第5章-Web應(yīng)用攻擊

第五章Web應(yīng)用攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)2本章主要內(nèi)容5.1概述5.2XSS攻擊5.3SQL注入攻擊5.4HTTP會話攻擊及防御5.1概述Web技術(shù)由TimBerners-Le提出，并于1990年實現(xiàn)了第一版本的Web服務(wù)器、瀏覽器和HTTP協(xié)議（HypertextTransferProtocol。2023/2/5網(wǎng)絡(luò)攻防技術(shù)3WorldWideWeb2023/2/5網(wǎng)絡(luò)攻防技術(shù)45.1概述Web服務(wù)器（Web網(wǎng)頁、數(shù)據(jù)庫）Web客戶端HTTP協(xié)議2023/2/5網(wǎng)絡(luò)攻防技術(shù)55.1概述Web網(wǎng)頁Web網(wǎng)頁位于Web服務(wù)器上，用于展示信息，一般采用HTML語言（HypertextMarkupLanguage）編寫。<html><head><title>測試標(biāo)題</title><metacharset="utf-8"></head><body><h1>Web網(wǎng)頁示例</h1></body></html>2023/2/5網(wǎng)絡(luò)攻防技術(shù)65.1概述Web網(wǎng)頁Form表單<html><head><title>表單</title><metacharset="utf-8"></head><body><h1>表單-登錄模擬界面</h1><formaction="t2.php"method="GET"><p>您的名字：<inputtype="text"name="name"value="您的名字"/></p><p>您的密碼：<inputtype="password"name="pass"value="您的密碼"/></p><p>您的身份：<selectname="role"><optionvalue="老師">老師</option><optionvalue="學(xué)生">學(xué)生</option><optionvalue="輔導(dǎo)員">輔導(dǎo)員</option></select></p><inputtype="reset"value="清除輸入"/><inputtype="submit"value="登錄系統(tǒng)"/></form></body></html>2023/2/5網(wǎng)絡(luò)攻防技術(shù)75.1概述Web網(wǎng)頁統(tǒng)一資源定位符UniformResourceLocator，統(tǒng)一資源定位符,指定Web網(wǎng)頁的在互聯(lián)網(wǎng)的位置.http://<user>:<password>@<host>:<port>/<path>?<query>#<frag>http字段指明采用HTTP協(xié)議訪問Web網(wǎng)頁；<user>:<password>字段指定訪問Web服務(wù)器所需要的用戶名和口令；<host>字段指明Web服務(wù)器的域名或IP地址；<port>字段指明Web服務(wù)器的訪問端口;<path>指定Web網(wǎng)頁在Web服務(wù)器上的訪問路徑；<query>指定查詢所附帶字段；<frag>指定Web網(wǎng)頁中特定的片段。2023/2/5網(wǎng)絡(luò)攻防技術(shù)85.1概述Web網(wǎng)頁靜態(tài)網(wǎng)頁靜態(tài)網(wǎng)頁是指內(nèi)容固定，不會根據(jù)Web客戶端請求的不同而改變的Web網(wǎng)頁動態(tài)網(wǎng)頁動態(tài)網(wǎng)頁是相對于靜態(tài)網(wǎng)頁而言的，是指內(nèi)容會根據(jù)時間、環(huán)境或用戶輸入的不同而改變的Web網(wǎng)頁2023/2/5網(wǎng)絡(luò)攻防技術(shù)95.1概述Web服務(wù)器主流Web服務(wù)器Apache軟件基金會開發(fā)的開源Web服務(wù)器微軟公司開發(fā)的Web服務(wù)組件Apache、Sun等共同開發(fā)的開源Web服務(wù)器Nginx是由俄羅斯伊戈爾賽﹒索耶夫開發(fā)的5.1概述2023/2/5網(wǎng)絡(luò)攻防技術(shù)10Web前端（瀏覽器）主流瀏覽器Chrome瀏覽器是Google公司開發(fā)的免費瀏覽器Firefox瀏覽器是一款免費開源的瀏覽器IE瀏覽器（Edge瀏覽器）微軟公司開發(fā)5.1概述2023/2/5網(wǎng)絡(luò)攻防技術(shù)11HTTP協(xié)議1991年，HTTP0.9版本發(fā)布