WEB漏洞檢測與防范

常見WEB漏洞檢測與防范

從攻擊者角度看代碼安全內(nèi)容介紹:近期安全事件；目前流行攻擊手段分析TOP10；WebServer解析特性；建議及演示；安全事件回顧：支付寶繞過授權(quán)登陸任意賬號土豆DNS劫持；大眾點評網(wǎng)DNS劫持韓國多家電視臺銀行網(wǎng)絡(luò)癱瘓；域名注冊商GoDaddy遭黑客攻擊；雅虎服務(wù)器被黑45.3萬份用戶信息遭泄露；Web托管服務(wù)商Linode再次遭黑客入侵，信用卡和密碼泄露；中國互聯(lián)網(wǎng)上最大規(guī)模泄密事件CSDN、天涯、人人、開心等上億用戶信息泄露；黑客攻擊流程：信息收集（whois、googlehacking、DNS、社工庫）漏洞掃描：Appscan、AcunetixWebvulnerabilityScanner、 WebInspect漏洞利用：MSF、Sqlmap、Burpsuite權(quán)限提升：Root、SA、Exp、ARP、第三方軟件密碼破解：pwdump7、彩虹表、MD5、Cain清除日志：Weblog、securitylog、databaselogOWASPTOP10SQL注入腳本跨站（XSS）失效的身份認證和會話管理不安全的直接對象引用安全配置錯誤敏感數(shù)據(jù)暴露功能級別訪問控制缺失跨站請求偽造(CSRF)使用已知易受攻擊組件未驗證的重定向和傳遞（一）SQL注入攻擊：程序把用戶輸入的一段字符串直接用在了拼湊sql語句上，導致了用戶可以控制sql語句，比如添加刪除、繞過用戶密碼驗證等。:8080/jin/new.php?id=1$q="SELECT*FROMinfoWHEREid=$_GET[id]";new.php?id=1OR1=1

$_GET['id']='1OR1=1';

$q="SELECT*FROMinfoWHEREid=1OR1=1";http://:8080/jin/new.php?id=1and1=2unionselect12,3,4,5,6,user()$id=intval($id);獲取變量的整數(shù)值(二)XSS腳本跨站：XSS全稱(CrossSiteScripting)跨站腳本攻擊，是Web程序中最常見的漏洞。指攻擊者在網(wǎng)頁中嵌入客戶端腳本(例如JavaScript),當用戶瀏覽此網(wǎng)頁時，腳本就會在用戶的瀏覽器上執(zhí)行，從而達到攻擊者的目的.

比如獲取用戶的Cookie，導航到惡意網(wǎng)站,攜帶木馬等。反射型XSSReflectedXSS存儲型XSSStored

XSS惡意代碼存放位置地址欄數(shù)據(jù)庫惡意代碼效果用戶點擊惡意鏈接打開時執(zhí)行惡意代碼，隱蔽性差用戶瀏覽帶有惡意代碼的"正常頁面"時觸發(fā)，隱蔽性強ABCD12Non-persistentPersistentXSS的種類劃分:反射型XSS:<?php$error_message=$_GET['error'];print$error_message;?>:8080/xss/xss.php?id=“><script>alert(123)</script>:8080/xss/xss.php?id=“>javascript:alert(document.cookie)找到一個XSS點之后alert(/xss/);alert(document.cookie);輸入點長度限制突破長度限制漏洞的利用XSS蠕蟲盜取信息惡意請求惡意代碼的隱蔽性存儲型XSS（XSS盲打）:（三）CSRF(跨站請求偽造)

跨站請求偽造(cross-siterequestforgery)通常縮寫為CSRF，直譯為跨站請求偽造，即攻擊者通過調(diào)用第三方網(wǎng)站的惡意腳本或者利用程序來偽造請求，當然并不需要向用戶端偽裝任何具有欺騙的內(nèi)容，在用戶不知情時攻擊者直接利用用戶的瀏覽器向攻擊的應(yīng)用程序提交一個已經(jīng)預測好請求參數(shù)的操作數(shù)據(jù)包，利用的實質(zhì)是劫持用戶的會話狀態(tài)，強行提交攻擊者構(gòu)造的具有“操作行為”的數(shù)據(jù)包。（四）文件上傳漏洞：

許多攻擊的第一步是先上傳一些惡意代碼文件，然后攻擊者只需要找到一種方式來獲得代碼的執(zhí)行權(quán)限來達到攻擊的目的。使用文件上傳功能有助于攻擊者完成的第一個步驟。無限制的文件上傳的后果各不相同，可以包括完整的系統(tǒng)接管、文件讀寫、攻擊操作系統(tǒng)上的其他中間件。這取決于應(yīng)用程序是如何進行安全配置，包括上傳文件的存儲位置。文件上傳漏洞(演示)：<?phpif(isset($_POST['Upload'])){

