第四章Web應(yīng)用滲透技術(shù)

第四章Web應(yīng)用滲透技術(shù)第一頁，共71頁。OutlineWeb應(yīng)用滲透技術(shù)基礎(chǔ)Web應(yīng)用漏洞掃描探測Web應(yīng)用程序滲透測試總結(jié)2第二頁，共71頁。Web應(yīng)用滲透技術(shù)基礎(chǔ)什么是滲透測試Web應(yīng)用滲透測試OWASPWeb漏洞TOP10近期Web應(yīng)用攻擊典型案例滲透測試工具簡介3第三頁，共71頁。什么是滲透測試Apenetrationtest(pentest)isamethodofevaluatingcomputerandnetworksecuritybysimulatinganattackonacomputersystemornetworkfromexternalandinternalthreats*.4第四頁，共71頁。什么是滲透測試Penetrationtestsarevaluableforseveralreasons*:Identifyinghigher-riskvulnerabilitiesthatresultfromacombinationoflower-riskvulnerabilitiesexploitedinaparticularsequenceIdentifyingvulnerabilitiesthatmaybedifficultorimpossibletodetectwithautomatednetworkorapplicationvulnerabilityscanningsoftwareAssessingthemagnitudeofpotentialbusinessandoperationalimpactsofsuccessfulattacksTestingtheabilityofnetworkdefenderstosuccessfullydetectandrespondtotheattacks5第五頁，共71頁。Web應(yīng)用滲透技術(shù)基礎(chǔ)什么是滲透測試Web應(yīng)用滲透測試OWASPWeb漏洞TOP10近期Web應(yīng)用攻擊典型案例滲透測試工具簡介6第六頁，共71頁。典型的網(wǎng)絡(luò)組織方式Webiseverywhere.一個組織或公司提供對外的門戶網(wǎng)站7第七頁，共71頁。Web應(yīng)用程序體系結(jié)構(gòu)8第八頁，共71頁。Web應(yīng)用滲透技術(shù)基礎(chǔ)什么是滲透測試Web應(yīng)用滲透測試OWASPWeb漏洞TOP10近期Web應(yīng)用攻擊典型案例滲透測試工具簡介9第九頁，共71頁。OWASPWeb漏洞TOP10TheOpenWebApplicationSecurityProject(OWASP)isaworldwidenot-for-profitcharitableorganizationfocusedonimprovingthesecurityofsoftware.OWASPTopTen:ThegoaloftheTop10projectistoraiseawarenessaboutapplicationsecuritybyidentifyingsomeofthemostcriticalrisksfacingorganizations.10第十頁，共71頁。補(bǔ)充知識：cookieHTTP協(xié)議是無狀態(tài)的。網(wǎng)站為了辨別用戶身份而儲存在用戶本地終端（ClientSide）上的數(shù)據(jù)（通常經(jīng)過簡單加密）。應(yīng)用范圍：保存購物信息、登錄憑據(jù)等。Cookie總是保存在客戶端中，按在客戶端中的存儲位置，可分為內(nèi)存Cookie和硬盤Cookie。11第十一頁，共71頁。Cookie是什么12第十二頁，共71頁。Cookie是什么13第十三頁，共71頁。Cookie是什么14第十四頁，共71頁。Cookie是什么Windows8：

