第6章web應(yīng)用程序攻擊

第6章web應(yīng)用程序攻擊第一頁，共50頁。本章要求了解Web應(yīng)用程序的結(jié)構(gòu)了解腳本的相關(guān)概念明確腳本攻擊的成因掌握腳本注入攻擊、暴庫、跨站攻擊等攻擊方法第二頁，共50頁。本章主要內(nèi)容Web應(yīng)用程序攻擊概述基于用戶輸入的攻擊基于會話狀態(tài)的攻擊Web應(yīng)用程序的安全防范第三頁，共50頁。Web應(yīng)用程序攻擊概述Web的結(jié)構(gòu)(b/s模式）第四頁，共50頁。Web的結(jié)構(gòu)Browser/Server結(jié)構(gòu)，屬于瘦客戶類型的Browser/Server,客戶為瀏覽器，服務(wù)器為WebServer通常是多層(或三層)結(jié)構(gòu)中的第一層在Web應(yīng)用中，WebServer后面常常與數(shù)據(jù)庫打交道第五頁，共50頁。Web的結(jié)構(gòu)Web應(yīng)用軟件模型第六頁，共50頁。Web的結(jié)構(gòu)B/S之間的通訊協(xié)議：HTTPHTTP位于TCP之上，默認(rèn)的端口為80客戶發(fā)出對頁面的請求，服務(wù)器送回這些頁面動態(tài)頁面和靜態(tài)頁面Web頁面的表述和交互能力各種標(biāo)記、超鏈接，…交互功能：表單、腳本交互能力的擴(kuò)展：JavaApplet,ActiveX,…第七頁，共50頁。Web的安全協(xié)議本身的安全性支持身份認(rèn)證：BasicAuthentication,DigestAccessAuthentication保密性：TLS(TransportLayerSecurity)第八頁，共50頁。Web的安全實現(xiàn)上的安全性服務(wù)器端安全性Webpages的訪問控制機(jī)制可用性：防止拒絕服務(wù)抵御各種網(wǎng)絡(luò)攻擊客戶端安全性個人信息的保護(hù)防止執(zhí)行惡意代碼WebProxyServerMan-In-The-Middle第九頁，共50頁。本章主要內(nèi)容Web應(yīng)用程序攻擊概述基于用戶輸入的攻擊基于會話狀態(tài)的攻擊Web應(yīng)用程序的安全防范第十頁，共50頁?；谟脩糨斎氲墓羰裁词悄_本？腳本是不需要編譯的程序代碼依賴腳本引擎來解釋執(zhí)行，具有很好的操作系統(tǒng)適應(yīng)性和可移植性第十一頁，共50頁。腳本分類靜態(tài)腳本HTML動態(tài)腳本ASPJavaScriptVBScriptActiveXFlash……第十二頁，共50頁?；谟脩糨斎氲墓裟_本攻擊是針對Web應(yīng)用的攻擊腳本攻擊主要是針對動態(tài)網(wǎng)站進(jìn)行的攻擊，其原因是在建立動態(tài)網(wǎng)頁的過程中沒有對用戶的輸入輸出進(jìn)行有效的合法性驗證動態(tài)網(wǎng)站交互性：即網(wǎng)頁會根據(jù)用戶的要求和選擇而動態(tài)改變和響應(yīng)，將瀏覽器作為客戶端界面自動更新：即無須手動地更新HTML文檔，便會自動生成新的頁面，可以大大節(jié)省工作量因時因人而變：即當(dāng)不同的時間、不同的人訪問同一網(wǎng)址時會產(chǎn)生不同的頁面第十三頁，共50頁。腳本攻擊方法1.腳本注入2.暴庫3.跨站腳本第十四頁，共50頁。1.腳本注入SQL注入——SQLInjection就是向網(wǎng)站提交精心構(gòu)造的SQL查詢語句，導(dǎo)致網(wǎng)站將關(guān)鍵數(shù)據(jù)信息返回結(jié)構(gòu)化查詢語言（SQL）一種用來和數(shù)據(jù)庫交互的查詢語言典型的SQL查詢語句Selectid,forename,surnameFromauthors查詢字段表第十五頁，共50頁。常用SQL語法查詢Selectstatementfromtablewherecondition刪除記錄deletefromtablewherecondition更新記錄updatetablesetfield=valuewherecondtion添加記錄insertintotablefieldvalues(values)常用函數(shù)Count()Asc(‘nchar’),unicode(‘nchar’)mid(str,n1,n2),substring(str,n1,n2)第十六頁，共50頁。1.腳本注入Select

id,forename,surnameFrom

authors

Where

forname=‘John’