$target_path=DVWA_WEB_PAGE_TO_ROOT."hackable/uploads/";$target_path=$target_path.basename($_FILES['uploaded']['name']);

if(!move_uploaded_file($_FILES['uploaded']['tmp_name'],$target_path)){

echo'<pre>';echo'上傳失敗.';echo'</pre>';

}else{

echo'<pre>';echo$target_path.'上傳成功!';echo'</pre>';

}}?>（六）暴力破解：暴力破解是一種針對于密碼的破譯方法，即將密碼進行逐個推算直到找出真正的密碼為止。例如一個已知是四位并且全部由數(shù)字組成的密碼，其可能共有10000種組合，因此最多嘗試9999次就能找到正確的密碼。

理論上利用這種方法可以破解任何一種密碼，問題只在于如何縮短試誤時間。因此有些人運用計算機來增加效率，有些人輔以字典來縮小密碼組合的范圍。演示：使用BurpSuite進行暴力破解<?phpif(isset($_GET['Login'])){

$user=$_GET['username'];$pass=$_GET['password'];$pass=md5($pass);$qry="SELECT*FROM`users`WHEREuser='$user'ANDpassword='$pass';";$result=mysql_query($qry)ordie('<pre>'.mysql_error().'</pre>');if($result&&mysql_num_rows($result)==1){//Getusersdetails$i=0;//Bugfix.$avatar=mysql_result($result,$i,"avatar");//LoginSuccessfulecho"<p>登陸成功，您可以進行其它操作。".$user."</p>";echo'<imgsrc="'.$avatar.'"/>';}else{//Loginfailedecho"<pre><br>用戶名或者密碼錯誤。</pre>";}mysql_close();}?>（七）代碼執(zhí)行漏洞

命令執(zhí)行(命令注入)攻擊的目的，是在易受攻擊的應(yīng)用程序中執(zhí)行攻擊者指定的命令，在這樣的情況下應(yīng)用程序執(zhí)行了不必要的命令就相當于是攻擊者得到了一個系統(tǒng)的Shell，攻擊者可以利用它繞過系統(tǒng)授權(quán)，基于權(quán)限繼承原則，Shell將具有和應(yīng)用程序一樣的權(quán)限。

針對linux系統(tǒng)，我們可以使用;來實行命令執(zhí)行,針對windows系統(tǒng)，我們可以使用&&來實行命令執(zhí)行。例如:&&dir<?phpif(isset($_POST['submit'])){$target=$_REQUEST['ip'];

//DetermineOSandexecutethepingcommand.if(stristr(php_uname('s'),'WindowsNT')){

$cmd=shell_exec('ping'.$target);echo'<pre>'.$cmd.'</pre>';

}else{$cmd=shell_exec('ping-c3'.$target);echo'<pre>'.$cmd.'</pre>';}}?>代碼執(zhí)行：（八）文件包含漏洞一些web應(yīng)用程序允許用戶指定輸入，直接使用文件流，或允許用戶上傳文件到服務(wù)器。然后用戶可以通過web應(yīng)用程序訪問這些的內(nèi)容,這樣做會導致Web應(yīng)用程序存在惡意文件包含的漏洞。比如本地文件包含:/dvwa/fi/?page=../../../../../../etc/passwd遠程文件包含:/dvwa/fi/?page=/evil.php文件包含漏洞:<?phpInclude($_GET['page']);?>:8080/file/file.php?page=../index.txt“人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術(shù)、防火墻、入侵檢測系統(tǒng)、生物鑒別設(shè)備，可只要有人給毫無戒心的員工打個電話……”

KevinMitnick

定律：一切輸入都是有害的；$_GET,$_POST,$_COOKIE安全運維中該注意哪些？（五）webserver解析特性(演示)：IIS6:asp;.jpg.asa.cerNginx:123.jpg/1.php23.jpg%00.phpApache:123.php.111IIS文件解析漏洞：IIS文件解析IIS<7-后綴名.cer.asa.asp以*.asp為目錄名，目錄下文件以asp解析http:///files/a.asp/user.jpgIIS解析時被分號截斷http://webconf.orange.tw/files/user.asp;aa.jpghttp://webconf.orange.tw/files/user.asp;jpghttp://webconf.orange.tw/files/user.asp;.jpguser.asp;aa.jpgApache文件解析漏洞：只要是.php.*結(jié)尾，就會被Apache服務(wù)器解析成php文件http:///files/user.php.zip如果在mime.types文件里面沒有定義的擴展名在諸如x1.x2.x3的情況下，最后一個x3的沒有定義，apache會給解析成倒數(shù)第二個的x2的定義的擴展名。Nginx文件解析漏洞：其實此漏洞并不是Nginx的漏洞，而是PHPPATH_INFO的漏洞。詳情：/nginx-securit.html只要上傳一張帶有腳本木馬的圖片/files/user.jpg/1.php基線設(shè)置：IIS/Apache/Tomcat/Jboss/Weblogic/WebSphere/manager/html/jmx-console//console/:9080/