按住窗口鍵+R，輸入shell:cookies15第十五頁，共71頁。Cookie是什么16第十六頁，共71頁。Cookie原理17第十七頁，共71頁。Cookie原理18第十八頁，共71頁。Cookie應(yīng)用19第十九頁，共71頁。Cookie的缺陷20第二十頁，共71頁。Cookie隱私和安全21第二十一頁，共71頁。Cookie隱私和安全22第二十二頁，共71頁。OWASPTopTenSQL注入攻擊（SQLInjection,SQLi）：指發(fā)生在Web應(yīng)用對后臺數(shù)據(jù)庫查詢語句處理存在的安全漏洞。簡單地說，就是在輸入字符串中嵌入SQL指令，在設(shè)計程序中忽略了對特殊字符串的檢查，嵌入的指令便會被誤認(rèn)為正常的SQL指令?？缯灸_本（Cross-SiteScripting,XSS）：惡意使用者將程序代碼（惡意腳本）注入到網(wǎng)頁上，其他使用者在瀏覽網(wǎng)頁時就會受到不同程度的影響?？缯緜卧煺埱螅–ross-SiteRequestForgery,CSRF）:屬于XSS的衍生。攻擊者利用XSS的注入方式注入一段腳本，當(dāng)受害者點擊瀏覽器運行該腳本時，腳本偽造受害者發(fā)送了一個合法請求。23第二十三頁，共71頁。OWASPTopTen會話認(rèn)證管理缺陷（BrokenAuthenticationandSessionManagement,BASM）:首次傳送Cookie后，便不對Cookie中的內(nèi)容進(jìn)行檢查，攻擊者便可修改Cookie中的重要信息，用來提升權(quán)限，或是冒用他人賬號獲取私密資料。安全誤配置（SecurityMisconfiguration）：存在于Web應(yīng)用的各層次，譬如Web平臺、Web服務(wù)器、應(yīng)用服務(wù)器、程序代碼等。不安全的密碼存儲（InsecureCryptographicStorage）不安全的對象參考（InsecureDirectObjectReferences）：利用Web系統(tǒng)本身的文檔讀取功能，任意存取系統(tǒng)文檔或資料。24第二十四頁，共71頁。OWASPTopTen限制URL訪問失?。‵ailuretoRestrictURLAccess）:例如內(nèi)部員工使用的未公開URL泄露。缺乏傳輸層保護(hù)（InsufficientTransportLayerProtection）：沒有對傳輸層使用SSL/TLS等保護(hù)機(jī)制。過期或不正確的證書；后臺數(shù)據(jù)庫通信業(yè)存在類似問題。未驗證的重定向（UnvalidatedRedirectsandForwards）：攻擊者一般會通過未驗證重定向頁面誘使受害者點擊，從而獲取密碼或其他敏感數(shù)據(jù)。例如：25第二十五頁，共71頁。OWASPTop102013A1InjectionA2BrokenAuthenticationandSessionManagementA3Cross-SiteScripting(XSS)A4InsecureDirectObjectReferencesA5SecurityMisconfigurationA6SensitiveDataExposureA7MissingFunctionLevelAccessControlA8Cross-SiteRequestForgery(CSRF)A9UsingComponentswithKnownVulnerabilitiesA10UnvalidatedRedirectsandForwards26第二十六頁，共71頁。Web應(yīng)用滲透技術(shù)基礎(chǔ)什么是滲透測試Web應(yīng)用滲透測試OWASPWeb漏洞TOP10近期Web應(yīng)用攻擊典型案例滲透測試工具簡介27第二十七頁，共71頁。SONY黑客攻擊案2011年4月17-4月19日，sony旗下著名游戲機(jī)PS3網(wǎng)絡(luò)（PlaystationNetwork，PSN）遭到攻擊。7千萬PSN和Qriocity音樂服務(wù)的用戶個人信息被盜走。消息發(fā)布后，SONY在線娛樂系統(tǒng)的服務(wù)器也被攻擊。2460萬用戶信息，包括12700張非美國本土信用卡號、到賬日期、支付記錄。