Web應(yīng)用滲透技術(shù)

Web應(yīng)用滲透測(cè)試技術(shù)

主講人：劉璟OutlineWeb應(yīng)用滲透技術(shù)基礎(chǔ)Web應(yīng)用漏洞掃描探測(cè)Web應(yīng)用程序滲透測(cè)試總結(jié)2Web應(yīng)用滲透技術(shù)基礎(chǔ)什么是滲透測(cè)試Web應(yīng)用滲透測(cè)試OWASPWeb漏洞TOP10近期Web應(yīng)用攻擊典型案例滲透測(cè)試工具簡(jiǎn)介3什么是滲透測(cè)試Apenetrationtest(pentest)isamethodofevaluatingcomputerandnetworksecuritybysimulatinganattackonacomputersystemornetworkfromexternalandinternalthreats*.4什么是滲透測(cè)試Penetrationtestsarevaluableforseveralreasons*:Identifyinghigher-riskvulnerabilitiesthatresultfromacombinationoflower-riskvulnerabilitiesexploitedinaparticularsequenceIdentifyingvulnerabilitiesthatmaybedifficultorimpossibletodetectwithautomatednetworkorapplicationvulnerabilityscanningsoftwareAssessingthemagnitudeofpotentialbusinessandoperationalimpactsofsuccessfulattacksTestingtheabilityofnetworkdefenderstosuccessfullydetectandrespondtotheattacks5Web應(yīng)用滲透技術(shù)基礎(chǔ)什么是滲透測(cè)試Web應(yīng)用滲透測(cè)試OWASPWeb漏洞TOP10近期Web應(yīng)用攻擊典型案例滲透測(cè)試工具簡(jiǎn)介6典型的網(wǎng)絡(luò)組織方式Webiseverywhere.一個(gè)組織或公司提供對(duì)外的門(mén)戶網(wǎng)站7Web應(yīng)用程序體系結(jié)構(gòu)8Web應(yīng)用滲透技術(shù)基礎(chǔ)什么是滲透測(cè)試Web應(yīng)用滲透測(cè)試OWASPWeb漏洞TOP10近期Web應(yīng)用攻擊典型案例滲透測(cè)試工具簡(jiǎn)介9OWASPWeb漏洞TOP10TheOpenWebApplicationSecurityProject(OWASP)isaworldwidenot-for-profitcharitableorganizationfocusedonimprovingthesecurityofsoftware.OWASPTopTen:ThegoaloftheTop10projectistoraiseawarenessaboutapplicationsecuritybyidentifyingsomeofthemostcriticalrisksfacingorganizations.10OWASPTopTenSQL注入攻擊（SQLInjection,SQLi）：指發(fā)生在Web應(yīng)用對(duì)后臺(tái)數(shù)據(jù)庫(kù)查詢語(yǔ)句處理存在的安全漏洞。簡(jiǎn)單地說(shuō)，就是在輸入字符串中嵌入SQL指令，在設(shè)計(jì)程序中忽略了對(duì)特殊字符串的檢查，嵌入的指令便會(huì)被誤認(rèn)為正常的SQL指令。跨站腳本（Cross-SiteScripting,XSS）：惡意使用者將程序代碼（惡意腳本）注入到網(wǎng)頁(yè)上，其他使用者在瀏覽網(wǎng)頁(yè)時(shí)就會(huì)受到不同程度的影響?？缯緜卧煺?qǐng)求（Cross-SiteRequestForgery,CSRF）:屬于XSS的衍生。攻擊者利用XSS的注入方式注入一段腳本，當(dāng)受害者點(diǎn)擊瀏覽器運(yùn)行該腳本時(shí)，腳本偽造受害者發(fā)送了一個(gè)合法請(qǐng)求。11OWASPTopTen會(huì)話認(rèn)證管理缺陷（BrokenAuthenticationandSessionManagement,BASM）:首次傳送Cookie后，便不對(duì)Cookie中的內(nèi)容進(jìn)行檢查，攻擊者便可修改Cookie中的重要信息，用來(lái)提升權(quán)限，或是冒用他人賬號(hào)獲取私密資料。