版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
程序員常見的WEB平安漏洞點蒼@淘寶-新業(yè)務(wù)2021-08-300.大綱1.引子不平安的淘寶,一直被緊盯,經(jīng)常被攻擊影響力–宕機、篡改頁面交易–盜取銀行賬號、釣魚攻擊用戶–登錄密碼以及cookie/refer/ip隱私2.SQL注入–簡介SQL注入攻擊也俗稱黑客的填空游戲定義:攻擊者提交惡意SQL并得到執(zhí)行本質(zhì):由于輸入檢驗不充分,導(dǎo)致非法數(shù)據(jù)被當(dāng)做SQL來執(zhí)行特點:很常見,使用數(shù)據(jù)庫的應(yīng)用多如牛毛多見于小PHP站,采用字符串拼SQL的應(yīng)用直接攻擊效勞器2.SQL注入–危害字符串填空繞過登錄鑒權(quán)select*fromuserwherename=‘’or‘1’=‘1’andpw=‘’or‘1’=‘1’執(zhí)行任意SQL,利用注釋,select*fromitemwhreitem=‘’;yoursql--’
或整型字段,select*fromitemwhereitem_id=0;yoursql;篡改系統(tǒng)賬號alterloginsawithpassword=‘123456’用戶隱私外泄select*fromuser系統(tǒng)細(xì)節(jié)外泄select*fromsys.tables控制操作系統(tǒng)xp_cmdshell“netstopiisadmin〞損害硬盤宕機xp_cmdshell“FORMATC:〞埋入XSS漏洞insertintocomment(cnt)values(‘<script>…</script>’)2.SQL注入–防范防止字符串拼SQL,完全使用參數(shù)化查詢將單引號字符取代為連續(xù)2個單引號字符利用框架的防SQL注入功能2.SQL注入–iBatis1根據(jù)彩種ID和彩期名得到一個彩期,inttype=123;Stringtitle=“123〞。結(jié)果:select*fromitemwheretype=123andtitle=‘123’$不過濾直接文本替換:select*fromitemwheretype=$type$andtitle=‘$title$’#根據(jù)變量類型來替換:select*fromitemwheretype=#type#andtitle=#title#盡量使用#,防止使用$2.SQL注入–iBatis2盡量使用#,防止使用$假設(shè)不能防止$,那么帶上元數(shù)據(jù)標(biāo)識SQL中需要用戶提交的ASC、DESC等SQL關(guān)鍵字select*fromuserorderbygmt_create
$ordertype:SQLKEYWORD$SQL中需要用戶提交的字段名、表名等元數(shù)據(jù)select*fromuserorderby$orderByColumn:METADATA$2.SQL注入–iBatis3盡量使用#,防止使用$假設(shè)不能防止$,那么帶上元數(shù)據(jù)標(biāo)識用迭代替換IN關(guān)鍵字中的$intorderStatus={0,1,2,3}
List
orders
=
sqlMap.queryForList(“OrderDAO.findLlOrder",
orderStatus);
<select
id=“findOrder〞
parameterClass=“〞
resultClass=“java.lang.Object〞>
select
*
from
order
where
order_status
in
<iterate
open=“(“
close=“)〞
conjunction=“,〞>
#orderStatus[]#
</iterate>
</select>
3.XSS–簡介Cross-SiteScripting,跨站腳本攻擊定義:攻擊者在頁面里插入惡意腳本,當(dāng)用戶瀏覽該頁時,嵌入其中的惡意代碼被執(zhí)行,從而到達(dá)攻擊者的特殊目的實質(zhì):用戶提交的HTML代碼未經(jīng)過濾和轉(zhuǎn)義直接回顯特點:攻擊授信和未授信用戶,不直接攻擊效勞器很常見,例如貼圖、AJAX回調(diào)、富文本〔如評論留言〕惡意腳本可能位于跨站效勞器,但必須用戶瀏覽器執(zhí)行,最暴力的防范就是禁用JS腳本3.XSS–實例彩票業(yè)務(wù)AJAX回調(diào)導(dǎo)致的XSS漏洞3.XSS–危害掛蠕蟲、木馬、病毒盜取用戶的cookie/referer/ip等信息制作釣魚網(wǎng)站用戶被提交惡意數(shù)據(jù)、被執(zhí)行惡意操作幫助CSRF,繞過CSRF的token驗證3.XSS–代碼分析<span>$!productName</span><inputtype="hidden"Name="OrinSearchText"value="$!searchBarView.LastKeyword"id="OrinSearchText_rfs"$disabledFlag/><script>varfromgcn='$!rundata.Parameters.getString('fromgcn')';</script><span><iframesrc=://hacker