此次對PSN網(wǎng)絡(luò)機(jī)器相關(guān)服務(wù)的攻擊泄露了從過1億用戶數(shù)據(jù)，一千多萬張信用卡信息，迫使索尼關(guān)閉PSN等網(wǎng)絡(luò)，聘請了數(shù)家計算機(jī)安全公司調(diào)查攻擊，重建安全系統(tǒng)，進(jìn)行游戲用戶賠償?shù)?，造成損失達(dá)到幾億美圓，更不必說股價下跌、信用喪失等隱性損失。28第二十八頁，共71頁。SONY黑客攻擊案LulzSec組織不但宣稱對某些攻擊負(fù)責(zé)，而且公布了攻擊過程、數(shù)據(jù)庫信息甚至網(wǎng)站源碼。聲稱利用SQL注入攻擊獲得了、sonybmg.nl和sonybmg.be的數(shù)據(jù)庫信息。含100萬索尼美國、荷蘭和比利時客戶個人信息，包括明文存儲的密碼、電子郵件、家庭地址等。Anonymous組織和LulzSec組織在此次攻擊中使用了SQL注入、本地文件包含漏洞利用，以及利用僵尸網(wǎng)絡(luò)發(fā)動DDoS攻擊。原因可能是由于PSN所用的RedHat系統(tǒng)中的Apache服務(wù)器沒有及時升級安全補(bǔ)丁，使黑客成功入侵到內(nèi)網(wǎng)。另外用戶口令以明文或簡單的Hash存儲。29第二十九頁，共71頁。CSDN數(shù)據(jù)泄露門2011年年底，國內(nèi)各大網(wǎng)站爆出“口令泄露門”。最先公布的是著名技術(shù)網(wǎng)站CSDN600萬賬戶和口令泄露事件，網(wǎng)站由于存在SQL注入漏洞被攻擊者利用并下載用戶數(shù)據(jù)庫。網(wǎng)站對用戶的口令竟然是明文存儲，由于用戶習(xí)慣使用同一用戶名和口令注冊各種網(wǎng)站，導(dǎo)致用戶口令一旦泄露，所有賬戶被“一網(wǎng)打盡”。此后不久，多玩網(wǎng)、世紀(jì)佳緣、人人等網(wǎng)站相機(jī)爆發(fā)類似“拖庫”事件，后來直接導(dǎo)致京東、當(dāng)當(dāng)?shù)入娚贪l(fā)生了“撞庫”事件，攻擊者利用先前網(wǎng)站泄露的數(shù)據(jù)編寫程序進(jìn)行大量匹配，查找有余額的賬戶進(jìn)行消費，直接導(dǎo)致當(dāng)當(dāng)網(wǎng)迅速關(guān)閉買禮品卡充值賬戶功能。30第三十頁，共71頁。Web應(yīng)用滲透技術(shù)基礎(chǔ)什么是滲透測試Web應(yīng)用滲透測試OWASPWeb漏洞TOP10近期Web應(yīng)用攻擊典型案例Web滲透測試工具簡介31第三十一頁，共71頁。Web滲透測試工具簡介OWASPBWA(BrokenWebApplication)靶機(jī)Metasploit項目由著名的黑客HDMoore于2003年開始開發(fā)，最早作為一個滲透攻擊代碼的繼承軟件包而發(fā)布。現(xiàn)在的Metasploit框架中集成了數(shù)千個針對主流操作系統(tǒng)平臺上，不同網(wǎng)絡(luò)服務(wù)與應(yīng)用軟件安全漏洞的滲透攻擊模塊，可以由用戶在滲透攻擊場合中根據(jù)漏洞掃描結(jié)果進(jìn)行選擇，并且能夠自由裝配該平臺上適用的具有指定功能的攻擊載荷，對目標(biāo)系統(tǒng)實施遠(yuǎn)程攻擊并獲取系統(tǒng)的訪問控制權(quán)。Backtrack和KaliLinux：BackTrack

是一個基于Ubuntu

GNU/Linux的發(fā)行版本，主要用做數(shù)字取證和入侵測試。BackTrack給用戶集成了大量功能強(qiáng)大但簡單易用的安全工具軟件。KaliLinux1.0于2013年3月發(fā)布，是Backtrack的下一代版本。32第三十二頁，共71頁。OutlineWeb應(yīng)用滲透技術(shù)基礎(chǔ)Web應(yīng)用漏洞掃描探測Web應(yīng)用程序滲透測試總結(jié)33第三十三頁，共71頁。