安全誤配置（SecurityMisconfiguration）：存在于Web應(yīng)用的各層次，譬如Web平臺(tái)、Web服務(wù)器、應(yīng)用服務(wù)器、程序代碼等。不安全的密碼存儲(chǔ)（InsecureCryptographicStorage）不安全的對(duì)象參考（InsecureDirectObjectReferences）：利用Web系統(tǒng)本身的文檔讀取功能，任意存取系統(tǒng)文檔或資料。12補(bǔ)充知識(shí)：cookieHTTP協(xié)議是無(wú)狀態(tài)的。網(wǎng)站為了辨別用戶身份而儲(chǔ)存在用戶本地終端（ClientSide）上的數(shù)據(jù)（通常經(jīng)過(guò)簡(jiǎn)單加密）。應(yīng)用范圍：保存購(gòu)物信息、登錄憑據(jù)等。Cookie總是保存在客戶端中，按在客戶端中的存儲(chǔ)位置，可分為內(nèi)存Cookie和硬盤(pán)Cookie。13OWASPTopTen限制URL訪問(wèn)失?。‵ailuretoRestrictURLAccess）:例如內(nèi)部員工使用的未公開(kāi)URL泄露。缺乏傳輸層保護(hù)（InsufficientTransportLayerProtection）：沒(méi)有對(duì)傳輸層使用SSL/TLS等保護(hù)機(jī)制。過(guò)期或不正確的證書(shū)；后臺(tái)數(shù)據(jù)庫(kù)通信業(yè)存在類(lèi)似問(wèn)題。未驗(yàn)證的重定向（UnvalidatedRedirectsandForwards）：攻擊者一般會(huì)通過(guò)未驗(yàn)證重定向頁(yè)面誘使受害者點(diǎn)擊，從而獲取密碼或其他敏感數(shù)據(jù)。14例如：/application?filedownload=../../../../../etc/passwd%00OWASPTop102013A1InjectionA2BrokenAuthenticationandSessionManagementA3Cross-SiteScripting(XSS)A4InsecureDirectObjectReferencesA5SecurityMisconfigurationA6SensitiveDataExposureA7MissingFunctionLevelAccessControlA8Cross-SiteRequestForgery(CSRF)A9UsingComponentswithKnownVulnerabilitiesA10UnvalidatedRedirectsandForwards15Web應(yīng)用滲透技術(shù)基礎(chǔ)什么是滲透測(cè)試Web應(yīng)用滲透測(cè)試OWASPWeb漏洞TOP10近期Web應(yīng)用攻擊典型案例滲透測(cè)試工具簡(jiǎn)介16SONY黑客攻擊案2011年4月17-4月19日，sony旗下著名游戲機(jī)PS3網(wǎng)絡(luò)（PlaystationNetwork，PSN）遭到攻擊。7千萬(wàn)PSN和Qriocity音樂(lè)服務(wù)的用戶個(gè)人信息被盜走。消息發(fā)布后，SONY在線娛樂(lè)系統(tǒng)的服務(wù)器也被攻擊。2460萬(wàn)用戶信息，包括12700張非美國(guó)本土信用卡號(hào)、到賬日期、支付記錄。此次對(duì)PSN網(wǎng)絡(luò)機(jī)器相關(guān)服務(wù)的攻擊泄露了從過(guò)1億用戶數(shù)據(jù)，一千多萬(wàn)張信用卡信息，迫使索尼關(guān)閉PSN等網(wǎng)絡(luò)，聘請(qǐng)了數(shù)家計(jì)算機(jī)安全公司調(diào)查攻擊，重建安全系統(tǒng)，進(jìn)行游戲用戶賠償?shù)龋斐蓳p失達(dá)到幾億美圓，更不必說(shuō)股價(jià)下跌、信用喪失等隱性損失。17SONY黑客攻擊案LulzSec組織不但宣稱對(duì)某些攻擊負(fù)責(zé)，而且公布了攻擊過(guò)程、數(shù)據(jù)庫(kù)信息甚至網(wǎng)站源碼。聲稱利用SQL注入攻擊獲得了、sonybmg.nl和sonybmg.be的數(shù)據(jù)庫(kù)信息。含100萬(wàn)索尼美國(guó)、荷蘭和比利時(shí)客戶個(gè)人信息，包括明文存儲(chǔ)的密碼、電子郵件、家庭地址等。