版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
SANGFORNGAF常見攻擊測試_2培訓內容培訓目標NGAF
web應用防護功能了解常見WEB應用攻擊了解SQL注入了解XSS攻擊掌握SQL&XSS攻擊測試方法了解什么是信息泄露攻擊掌握信息泄露攻擊測試方法SANGFORNGAFWEB應用常見攻擊SANGFORNGAF
SQL注入深信服公司簡介SANGFORNGAF信息泄漏攻擊SANGFORNGAFSANGFORNGAF
XSS攻擊1.1常見WEB應用攻擊1.2了解SQL注入1.3了解XSS攻擊1.4SQL&XSS攻擊測試方法1.5信息泄漏攻擊1.6信息泄漏攻擊測試方法NGAFWEB應用防護功能以OWASP的top10項目為例,其列出了對企業(yè)組織所面臨的10項的最嚴重的web應用程序安全風險,由下圖可以看到,注入和XSS攻擊由07年直至13年始終位居前幾位。1.1常見WEB應用攻擊Web應用防護,主要用于保護web服務器不受攻擊,導致軟件服務中斷或被遠程控制。其常見的攻擊有如下:1、SQL注入2、XSS攻擊3、網頁木馬4、網站掃描5、WEBSHELL6、跨站請求偽造7、系統(tǒng)命令注入8、文件包含攻擊9、目錄遍歷攻擊10、信息泄漏攻擊等等1.2了解SQL注入SQL注入,就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執(zhí)行惡意的SQL命令。SQL注入實際就是在web頁面執(zhí)行一些SQL語句來操作數據庫,對于其攻擊特點已經有初步認識了,要更深一步認識,需要搞清楚以下問題:1、攻擊數據出現在哪里(在哪里提交、如何提交)2、什么內容才是SQL注入攻擊(提交什么內容才認為是SQL注入攻擊)攻擊數據出現在哪里?Web提交數據一般有兩種形式,一種是get,一種是post。Get的特點,提交的內容經過URI編碼直接在url欄中顯示,比如:Post提交的特點,提交的內容不會直接顯示在url部分,會在post包的data字段中,比如:什么內容才是SQL注入攻擊?
SQL注入攻擊可以根據其特點分為弱特征、強特征、注入工具特征三種。
弱攻擊:類似這種select
*
from
test,這個sql語句中,有兩個關鍵字select和from執(zhí)行了一個查詢語句,其危險性相對強攻擊較低;
強攻擊:如insert
into
test
values(lmj,123)
這個語句中有三個SQL關鍵字insert、into、values,并且這個語句操作可能導致在test表中添加lmj這個用戶,這種語句被認為是危險的;強攻擊大致具備如下特征:1、包含三個及以上的SQL關鍵字,并且這三個關鍵字組合起來能夠成為一條合法的SQL語句。2、包含任何的SQL關鍵字連詞,這些連詞包括union.
“;”,
and,
or等,并且采取了常用的sql注入方法來運用這些連詞,如數據包中存在
and
1=1
會被認為是強特征。注入工具攻擊:利用一些專業(yè)的SQL注入工具進行攻擊,這些工具的攻擊都是具有固定數據流特征的。1.3了解XSS攻擊
XSS攻擊:跨站腳本攻擊(CrossSiteScripting),XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。其主要目的通常是竊取用戶信息、誘使客戶訪問惡意或釣魚網站、抓取肉雞等。XSS漏洞按照攻擊利用手法的不同,有以下三種類型:類型A,本地利用漏洞類型B,反射式漏洞類型C,存儲式漏洞1.4SQL&XSS測試方法以虛擬環(huán)境測試步驟為例:1、搭建網絡測試環(huán)境;2、準備好工具或手工進行攻擊;3、配置NGAF對WAF防御策略;4、檢查NGAF攻擊防護日志以及攻擊方攻擊情況。SQL注入測試方法,一般可以分為兩種,一種是直接對客戶真實環(huán)境進行掃描分析查找注入點并入侵,另外一種是搭建虛擬環(huán)境并進行演示。