，只支持GET方法1996年，HTTP1.0版本發(fā)布，支持GET、POST和HEAD方法1997年，HTTP1.1版本發(fā)布，該版本是當(dāng)前最流行的HTTP協(xié)議版本2023/2/5網(wǎng)絡(luò)攻防技術(shù)125.1概述HTTP協(xié)議請求報文格式Request=MethodSPRequest-URISPHTTP-VersionCRLF*((general-header|request-header|entity-header)CRLF)CRLF[message-body]2023/2/5網(wǎng)絡(luò)攻防技術(shù)135.1概述HTTP協(xié)議請求報文示例GET/books/t1.htmlHTTP/1.1Host:User-Agent:Mozilla/5.0(WindowsNT6.1;WOW64;rv:29.0)Gecko/20100101Firefox/29.0Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language:zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3Connection:closeIf-Modified-Since:Fri,19Jan201801:31:24GMTIf-None-Match:"11a00000002041e-92-5631709d9a85d"2023/2/5網(wǎng)絡(luò)攻防技術(shù)145.1概述HTTP協(xié)議響應(yīng)報文格式Response=HTTP-VersionSPStatus-CodeSPReason-PhraseCRLF*((general-header|response-header|entity-header)CRLF)CRLF[message-body]2023/2/5網(wǎng)絡(luò)攻防技術(shù)155.1概述HTTP協(xié)議響應(yīng)報文示例HTTP/1.1200OKDate:Wed,31Jan201801:29:13GMTServer:Apache/2.2.25(Win32)PHP/5.4.34Last-Modified:Wed,31Jan201801:29:09GMTETag:"11a00000002041e-92-5640867e66c3d"Accept-Ranges:bytesContent-Length:146Connection:closeContent-Type:text/html

<html><head><title>測試標(biāo)題</title><metacharset="utf-8"></head><body><h1>Web網(wǎng)頁示例</h1></body></html>2023/2/5網(wǎng)絡(luò)攻防技術(shù)165.1概述Web應(yīng)用攻擊類型Web客戶端攻擊跨站腳本攻擊（Cross-SiteScripting，簡稱XSS攻擊）、網(wǎng)絡(luò)釣魚和網(wǎng)頁掛馬Web服務(wù)器攻擊網(wǎng)頁篡改、代碼注入攻擊、文件操作控制攻擊等Web服務(wù)器攻擊HTTP頭注入攻擊、HTTP會話攻擊等5.2XSS攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)17跨站腳本攻擊（Cross-SiteScripting，簡稱XSS攻擊）出現(xiàn)在上世紀(jì)90年代中，由于跨站腳本攻擊的縮寫和層疊樣式表（CascadingStyleSheets，CSS）的縮寫一樣，為了防止混淆，故縮寫成XSS攻擊。XSS攻擊是由于Web應(yīng)用程序?qū)τ脩糨斎脒^濾不足而產(chǎn)生的，使得攻擊者輸入的特定數(shù)據(jù)變成了JavaScript腳本或HTML代碼5.2XSS攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)18XSS漏洞示例程序<html><head><title>XSS示例程序</title></head><body><h2>XSS示例程序</h2><formaction="t3.php"method="post">

