->get_value("SELECT$fieldnameFROM$tablenameWHEREtid=".pwEscape($tid));fieldname未經(jīng)任何有效的過濾（全局的一些其他的比較搞笑看起來不錯的過濾對這里不起任何安全上的意義，只是對漏洞利用帶來了一些難度），利用該注射可以獲取任何數(shù)據(jù)庫里的數(shù)據(jù)。Register_Globals很久很久以前，PHP程序員通過“registerglobals”(全局變量注冊)機制讀取用戶提供的數(shù)據(jù)。在這種情形下，所有提交給一個腳本的參數(shù)都以一個與參數(shù)同名的變量的形式出現(xiàn)。例如，URL:script.php?foo=bar會創(chuàng)建一個值為bar的變量$foo。<?phpecho$foo;?>輸出:bar使用未初始化的變量幾乎就意味著安全漏洞！文件上傳漏洞僅本地javascript安全控制檢測文件格式類型程序通過filepath的值來判斷用戶上傳的文件類型空字節(jié)繞過Content-type判斷Win2k3文件名解析漏洞：當文件名為x.asp;x.jpg時，IIS會以ASP格式解析，x.php;x.jpg會以PHP解析。早期版本php的uploaded_file函數(shù)存在安全問題，遇到二進制0x00就會認為數(shù)據(jù)結束了

Filename=C:\1.php.jpg->1.php.jpgFilename=C:\1.php0x00.jpg->1.php上傳后綴為.jpg的網(wǎng)頁文件，IE會當作正常的網(wǎng)頁一樣解析?？兆止?jié)繞過上傳<?phpif($_FILES['userfile']['type']!="image/gif"){echo"Sorry,weonlyallowuploadingGIFimages";exit;}Content-Disposition:form-data;name="userfile";filename="shell.php"Content-Type:image/gif<?phpsystem($_GET['command']);?>文件上傳漏洞防止Cookies問題明文cookie加密串替換

例如：某系統(tǒng)cookie信息如下

user=!#$@@;ugroup=#$%$$登陸test得到的cookies

entname=unsearch;

enid=p]0i7L60T8L6LLl0i7;

企業(yè)IDusername=p]0T677L7kTLaMM080l0;hpeid=p]0i7L60T8L6LLl0i7;einfo=C2IsSyY6E3V-LoVa2z43Zp6DYx6Cpxe_1xfdYyfcBmgczyfNOy4_HCU-Y0ic1-fcP0eCl;qta=200

Cookies利用直接訪問本應受限的URL

要確保在每個請求中都要包含會話表示，授權檢查是每個應用程序的責任，而不僅僅是登陸程序的偽造Cookies，偽裝身份在用戶名和密碼中輸入1or1=1的語句來繞過程序的檢查利用密碼保護來修改密碼（社會工程學）驗證碼問題配置不當導致的問題Google

HackingGoogleHacking是一種利用搜索引擎獲取web應用程序弱點和敏感信息的手段。GoogleHacking是一種以合