Web應(yīng)用漏洞掃描探測OpenVAS（OpenVulnerabilityAssessmentSystem）：aopen-sourceframeworkofseveralservicesandtoolsofferingavulnerabilityscanningandvulnerabilitymanagementsolution.W3af：anopen-sourcewebapplicationsecurityscanner.TheprojectprovidesavulnerabilityscannerandexploitationtoolforWebapplications.34第三十四頁，共71頁。OutlineWeb應(yīng)用滲透技術(shù)基礎(chǔ)Web應(yīng)用漏洞掃描探測Web應(yīng)用程序滲透測試總結(jié)35第三十五頁，共71頁。Web應(yīng)用程序滲透測試SQL注入實例分析XSS跨站腳本攻擊實例分析跨站點請求偽造命令注入實例分析36第三十六頁，共71頁。Web應(yīng)用組件間的通信37第三十七頁，共71頁。SQL注入攻擊“SQL注入”指的是向某個Web應(yīng)用程序輸入一個精心構(gòu)造的SQL查詢命令以執(zhí)行某種非正常操作。SQL查詢命令的語義很容易改變，只要在關(guān)鍵位置增加或者減少一個字符，就足以讓原本無害的查詢命令產(chǎn)生相當(dāng)有害的行為。在“SQL注入”攻擊活動中，用來構(gòu)造惡意輸入內(nèi)容的常見字符包括反引號（`）、雙連字符（--）和分號（;）等，它們在SQL語言里都有著特殊含義。對于入門級黑客，這種攻擊往往能讓他們在未經(jīng)授權(quán)的情況下訪問到某些敏感的數(shù)據(jù)；而精通此道的高級黑客甚至能在繞過身份驗證機(jī)制之后完全掌握Web服務(wù)器或后端SQL系統(tǒng)的控制權(quán)。38第三十八頁，共71頁?！癝QL注入”攻擊示例39第三十九頁，共71頁。SQL注入攻擊演示訪問網(wǎng)站，通過SQL注入攻擊繞過身份認(rèn)證機(jī)制。Username字段注入：admin’OR‘1，Password字段注入：test’OR‘1后臺驗證SQL變?yōu)椋篠ELECT*FROM[users]WHEREusername=‘a(chǎn)dmin’OR‘1’ANDpassword=‘test’OR‘1’使用OWASPBWA靶機(jī)的DVWA應(yīng)用程序演示如何獲取后臺數(shù)據(jù)庫更多的信息。輸入文件“XSS&SQLi.txt”中的腳本。40第四十頁，共71頁。假設(shè)后臺的查詢語句是這樣設(shè)置的：Select列from表whereID=?因此如果輸入‘or’1=1，數(shù)據(jù)表的每一列都將顯示出來。查詢INFORMATION_SCHEMA系統(tǒng)表：'UNIONSELECT1,table_namefromINFORMATION_SCHEMA.tables--'，發(fā)現(xiàn)users表。列出user表的內(nèi)容：'UNIONSELECT1,column_namefromINFORMATION_SCHEMA.columnswheretable_name='users'--'，發(fā)現(xiàn)password列。取得口令的MD5值：'UNIONSELECTNULL,passwordfromusers--'SQL注入攻擊演示41第四十一頁，共71頁。使用concat()函數(shù)將所有的信息都列出來：'UNIONSELECTpassword,concat(first_name,'',last_name,'',user)fromusers--‘SQL注入攻擊演示42第四十二頁，共71頁。Sqlmap簡介開源的命令行自動SQL注入工具。能夠?qū)Χ喾N主流數(shù)據(jù)庫進(jìn)行掃描支持。支持五種SQL注入技術(shù)：基于布爾值的盲注、基于時間的盲注、基于錯誤的盲注、UNION查詢和stacked查詢。檢索DBMS的會話用戶和數(shù)據(jù)庫。枚舉用戶、哈希口令、權(quán)限和數(shù)據(jù)庫、表、列。轉(zhuǎn)儲這個DBMS的表和列，或者用戶指定的表和列。自動識別后臺賬戶的哈希口令，并通過字典進(jìn)行暴力破解。