請輸入您的名字:<inputtype="text"name="name"size="25"><inputtype="submit"value="遞交"></form></body></html><?phpif(!empty($_POST['name'])){$name=$_POST['name'];setcookie("T2Cookie","1234567890",time()+3600*24);print("歡迎您，".$name);}?>2023/2/5網(wǎng)絡(luò)攻防技術(shù)195.2XSS攻擊XSS漏洞示例程序<br>請先登錄銀行系統(tǒng)，E-bank<form>username:<inputtype="text"/><br>password:<inputtype="password"/><br><inputtype="submit"value="login"/></form>注入HTML代碼5.2XSS攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)20XSS漏洞示例程序注入HTML代碼5.2XSS攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)21XSS攻擊分類反射型反射型XSS攻擊（ReflectedCross-siteScripting）也稱為非持久型XSS攻擊，是指攻擊者輸入的攻擊腳本直接返回到被攻擊者的瀏覽器5.2XSS攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)22XSS攻擊分類存儲型存儲型XSS攻擊（StoredCross-siteScripting）也稱為持久型XSS攻擊，是指攻擊者輸入的攻擊腳本存儲于Web服務(wù)器，當(dāng)被攻擊者瀏覽包含攻擊腳本的Web網(wǎng)頁時，攻擊腳本將會被執(zhí)行，從而引發(fā)攻擊。5.2XSS攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)23XSS攻擊分類DOM型DOM型XSS攻擊是指攻擊者利用Web網(wǎng)頁中JavaScript代碼的邏輯漏洞，從而執(zhí)行攻擊腳本的XSS攻擊,如Web網(wǎng)頁中的JavaScript代碼直接使用URL中參數(shù)，并且沒有過濾或消毒，則可能存在DOM型XSS攻擊。5.2XSS攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)24XSS利用方式Cookie竊取<script>alert(document.cookie);</script>5.2XSS攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)25XSS利用方式會話劫持會話ID由Web客戶端提供給服務(wù)器以表示同一個會話，一般采用Cookie方式或URL方式傳遞。會話數(shù)據(jù)則一般保存在Web服務(wù)器，用于Web應(yīng)用程序之間信息傳遞。會話劫持是指攻擊者通過利用XSS攻擊，冒用合法者的會話ID進行網(wǎng)絡(luò)訪問的一種攻擊方式。5.2XSS攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)26XSS利用方式網(wǎng)絡(luò)釣魚通過利用XSS攻擊，攻擊者可以執(zhí)行JavaScript代碼動態(tài)生成網(wǎng)頁內(nèi)容或直接注入HTML代碼，從而產(chǎn)生網(wǎng)絡(luò)釣魚攻擊。和傳統(tǒng)的網(wǎng)絡(luò)釣魚攻擊相比而言，通過XSS攻擊實施網(wǎng)絡(luò)釣魚具有更強的隱蔽性。2023/2/5網(wǎng)絡(luò)攻防技術(shù)275.2XSS攻擊XSS利用方式信息刺探利用XSS攻擊，可以在客戶端執(zhí)行一段JavaScript代碼，因此，攻擊者可以通過這段代碼實現(xiàn)多種信息的刺探，如訪問歷史信息、端口信息、剪貼板內(nèi)容、客戶端IP地址、鍵盤信息等。5.2XSS攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)28XSS利用方式網(wǎng)頁掛馬將Web網(wǎng)頁技術(shù)和木馬技術(shù)結(jié)合起來就是網(wǎng)頁掛馬。攻擊者將惡意腳本隱藏在Web網(wǎng)頁中，當(dāng)用戶瀏覽該網(wǎng)頁時，這些隱藏的惡意腳本將在用戶不知情的情況下執(zhí)行，下載并啟動木馬程序。5.2XSS攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)29XSS利用方式XSS蠕蟲XSS蠕蟲是指利用XSS攻擊進行傳播的一類惡意代碼，一般利用存儲型XSS攻擊。XSS蠕蟲的基本原理就是將一段JavaScript代碼保存在服務(wù)器上，其他用戶瀏覽相關(guān)信息時，會執(zhí)行JavaScript代碼，從而引發(fā)攻擊。