Anonymous組織和LulzSec組織在此次攻擊中使用了SQL注入、本地文件包含漏洞利用，以及利用僵尸網(wǎng)絡(luò)發(fā)動(dòng)DDoS攻擊。原因可能是由于PSN所用的RedHat系統(tǒng)中的Apache服務(wù)器沒(méi)有及時(shí)升級(jí)安全補(bǔ)丁，是黑客成功入侵到內(nèi)網(wǎng)。另外用戶口令以明文或簡(jiǎn)單的Hash存儲(chǔ)。18CSDN數(shù)據(jù)泄露門(mén)2011年年底，國(guó)內(nèi)各大網(wǎng)站爆出“口令泄露門(mén)”。最先公布的是著名技術(shù)網(wǎng)站CSDN600萬(wàn)賬戶和口令泄露事件，網(wǎng)站由于存在SQL注入漏洞被攻擊者利用并下載用戶數(shù)據(jù)庫(kù)。網(wǎng)站對(duì)用戶的口令竟然是明文存儲(chǔ)，由于用戶習(xí)慣使用同一用戶名和口令注冊(cè)各種網(wǎng)站，導(dǎo)致用戶口令一旦泄露，所有賬戶被“一網(wǎng)打盡”。此后不久，多玩網(wǎng)、世紀(jì)佳緣、人人等網(wǎng)站相機(jī)爆發(fā)類(lèi)似“拖庫(kù)”事件，后來(lái)直接導(dǎo)致京東、當(dāng)當(dāng)?shù)入娚贪l(fā)生了“撞庫(kù)”事件，攻擊者利用先前網(wǎng)站泄露的數(shù)據(jù)編寫(xiě)程序進(jìn)行大量匹配，查找有余額的賬戶進(jìn)行消費(fèi)，直接導(dǎo)致當(dāng)當(dāng)網(wǎng)迅速關(guān)閉買(mǎi)禮品卡充值賬戶功能。19Web應(yīng)用滲透技術(shù)基礎(chǔ)什么是滲透測(cè)試Web應(yīng)用滲透測(cè)試OWASPWeb漏洞TOP10近期Web應(yīng)用攻擊典型案例Web滲透測(cè)試工具簡(jiǎn)介20Web滲透測(cè)試工具簡(jiǎn)介OWASBWA(BrokenWebApplication)靶機(jī)Metasploit項(xiàng)目由著名的黑客HDMoore于2003年開(kāi)始開(kāi)發(fā)，最早作為一個(gè)滲透攻擊代碼的繼承軟件包而發(fā)布?，F(xiàn)在的Metasploit框架中集成了數(shù)千個(gè)針對(duì)主流操作系統(tǒng)平臺(tái)上，不同網(wǎng)絡(luò)服務(wù)與應(yīng)用軟件安全漏洞的滲透攻擊模塊，可以由用戶在滲透攻擊場(chǎng)合中根據(jù)漏洞掃描結(jié)果進(jìn)行選擇，并且能夠自由裝配該平臺(tái)上適用的具有指定功能的攻擊載荷，對(duì)目標(biāo)系統(tǒng)實(shí)施遠(yuǎn)程攻擊并獲取系統(tǒng)的訪問(wèn)控制權(quán)。Backtrack和KaliLinux：BackTrack

是一個(gè)基于Ubuntu

GNU/Linux的發(fā)行版本，主要用做數(shù)字取證和入侵測(cè)試。BackTrack給用戶集成了大量功能強(qiáng)大但簡(jiǎn)單易用的安全工具軟件。KaliLinux1.0于2013年3月發(fā)布，是Backtrack的下一代版本。21OutlineWeb應(yīng)用滲透技術(shù)基礎(chǔ)Web應(yīng)用漏洞掃描探測(cè)Web應(yīng)用程序滲透測(cè)試總結(jié)22Web應(yīng)用漏洞掃描探測(cè)OpenVAS（OpenVulnerabilityAssessmentSystem）：aopen-sourceframeworkofseveralservicesandtoolsofferingavulnerabilityscanningandvulnerabilitymanagementsolution.簡(jiǎn)介對(duì)滇西開(kāi)發(fā)網(wǎng)webserver的掃描結(jié)果W3af：anopen-sourcewebapplicationsecurityscanner.TheprojectprovidesavulnerabilityscannerandexploitationtoolforWebapplications.簡(jiǎn)介對(duì)滇西開(kāi)發(fā)網(wǎng)webserver的掃描結(jié)果23OutlineWeb應(yīng)用滲透技術(shù)基礎(chǔ)Web應(yīng)用漏洞掃描探測(cè)Web應(yīng)用程序滲透測(cè)試總結(jié)24Web應(yīng)用程序滲透測(cè)試SQL注入實(shí)例分析XSS跨站腳本攻擊實(shí)例分析跨站點(diǎn)請(qǐng)求偽造命令注入實(shí)例分析25SQL注入攻擊“SQL注入”指的是向某個(gè)Web應(yīng)用程序輸入一個(gè)精心構(gòu)造的SQL查詢命令以執(zhí)行某種非正常操作。