運行自定義的SQL語句。導(dǎo)出整個數(shù)據(jù)庫的表文件。43第四十三頁，共71頁。使用Sqlmap進(jìn)行攻擊輸入文件“XSS&SQLi.txt”中的腳本。（1）掃描SQL注入點（2）獲取數(shù)據(jù)庫名（3）獲取dvwa數(shù)據(jù)庫中存在的表名（4）獲取users表中的字段列表（5）把Password字段內(nèi)容搞出來（6）獲取口令明文44第四十四頁，共71頁。防范對策使用綁定變量（參數(shù)化查詢）：只是用綁定變量來傳遞不同的參數(shù)到語句中。對來自客戶端的所有輸入都要執(zhí)行嚴(yán)格的輸入驗證：編程箴言“限制、拒絕和凈化”實施默認(rèn)的錯誤處理：為所有錯誤使用一個通用的錯誤消息。鎖定ODBC：禁止給客戶端發(fā)送消息。鎖定數(shù)據(jù)庫服務(wù)器配置：指定用戶、角色和權(quán)限。使用綱領(lǐng)性框架：諸如Hibernate或LINQ之類的工具鼓勵你去使用綁定變量45第四十五頁，共71頁。Web應(yīng)用程序滲透測試SQL注入實例分析XSS跨站腳本攻擊實例分析跨站點請求偽造命令注入實例分析46第四十六頁，共71頁?？缯灸_本（XSS）攻擊XSS攻擊通常也發(fā)生在Web應(yīng)用程序?qū)斎胼敵鰴z查不充分的時候。但與其他攻擊手段不同的是，XSS攻擊的目標(biāo)通常不是Web應(yīng)用程序本身，而是使用這個帶漏洞的Web應(yīng)用程序的另一名用戶。惡意用戶A把一條包含著惡意代碼的消息發(fā)布到了Web應(yīng)用程序guestbook里，當(dāng)用戶B去查看這條消息時，用戶B的瀏覽器將試圖解釋并執(zhí)行那段惡意代碼，使得A具有了能夠完全控制B系統(tǒng)的可能。XSS攻擊可導(dǎo)致帳戶/會話被盜用、cookie被盜、企業(yè)的品牌形象被誤導(dǎo)或詆毀等。利用XSS漏洞最常見的攻擊是竊取一般情況下無法為外人所得的用戶的會話cookie。但是最近的攻擊已經(jīng)變得更加惡意，比如通過社交網(wǎng)路傳播蠕蟲，更嚴(yán)重的是，會利用惡意軟件感染受害者電腦。47第四十七頁，共71頁。常見的XSS惡意輸入48第四十八頁，共71頁。XSS攻擊分類反射式XSS攻擊存儲式XSS攻擊49第四十九頁，共71頁。反射式XSS攻擊Alice經(jīng)常瀏覽某個網(wǎng)站，此網(wǎng)站為Bob所擁有。在Bob的網(wǎng)站上，Alice使用用戶名/密碼進(jìn)行登錄，并存儲敏感信息(比如銀行帳戶信息)。Charlie發(fā)現(xiàn)Bob的站點包含反射性的XSS漏洞。Charlie編寫一個利用漏洞的URL，并將其冒充為來自Bob的郵件發(fā)送給Alice。Alice在登錄到Bob的站點之后，瀏覽Charlie提供的URL。嵌入到URL中的惡意腳本在Alice的瀏覽器中執(zhí)行，就像它直接來自Bob的服務(wù)器一樣。此腳本盜竊敏感信息(授權(quán)、信用卡、帳號信息等)，然后在Alice完全不知情的情況下將這些信息發(fā)送給Charlie。50第五十頁，共71頁。訪問OWASPBWA靶機(jī)來演示OWASPBrokenWebApplicationsProjectOWASPBWA靶機(jī)虛擬鏡像*/dvwaDamnVulnerableWebApplication）XSSreflected輸入（1）<script>alert('Havefuns')</script>（2）<script>alert(document.cookie)</script>51第五十一頁，共71頁。存儲式XSS攻擊該類型是應(yīng)用最為廣泛而且有可能影響到Web服務(wù)器自身安全的漏洞，駭客將攻擊腳本上傳到Web服務(wù)器上，使得所有訪問該頁面的用戶都面臨信息泄漏的可能，其中也包括了Web服務(wù)器的管理員。Bob擁有一個Web站點，該站點允許用戶發(fā)布信息/瀏覽已發(fā)布的信息。Charlie注意到Bob的站點具有存儲式XSS漏洞。Charlie發(fā)布一個熱點信息，吸引其它用戶紛紛閱讀。