5.2XSS攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)30XSS防范措施HttpOnly屬性5.2XSS攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)31XSS防范措施安全編碼PHP語言中針對XSS攻擊的安全編碼函數(shù)有htmlentities和htmlspecialchars等，這些函數(shù)對特殊字符的安全編碼方式如下：小于號（<）轉(zhuǎn)換成<、大于號（>）轉(zhuǎn)換成>、與符號（&）轉(zhuǎn)換成&、雙引號（"）轉(zhuǎn)換成"、單引號（'）轉(zhuǎn)換成'。2023/2/5網(wǎng)絡(luò)攻防技術(shù)325.3SQL注入攻擊Web應(yīng)用進行數(shù)據(jù)庫操作時，往往需要用戶遞交的信息作為數(shù)據(jù)操作的條件，如根據(jù)用戶輸入的用戶名/密碼查詢用戶數(shù)據(jù)庫等。也就是說，需要在數(shù)據(jù)庫操作中嵌入用戶輸入的數(shù)據(jù)，如果對這些數(shù)據(jù)驗證或過濾不嚴(yán)格，則可能會改變本來的SQL語句操作的語義，從而引發(fā)SQL注入攻擊。5.3SQL注入攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)33SQL語句比較常用的SQL語句有SELECT、INSERT、UPDATE和DETELE等SELECT字段名FROM表名WHERE條件orderbyilimitm，n5.3SQL注入攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)34PHP程序執(zhí)行SQL語句<?php$id=$_GET['id'];$pass=$_GET['pass'];$db=mysql_connect('','root','123456');mysql_select_db('sqltest',$db);

$query="select*fromuserswhereid=$idandpass='".$pass."'";$result=mysql_query($query,$db);$value=mysql_fetch_array($result);if(empty($value))print("user/passworderror!<br>");elseprintf("ID:%s,Name:%s<br>",$value[0],$value[1]);?>5.3SQL注入攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)35SQL注入漏洞select*fromuserswhereid=$idandpass='".$pass."'";一般情況：ID/密碼為3001/rui001select*fromuserswhereid=3001andpass=’rui001’特殊輸入：ID號為“3001--”，密碼為任意字符select*fromuserswhereid=3001--andpass=’*******’5.3SQL注入攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)36SQL注入利用方式分析繞過身份鑒別機制很多Web應(yīng)用程序?qū)⒂脩糇孕畔ⅲㄈ缬脩裘⒚艽a等）保存在數(shù)據(jù)庫中，當(dāng)用戶登錄時，根據(jù)用戶遞交的用戶名/密碼等信息查詢數(shù)據(jù)庫以核對合法用戶身份。如果存在SQL注入漏洞，則攻擊者可以輕松繞過身份鑒別機制登錄系統(tǒng)5.3SQL注入攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)37SQL注入利用方式分析識別數(shù)據(jù)庫系統(tǒng)利用SQL語句執(zhí)行錯誤信息得到數(shù)據(jù)庫系統(tǒng)信息執(zhí)行特定的函數(shù)或操作以識別特定數(shù)據(jù)庫系統(tǒng)5.3SQL注入攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)38SQL注入利用方式分析提取數(shù)據(jù)庫中的數(shù)據(jù)123unionselectid,pass,namefromusers--&pass=aaa5.3SQL注入攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)39SQL注入利用方式分析執(zhí)行命令在SQL注入攻擊發(fā)生時，攻擊者可以調(diào)用數(shù)據(jù)庫中的函數(shù)來執(zhí)行系統(tǒng)命令，如SQLServer數(shù)據(jù)庫的xp_cmdshell等，不過要注意的是，有些數(shù)據(jù)庫系統(tǒng)可能并不支持執(zhí)行系統(tǒng)命令。