兩種方法各有利弊,第一種方法要求測試者擁有較高技術分析水平,并且可能會影響客戶實際業(yè)務,測試成功率較低,但是也是最有說服力的。第二種方法簡單易行,而且可演示實際攻擊效果,測試成功率較高,主要起到演示效果作用。1、搭建網絡測試環(huán)境首先搭建NGAF的測試環(huán)境。本例以較常見的透明模式部署為例。攻擊方PC位于NGAF外網口方向,web服務器位于內網口方向。配置相應接口區(qū)域及放通應用控制,定義SQL注入防御策略。另外需要確保web應用防護庫最新。2、準備好工具或手工進行攻擊對目標站點進行攻擊,一般分為兩個階段:1、信息收集;2、攻擊實施。首先需要信息收集,以最普通的chrome自帶開發(fā)者工具為例,直接訪問網站的主頁,查找服務器返回字段或源代碼中包含的有用信息,例如以下圖為例,服務器返回字段標明該服務器采用了IIS6.0版本架設的web站點。檢查發(fā)現該網站附帶了一個頁面元素,是一個在線客服系統(tǒng),根據提供的外鏈,我們可以獲知該服務器還安裝了樂語在線系統(tǒng),由其返回的服務器字段,可知其附帶了用apache-coyote/1.1搭建web站點。以上示例說明了如何獲取相關的信息的的簡單方法。以NGAF測試人員的身份,相對于陌生攻擊者,更容易跟客戶溝通獲取相應的服務器信息,當然也存在客戶也無法提供的資源,例如代碼中的漏洞之類,則需要依賴測試人員自身去發(fā)現。總之,依靠各種手段盡可能的獲取關于服務器最詳細的信息,以為后續(xù)攻擊提供資源。攻擊實施依賴與之前的信息收集,我們已經知曉目標服務器的數據庫類型、系統(tǒng)版本等信息,可以針對性得發(fā)起相應的攻擊測試。本例中,我們采用常見的滲透分析工具IBMRationalAppscan工具來進行攻擊檢測。3、配置NGAF對WAF防御策略4、檢查NGAF攻擊防護日志以及攻擊方攻擊情況檢查【內置數據中心】-【日志查詢】-【web應用防護】日志,可以看到相關的拒絕日志信息。檢查appscan掃描攻擊情況:1.5信息泄露攻擊與其危害信息泄露漏洞是由于在沒有正確處理一些特殊文件,通過訪問這些文件或者路徑,可以泄露web服務器的一些敏感信息,如用戶名、密碼、源代碼、服務器信息、配置信息。常見的信息泄漏有:1、應用錯誤信息泄露;2、備份文件信息泄露;3、web服務器缺省頁面信息泄露;4、敏感文件信息泄露;5、目錄信息泄露。信息泄露的幾種原因:1、web服務器配置存在問題2、web服務器本身存在漏洞3、web網站的腳本編寫存在問題1.6信息泄露攻擊測試方法測試步驟:1、搭建網絡測試環(huán)境;2、配置NGAF對信息泄漏防御策略;3、進行帶有信息泄漏攻擊特征的操作;4、檢查NGAF攻擊防護日志。信息泄漏攻擊的測試方法相對較簡單,其實不需要server上真實存在文件,直接在AF上設置信息防泄漏策略后,按照提交網址請求文件就可以看到拒絕效果了。1、搭建網絡測試環(huán)境2、配置NGAF對信息泄漏防御策略3、進行帶有信息泄漏攻擊特征
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 中考物理復習主題單元4第9課時力與運動課件
- 磴口縣三完小三年級手工教案
- 北師大版二年級語文上冊教案(高效課堂模式)
- 火力發(fā)電電焊施工協(xié)議
- 西師版五年級語文下冊教案
- 廣告創(chuàng)意總監(jiān)租賃合約
- 社會組織復印機租賃協(xié)議
- 財務人員綠色辦公倡導承諾書
- 農業(yè)科技園區(qū)招投標申請表
- 生產線設備故障應對規(guī)范
- PMC生產計劃與物料控制實務課件
- 雞的飼養(yǎng)管理-優(yōu)質課件
- 人工濕地設計規(guī)范標準[詳]
- 提灌站項目施工組織設計
- 無損檢測英語
- 化學微生物學第7章 微生物轉化
- 《少年正是讀書時》-完整版PPT課件
- 四、貼標機基本調整法1
- 高中英語全冊教學大綱-(全)
- 船舶建造方案
- 汽車服務4S店安全生產管理制度
評論
0/150
提交評論