SQL查詢命令的語(yǔ)義很容易改變，只要在關(guān)鍵位置增加或者減少一個(gè)字符，就足以讓原本無(wú)害的查詢命令產(chǎn)生相當(dāng)有害的行為。在“SQL注入”攻擊活動(dòng)中，用來(lái)構(gòu)造惡意輸入內(nèi)容的常見(jiàn)字符包括反引號(hào)（`）、雙連字符（--）和分號(hào)（;）等，它們?cè)赟QL語(yǔ)言里都有著特殊含義。對(duì)于入門(mén)級(jí)黑客，這種攻擊往往能讓他們?cè)谖唇?jīng)授權(quán)的情況下訪問(wèn)到某些敏感的數(shù)據(jù)；而精通此道的高級(jí)黑客甚至能在繞過(guò)身份驗(yàn)證機(jī)制之后完全掌握Web服務(wù)器或后端SQL系統(tǒng)的控制權(quán)。26“SQL注入”攻擊示例27SQL注入攻擊演示訪問(wèn)網(wǎng)站/，通過(guò)SQL注入攻擊繞過(guò)身份認(rèn)證機(jī)制。Username字段注入：admin’OR‘1，Password字段注入：test’OR‘1后臺(tái)驗(yàn)證SQL變?yōu)椋篠ELECT*FROM[users]WHEREusername=‘a(chǎn)dmin’OR‘1’ANDpassword=‘test’OR‘1’使用OWASPBWA靶機(jī)的DVWA應(yīng)用程序演示如何獲取后臺(tái)數(shù)據(jù)庫(kù)更多的信息。輸入文件“XSS&SQLi.txt”中的腳本。28假設(shè)后臺(tái)的查詢語(yǔ)句是這樣設(shè)置的：Select列from表whereID=?因此如果輸入‘or’1=1，數(shù)據(jù)表的每一列都將顯示出來(lái)。查詢INFORMATION_SCHEMA系統(tǒng)表：'UNIONSELECT1,table_namefromINFORMATION_SCHEMA.tables--'，發(fā)現(xiàn)users表。列出user表的內(nèi)容：'UNIONSELECT1,column_namefromINFORMATION_SCHEMA.columnswheretable_name='users'--'，發(fā)現(xiàn)password列。取得口令的MD5值：'UNIONSELECTNULL,passwordfromusers--'29SQL注入攻擊演示使用concat()函數(shù)將所有的信息都列出來(lái)：'UNIONSELECTpassword,concat(first_name,'',last_name,'',user)fromusers--‘使用sqlmap獲取口令明文。MD5Hash值也可以在線查詢：例如上面我們通過(guò)SQL注入攻擊拿到了admin賬戶口令的MD5Hash值為“21232f297a57a5a743894a0e4a801fc3”，我們通過(guò)上網(wǎng)查詢，可以得到對(duì)應(yīng)的口名明文。30SQL注入攻擊演示防范對(duì)策使用綁定變量（參數(shù)化查詢）：只是用綁定變量來(lái)傳遞不同的參數(shù)到語(yǔ)句中。對(duì)來(lái)自客戶端的所有輸入都要執(zhí)行嚴(yán)格的輸入驗(yàn)證：編程箴言“限制、拒絕和凈化”實(shí)施默認(rèn)的錯(cuò)誤處理：為所有錯(cuò)誤使用一個(gè)通用的錯(cuò)誤消息。鎖定ODBC：禁止給客戶端發(fā)送消息。鎖定數(shù)據(jù)庫(kù)服務(wù)器配置：指定用戶、角色和權(quán)限。使用綱領(lǐng)性框架：諸如Hibernate或LINQ之類(lèi)的工具鼓勵(lì)你去使用綁定變量31Web應(yīng)用程序滲透測(cè)試SQL注入實(shí)例分析XSS跨站腳本攻擊實(shí)例分析跨站點(diǎn)請(qǐng)求偽造命令注入實(shí)例分析32跨站腳本（XSS）攻擊XSS攻擊通常也發(fā)生在Web應(yīng)用程序?qū)斎胼敵鰴z查不充分的時(shí)候。但與其他攻擊手段不同的是，XSS攻擊的目標(biāo)通常不是Web應(yīng)用程序本身，而是使用這個(gè)帶漏洞的Web應(yīng)用程序的另一名用戶。惡意用戶A把一條包含著惡意代碼的消息發(fā)布到了Web應(yīng)用程序guestbook里，當(dāng)用戶B去查看這條消息時(shí)，用戶B的瀏覽器將試圖解釋并執(zhí)行那段惡意代碼，使得A具有了能夠完全控制B系統(tǒng)的可能。