Bob或者是任何的其他人如Alice瀏覽該信息，其會話cookies或者其它信息將被Charlie盜走。52第五十二頁，共71頁。存儲式XSS攻擊53第五十三頁，共71頁。使用OWASPBWA的Multillidae應(yīng)用程序演示訪問Mutillidae的CrossSiteScripting(XSS)輸入：<SCRIPT/XSSSRC=""></SCRIPT>xss.js的內(nèi)容如下：document.write("Thisisremotetextviaxss.jslocatedat"+document.cookie);alert("Thisisremotetextviaxss.jslocatedat"+document.cookie);訪問OWASPBWA靶機(jī)來演示54第五十四頁，共71頁。防范對策過濾輸入?yún)?shù)中的特殊字符：禁止讓W(xué)eb應(yīng)用程序的接受輸入數(shù)據(jù)里包含以下字符：<>()#&。對輸出進(jìn)行HTML編碼如果你的應(yīng)用程序設(shè)置了cookie，使用微軟的HTTPOnlycookie。定期分析你的Web應(yīng)用程序55第五十五頁，共71頁。使用browser_autopwn進(jìn)行XSS攻擊Metasploit的瀏覽器自動攻擊模塊autopwn演示使用autopwn進(jìn)行XSS攻擊（1）參考教材164頁（pdf文件187頁）代碼清單4-25在MSFConsole中調(diào)入autopwn模塊；（2）參考教材252-254頁（pdf文件275頁-277頁）使用autopwn對靶機(jī)windows2003server進(jìn)行攻擊。56第五十六頁，共71頁。Web應(yīng)用程序滲透測試SQL注入實例分析XSS跨站腳本攻擊實例分析跨站點請求偽造命令注入實例分析57第五十七頁，共71頁。跨站點請求偽造CSRF（Cross-SiteRequestForgery）：網(wǎng)頁應(yīng)用程序為用戶提供持久的認(rèn)證會話（例如：Cookie），因此，它們不需要每請求一個頁面便進(jìn)行一次驗證。但是如果攻擊者能誘使用戶向網(wǎng)站提交一個請求，他便可以利用持久的會話來假冒受害者執(zhí)行各種操作。不良后果：用戶賬戶口令會被更改、資金會被轉(zhuǎn)移、商品會被訂購等。58第五十八頁，共71頁。CSRF攻擊示例攻擊者嵌入一個圖像標(biāo)簽到一個網(wǎng)頁中。并把網(wǎng)頁上傳到一個在線論壇。圖像標(biāo)簽如下：<imgsrc=“”>當(dāng)受害者加載該網(wǎng)頁時，其瀏覽器提交GET請求以后去獲取“圖像”，但卻是在目標(biāo)網(wǎng)站上執(zhí)行惡意操作。59第五十九頁，共71頁。防范措施阻止CSRF漏洞的關(guān)鍵在于如何將進(jìn)入的請求綁定到經(jīng)認(rèn)證的會話上。Web應(yīng)用程序應(yīng)該插入隨機(jī)值，綁定到指定用戶的會話每一次用戶要執(zhí)行一個非常危險的操作時，都要求其進(jìn)行重新認(rèn)證。60第六十頁，共71頁。Web應(yīng)用程序滲透測試SQL注入實例分析XSS跨站腳本攻擊實例分析跨站點請求偽造命令注入實例分析61第六十一頁，共71頁。命令注入實例分析能夠使攻擊者執(zhí)行原Web應(yīng)用不能夠執(zhí)行的命令，當(dāng)然命令執(zhí)行的權(quán)限和被注入的Web服務(wù)進(jìn)程的權(quán)限相同。DVSS網(wǎng)站的安全論壇盡管使用了一個很新的Wordpress系統(tǒng)版本，但它安裝了zingiri-web-shop這個含有命令注入漏洞的插件。演示62第六十二頁，共71頁。防范措施跟SQL注入類似，由于Web應(yīng)用缺乏對輸入數(shù)據(jù)的驗證和過濾。63第六十三頁，共71頁。文件包含和文件上傳漏洞本地文件包含（Local，LFI）：通過瀏覽器引進(jìn)（包含）Web服務(wù)器上的文件。該漏洞發(fā)生在瀏覽器包含文件時沒有進(jìn)行嚴(yán)格的過濾，允許遍歷目錄的字符注入