And

surname=‘Smith’Selectid,forename,surnameFromauthors

Whereforname=‘Jo’hn’Andsurname=‘Smith’JohnJo’hn第十七頁，共50頁。1.腳本注入轉(zhuǎn)換為SQL語句

SelectcontextFromnewsWhereid=123第十八頁，共50頁。注入步驟以ASP+ACCESS為例注入點的發(fā)現(xiàn)數(shù)據(jù)庫的類型猜解表名猜解字段名猜解內(nèi)容進(jìn)入管理頁面，上傳ASP木馬第十九頁，共50頁。注入點測試數(shù)字型And1=1，返回正常頁面And1=2，返回錯誤頁面字符型And‘1’=‘1’，返回正常頁面And‘1’=‘2’，返回錯誤頁面第二十頁，共50頁。判斷數(shù)據(jù)庫的類型利用返回的錯誤報告例：MSSQL第二十一頁，共50頁。判斷數(shù)據(jù)庫的類型利用數(shù)據(jù)庫系統(tǒng)表ACCESS——msysobjectsMSSQL——sysobjectsAnd(selectcount(*)frommsysobjects)>0And(selectcount(*)fromsysobjects)>0第二十二頁，共50頁。表名的猜解運氣＋經(jīng)驗積累And(Selectcount(*)from表名)>0Andexist(selectcount(*)from表名And(SelectCount(*)fromAdmin)>=0如果頁面與ID=49相同，說明附加條件成立，即表Admin存在，反之，即不存在。如此循環(huán)，直至猜到表名為止第二十三頁，共50頁。字段名的猜解字段名的獲取原理同表名And(Selectcount(字段名)from表名)>0Andexist(select字段名from表名）第二十四頁，共50頁。字段名的猜解ASCII逐字解碼法獲取字段值判定字段長度./showdetail.asp?id=49and(selecttop1len(username)fromAdmin)>0當(dāng)username長度大于0，則條件成立；接著>1、>2……>n繼續(xù)測試，直到條件不成立時，n為usename的長度。

and(selecttop1asc(mid(username,1,1))fromusers）>0n一般取48-122，48是數(shù)字0，122是zAsc(mid(username,m,1))第二十五頁，共50頁。猜解記錄內(nèi)容確定記錄條數(shù)And(selectcount(*)from表名)=n這里的n是猜解的記錄條數(shù)確定記錄字段長度And(selecttop1len(列名)from表名)=n這里的n是猜解的長度數(shù)第二十六頁，共50頁。控制系統(tǒng)利用已得到的用戶名及口令進(jìn)入管理后臺，上傳ASP木馬當(dāng)數(shù)據(jù)庫的連接用戶為sa時，可使用系統(tǒng)存儲過程執(zhí)行命令第二十七頁，共50頁。常用工具Domain3.5啊D注入工具NBSI第二十八頁，共50頁。SQL注入的危害讀取、修改或者刪除數(shù)據(jù)庫內(nèi)的數(shù)據(jù)，獲取數(shù)據(jù)庫中的用戶名和密碼等敏感信息獲得數(shù)據(jù)庫管理員的權(quán)限如果能夠再利用SQLServer擴(kuò)展存儲過程和自定義擴(kuò)展存儲過程來執(zhí)行一些系統(tǒng)命令，攻擊者還可以獲得該系統(tǒng)的控制權(quán)SQL注入的隱蔽性SQL注入是從正常的WWW端口訪問，防火墻一般不報警，很難發(fā)現(xiàn)第二十九頁，共50頁。2.暴庫暴庫將對方數(shù)據(jù)庫的物理路徑暴露出來物理路徑與相對路徑物理路徑（絕對路徑）：從根目錄開始一直到該目錄全程的路徑相對路徑：相對于其它目錄的路徑第三十頁，共50頁。2.暴庫什么導(dǎo)致了黑客可以成功暴庫？網(wǎng)站制作者的偷懶IE與ASP程序?qū)μ厥庾址盶”解析的不同暴庫手段Googlehack%5c暴庫第三十一頁，共50頁。第三十二頁，共50頁。2.暴庫%5c暴庫原理數(shù)據(jù)庫鏈接文件一個簡短的ASP程序，這段程序主要負(fù)責(zé)在服務(wù)器上找到數(shù)據(jù)庫并與之建立連接。通常這個文件名為:conn.aspConn.asp示例<%…Dimdb,connstr1,connstr2Db=”data/mdb.mdb”Connstr1=”Provider=Microsoft.Jet.OLEDB.4.0;DataSource=”Connstr2=connstr1&Server.MapPath(db)…%>