XSS攻擊可導(dǎo)致帳戶/會(huì)話被盜用、cookie被盜、企業(yè)的品牌形象被誤導(dǎo)或詆毀等。利用XSS漏洞最常見(jiàn)的攻擊是竊取一般情況下無(wú)法為外人所得的用戶的會(huì)話cookie。但是最近的攻擊已經(jīng)變得更加惡意，比如通過(guò)社交網(wǎng)路傳播蠕蟲(chóng)，更嚴(yán)重的是，會(huì)利用惡意軟件感染受害者電腦。33常見(jiàn)的XSS惡意輸入34XSS攻擊分類(lèi)反射式XSS攻擊存儲(chǔ)式XSS攻擊35反射式XSS攻擊Alice經(jīng)常瀏覽某個(gè)網(wǎng)站，此網(wǎng)站為Bob所擁有。在Bob的網(wǎng)站上，Alice使用用戶名/密碼進(jìn)行登錄，并存儲(chǔ)敏感信息(比如銀行帳戶信息)。Charlie發(fā)現(xiàn)Bob的站點(diǎn)包含反射性的XSS漏洞。Charlie編寫(xiě)一個(gè)利用漏洞的URL，并將其冒充為來(lái)自Bob的郵件發(fā)送給Alice。Alice在登錄到Bob的站點(diǎn)之后，瀏覽Charlie提供的URL。嵌入到URL中的惡意腳本在Alice的瀏覽器中執(zhí)行，就像它直接來(lái)自Bob的服務(wù)器一樣。此腳本盜竊敏感信息(授權(quán)、信用卡、帳號(hào)信息等)，然后在Alice完全不知情的情況下將這些信息發(fā)送給Charlie。36訪問(wèn)OWASPBWA靶機(jī)來(lái)演示OWASPBrokenWebApplicationsProjectOWASPBWA靶機(jī)虛擬鏡像*/dvwa（DamnVulnerableWebApplication）XSSreflected輸入（1）<script>alert('Havefuns')</script>（2）<script>alert(document.cookie)</script>37存儲(chǔ)式XSS攻擊該類(lèi)型是應(yīng)用最為廣泛而且有可能影響到Web服務(wù)器自身安全的漏洞，駭客將攻擊腳本上傳到Web服務(wù)器上，使得所有訪問(wèn)該頁(yè)面的用戶都面臨信息泄漏的可能，其中也包括了Web服務(wù)器的管理員。Bob擁有一個(gè)Web站點(diǎn)，該站點(diǎn)允許用戶發(fā)布信息/瀏覽已發(fā)布的信息。Charlie注意到Bob的站點(diǎn)具有存儲(chǔ)式XSS漏洞。Charlie發(fā)布一個(gè)熱點(diǎn)信息，吸引其它用戶紛紛閱讀。Bob或者是任何的其他人如Alice瀏覽該信息，其會(huì)話cookies或者其它信息將被Charlie盜走。38使用OWASPBWA的Multillidae應(yīng)用程序演示訪問(wèn)Mutillidae的CrossSiteScripting(XSS)輸入：<SCRIPT/XSSSRC="/xss.js"></SCRIPT>xss.js的內(nèi)容如下：document.write("Thisisremotetextviaxss.jslocatedat"+document.cookie);alert("Thisisremotetextviaxss.jslocatedat"+document.cookie);39訪問(wèn)OWASPBWA靶機(jī)來(lái)演示防范對(duì)策過(guò)濾輸入?yún)?shù)中的特殊字符：禁止讓W(xué)eb應(yīng)用程序的接受輸入數(shù)據(jù)里包含以下字符：<>()#&。對(duì)輸出進(jìn)行HTML編碼如果你的應(yīng)用程序設(shè)置了cookie，使用微軟的HTTPOnlycookie。定期分析你的Web應(yīng)用程序40Web應(yīng)用程序滲透測(cè)試SQL注入實(shí)例分析XSS跨站腳本攻擊實(shí)例分析跨站點(diǎn)請(qǐng)求偽造命令注入實(shí)例分析41跨站點(diǎn)請(qǐng)求偽造CSRF（Cross-SiteRequestForgery）：網(wǎng)頁(yè)應(yīng)用程序?yàn)橛脩籼峁┏志玫恼J(rèn)證會(huì)話（例如：Cookie），因此，它們不需要每請(qǐng)求一個(gè)頁(yè)面便進(jìn)行一次驗(yàn)證。但是如果攻擊者能誘使用戶向網(wǎng)站提交一個(gè)請(qǐng)求，他便可以利用持久的會(huì)話來(lái)假冒受害者執(zhí)行各種操作。不良后果：用戶賬戶口令會(huì)被更改、