5.3SQL注入攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)40SQL注入利用方式分析權(quán)限提升數(shù)據(jù)庫系統(tǒng)一般為用戶指定權(quán)限以控制其對信息的訪問。但是，攻擊者可能通過利用SQL注入攻擊以提升權(quán)限，甚至獲得管理員權(quán)限。5.3SQL注入攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)41SQL注入利用方式分析寫入木馬程序攻擊者利用SQL注入攻擊可以進行寫數(shù)據(jù)操作，從而可以將木馬程序（如一句話木馬）寫入到服務(wù)器的文件中，從而實現(xiàn)遠(yuǎn)程控制。5.3SQL注入攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)42SQL注入攻擊類型字符型SQL注入字符型SQL注入是指SQL注入點的類型為字符串$query="select*fromtablewherename='".$name."'";數(shù)字型SQL注入數(shù)字型SQL注入是指SQL注入點的類型為數(shù)字（如整型）$query="select*fromtablewhereid=$id";5.3SQL注入攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)43SQL注入攻擊類型基于錯誤信息SQL注入5.3SQL注入攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)44SQL注入攻擊類型SQL盲注入為了防止基于錯誤信息的SQL注入，很多Web應(yīng)用會將錯誤信息關(guān)閉，也就是通過網(wǎng)頁看不到Web應(yīng)用執(zhí)行過程中的錯誤信息了。SQL盲注入就是在沒有信息提示的情況實現(xiàn)SQL注入的方法。典型的SQL盲注入一般使用布爾值、時間函數(shù)等。5.3SQL注入攻擊2023/2/5網(wǎng)絡(luò)攻防技術(shù)45防范措施特殊字符轉(zhuǎn)義輸入驗證和過濾參數(shù)化方法5.4HTTP會話攻擊及防御2023/2/5網(wǎng)絡(luò)攻防技術(shù)46HTTP協(xié)議設(shè)計之初沒有考慮到會話問題，而現(xiàn)在的Web應(yīng)用幾乎都包含會話。HTTP協(xié)議的會話機制是后來增加的，會話管理機制存在天生不足，并一直伴隨著HTTP會話管理技術(shù)的發(fā)展而不斷變化更新，其中比較經(jīng)典的HTTP會話攻擊技術(shù)有預(yù)測會話ID、竊取會話ID、控制會話ID、跨站請求偽造攻擊（Cross-SiteRequestForgery，CSRF）等5.4HTTP會話攻擊及防御2023/2/5網(wǎng)絡(luò)攻防技術(shù)47HTTP會話原理5.4HTTP會話攻擊及防御2023/2/5網(wǎng)絡(luò)攻防技術(shù)48HTTP會話示例5.4HTTP會話攻擊及防御2023/2/5網(wǎng)絡(luò)攻防技術(shù)49HTTP會話示例5.4HTTP會話攻擊及防御2023/2/5網(wǎng)絡(luò)攻防技術(shù)50HTTP會話攻擊預(yù)測會話ID竊取會話ID控制會話ID5.4HTTP會話攻擊及防御2023/2/5網(wǎng)絡(luò)攻防技術(shù)51CSRF攻擊5.4HTTP會話攻擊及防御2023/2/5網(wǎng)絡(luò)攻防技術(shù)52CSRF攻擊案例分析第一步：用戶Alice登錄系統(tǒng)第二步：在用戶Alice處于登錄狀態(tài)下，引誘其訪問惡意網(wǎng)頁第三步：用戶Alice點擊惡意按鈕5.4HTTP會話攻擊及防御2023/2/5網(wǎng)絡(luò)攻防技術(shù)53CSRF攻擊案例分析-惡意網(wǎng)頁代碼<html><head><title>Averyfunnygame</title><scriptlanguage="JavaScript">functionpostinfo(){varxhr=newXMLHttpRequest();xhr.open("post","/ebank/operate.php",false);varparams="id=1002&num=100&submit=Submit";xhr.setRequestHeader("Content-Type","application/x-www-form-urlencoded");xhr.setRequestHeader("Content-length",params.length);xhr.setRequestHeader("Connection","close");xhr.send(params);}</script></head><