></iframe></span><inputtype="hidden"Name="OrinSearchText"value=""><iframesrc=://hacker></iframe><""id="OrinSearchText_rfs"$disabledFlag/><script>varfromgcn='';hackerFunction(document.cookie);'';</script>3.XSS–防范輸入過濾,RichTextXssFilter.filter(input)輸出轉(zhuǎn)義,HTMLESCAPE4.CSRF–簡介CrossSiteRequestForgery,即跨站請求偽造,有時也縮寫為XSRF定義:在惡意站點上,促使用戶請求有CSRF漏洞的應(yīng)用的URL或欺騙性的表單,從而修改用戶數(shù)據(jù)實質(zhì):利用session機制,盜用授信用戶對應(yīng)用做一些惡意的GET/POST提交特點:不同于XSS,惡意腳本一定位于跨站效勞器攻擊授信用戶,不直接攻擊效勞器近年增多,授信用戶的貼圖、表單提交、頁面交互、AJAX調(diào)用都可能導(dǎo)致該漏洞4.CSRF–實例黑客在效勞器端編寫惡意腳本,并構(gòu)造授信操作的URL,例如評論惡意用戶回復(fù)帖子時候貼圖,圖片地址指向黑客事先編寫的惡意腳本當(dāng)用戶瀏覽這些帖子時,就會請求該圖片,不知覺訪問了惡意腳本惡意腳本利用302重定向,根據(jù)帖子不同跳轉(zhuǎn)到對應(yīng)的評論URL用戶在不知情情況下發(fā)表了評論,幫惡意用戶頂貼所以,論壇一般會讓用戶在評論時輸入驗證碼,來防止類似攻擊4.CSRF–危害獲得管理員權(quán)限盜取用戶銀行卡、信用卡信息授信用戶被提交惡意數(shù)據(jù)、被執(zhí)行惡意操作4.CSRF–防范效勞器區(qū)分GET/POST,增加攻擊難度REFERER校驗,補充手段改長授信為短授信時間戳關(guān)鍵流程使用驗證碼Token驗證嚴(yán)防XSS,否那么短授信可能被偽造5.其它漏洞命令行注入文件上傳漏洞緩沖區(qū)溢出DDoS訪問控制漏洞LogicFlaw,邏輯漏洞無限制URL跳轉(zhuǎn)漏洞表單重復(fù)提交Struts/Webwork遠(yuǎn)程命令執(zhí)行漏洞6.平安開發(fā)流程提高平安開發(fā)意識遵守平安編碼標(biāo)準(zhǔn)引入WEB平安測試逆向思維,從黑客角度發(fā)現(xiàn)潛在的漏洞網(wǎng)絡(luò)平安≠WEB平安≠XSS≠alert7.黑客攻擊思路找漏洞分析產(chǎn)品或開源代碼瀏覽器、操作系統(tǒng)的0day漏洞編寫惡意腳本蠱惑用戶訪問惡意鏈接,執(zhí)行惡意腳本完成攻擊得到用戶隱私拿管理員權(quán)限釣魚網(wǎng)站掛木馬9.平安開發(fā)Checklist安全分類項目自檢必選SQL注入iBatis中使用的$變量是否都有元數(shù)據(jù)標(biāo)識*XSSwebx里是否配置了vm模板的自動XSS輸出轉(zhuǎn)義*vm模板以外的回顯內(nèi)容是否有顯式的輸入過濾輸出轉(zhuǎn)義*貼圖功能是否有防XSS考慮*再次確認(rèn)沒有遺漏的搜索框、評論、AJAX回調(diào)等XSS高發(fā)區(qū)CSRF關(guān)鍵業(yè)務(wù)是否有驗證碼校驗授信操作是否都有token校驗*貼圖功能是否有防CSRF考慮*其它所用的數(shù)據(jù)庫、操作系統(tǒng)賬戶是否有過高的權(quán)限*所用的struts2是否修復(fù)了遠(yuǎn)程命令執(zhí)行漏洞*上傳文件功能是否考慮了安全防范*向?qū)ь惒僮魇欠穸加袑η耙徊襟E結(jié)果的校驗*考慮并解決了表單重復(fù)提交漏洞*
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 家具城裝修工程分包
- 2024年業(yè)務(wù)知識競賽-汽車維修業(yè)務(wù)知識競賽考試近5年真題集錦(頻考類試題)帶答案
- 2024年上海住院醫(yī)師-上海住院醫(yī)師康復(fù)醫(yī)學(xué)科考試近5年真題集錦(頻考類試題)帶答案
- 消防設(shè)備柴油居間合同模板
- 教育設(shè)備原料配送合同樣本
- 5年中考3年模擬試卷初中歷史七年級下冊第13課宋元時期的科技與中外交通
- 綠色產(chǎn)業(yè)園區(qū)苗木采購范本
- 重型機械陸運合同樣本
- 度假村裝修人工費預(yù)算書
- 證券營業(yè)部內(nèi)部裝修合同
- 淺談如何提升高校財務(wù)管理科級干部的工作能力
- 《煤礦窄軌鐵道質(zhì)量標(biāo)準(zhǔn)及檢查評級辦法》(83)煤生字第892號
- 營養(yǎng)餐匯報材料[5篇] (3)
- 關(guān)于幼兒數(shù)學(xué)教育與區(qū)域游戲相融合的思考
- 金相顯微鏡點檢卡
- 某縣關(guān)于學(xué)前教育“鎮(zhèn)村一體化”管理工作的實施方案
- 大班語言調(diào)皮的七色光PPT課件
- 比才的《阿萊城姑娘》組曲
- 游標(biāo)卡尺讀數(shù)專項訓(xùn)練含答案
- 短信營銷培訓(xùn)文檔
- 天之至私,用之至公,禽之制在氣熊厚音
評論
0/150
提交評論