第三十三頁，共50頁。2.暴庫地址欄中地址改為：此時，系統(tǒng)會彈出錯誤頁面%5c是“\”的URL編碼方式在IE地址欄中，“\”與“/”的含義相同，因此IE能夠正確將%5c解析成“\”conn.asp卻將bbs%5cmdb.mdb看成一個文件，會在目錄即E:\Web目錄下去找數(shù)據(jù)庫文件，從而找不到而報出錯誤第三十四頁，共50頁。2.暴庫得到錯誤信息后如何處理？得到數(shù)據(jù)庫名，猜測數(shù)據(jù)庫的真正物理地址直接下載數(shù)據(jù)庫注意事項IE設(shè)置要將“顯示友好的HTTP錯誤信息”關(guān)閉對方數(shù)據(jù)庫必須是ACCESS需要的是二級目錄，一級目錄很難成功第三十五頁，共50頁。3.跨站腳本跨站腳本（CSS/XSS）CSS-CrossSiteScripting在遠(yuǎn)程Web頁面的HTML代碼中插入的具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁面是可信的，但是當(dāng)瀏覽器下載該頁面時，嵌入其中的腳本將被解釋執(zhí)行第三十六頁，共50頁。3.跨站腳本服務(wù)器所運行的腳本語言當(dāng)收到

時顯示copy.htm頁面，否則返回頁面不存在ProofofConcept:<script>alert(‘a(chǎn)a’)</script>

第三十七頁，共50頁。3.跨站腳本跨站腳本的具體成因CGI程序沒有對用戶提交的變量中的HTML代碼進(jìn)行過濾或轉(zhuǎn)換。這種攻擊利用的是用戶和服務(wù)器之間的信任關(guān)系，以及Web站點沒有使用有效的輸入輸出驗證來拒絕嵌入的腳本。第三十八頁，共50頁。3.跨站腳本跨站腳本攻擊的危害獲取其他用戶Cookie中的敏感數(shù)據(jù)屏蔽頁面特定信息，偽造頁面信息拒絕服務(wù)攻擊突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置與其它漏洞結(jié)合，修改系統(tǒng)設(shè)置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令第三十九頁，共50頁。本章主要內(nèi)容Web應(yīng)用程序攻擊概述基于用戶輸入的攻擊基于會話狀態(tài)的攻擊Web應(yīng)程序的安全防范第四十頁，共50頁。基于會話狀態(tài)的攻擊Web會話從TCP到HTTP層缺少直接的會話層支持Web會話支持HTTP1.1增加了PersistentConnections支持，但是不能用于提供Web會話的功能目前使用的會話技術(shù)Cookie，用cookie作為permitticket用url記錄會話用表單中的隱藏元素記錄會話第四十一頁，共50頁?；跁挔顟B(tài)的攻擊會話安全：劫持一個Web會話建立會話可能需要驗證用戶的信息——認(rèn)證一旦會話被劫持，則Web用戶的安全性不復(fù)存在安全性涉及到客戶如何提供會話建立所需要的信息，以及會話標(biāo)識信息服務(wù)器如何管理會話第四十二頁，共50頁。基于會話狀態(tài)的攻擊會話攻擊步驟：找到會話狀態(tài)的載體回放會話狀態(tài)信息修改會話狀態(tài)信息解密會話狀態(tài)信息第四十三頁，共50頁。針對Cookie攻擊Cookie一般控制著對Web應(yīng)用程序的訪問，如果攻擊者偷竊了受害用戶的Cookie，那么攻擊者就可以使用受害者的Cookie來完全控制受害者的帳戶。第四十四頁，共50頁。Cookie技術(shù)Cookie通常是少量的與狀態(tài)有關(guān)的信息，它是服務(wù)器保存在客戶端的信息Cookie的動機(jī)客戶在瀏覽多個頁面的時候，提供事務(wù)(transaction)的功能，為服務(wù)器提供狀態(tài)管理比如說，可以針對每個用戶實現(xiàn)購物籃實現(xiàn)授權(quán)策略，客戶不用為每個頁面輸入“用戶名/口令”但是，實際上，cookie很容易被濫用在提供個性化服務(wù)的時候，往往要收集一些涉及隱私的信息每個cookie都有一定的URL范圍客戶發(fā)送這個范圍內(nèi)的URL請求都要提供這個cookie第四十五頁，共50頁。利用cookie完成一個transaction第四十六頁，共50頁。Cookie被濫用Cookies中往往會記錄一些涉及用戶隱私的信息，比如用戶的名字，email