程序員常見的WEB安全漏洞

程序員常見的WEB平安漏洞點蒼@淘寶-新業(yè)務(wù)2021-08-300.大綱1.引子不平安的淘寶，一直被緊盯，經(jīng)常被攻擊影響力–宕機、篡改頁面交易–盜取銀行賬號、釣魚攻擊用戶–登錄密碼以及cookie/refer/ip隱私2.SQL注入–簡介SQL注入攻擊也俗稱黑客的填空游戲定義：攻擊者提交惡意SQL并得到執(zhí)行本質(zhì)：由于輸入檢驗不充分，導(dǎo)致非法數(shù)據(jù)被當(dāng)做SQL來執(zhí)行特點：很常見，使用數(shù)據(jù)庫的應(yīng)用多如牛毛多見于小PHP站，采用字符串拼SQL的應(yīng)用直接攻擊效勞器2.SQL注入–危害字符串填空繞過登錄鑒權(quán)select*fromuserwherename=‘’or‘1’=‘1’andpw=‘’or‘1’=‘1’執(zhí)行任意SQL，利用注釋，select*fromitemwhreitem=‘’;yoursql--’

或整型字段，select*fromitemwhereitem_id=0;yoursql;篡改系統(tǒng)賬號alterloginsawithpassword=‘123456’用戶隱私外泄select*fromuser系統(tǒng)細(xì)節(jié)外泄select*fromsys.tables控制操作系統(tǒng)xp_cmdshell“netstopiisadmin〞損害硬盤宕機xp_cmdshell“FORMATC:〞埋入XSS漏洞insertintocomment(cnt)values(‘<script>…</script>’)2.SQL注入–防范防止字符串拼SQL，完全使用參數(shù)化查詢將單引號字符取代為連續(xù)2個單引號字符利用框架的防SQL注入功能2.SQL注入–iBatis1根據(jù)彩種ID和彩期名得到一個彩期，inttype=123;Stringtitle=“123〞。結(jié)果：select*fromitemwheretype=123andtitle=‘123’$不過濾直接文本替換：select*fromitemwheretype=$type$andtitle=‘$title$’#根據(jù)變量類型來替換：select*fromitemwheretype=#type#andtitle=#title#盡量使用#，防止使用$2.SQL注入–iBatis2盡量使用#，防止使用$假設(shè)不能防止$，那么帶上元數(shù)據(jù)標(biāo)識SQL中需要用戶提交的ASC、DESC等SQL關(guān)鍵字select*fromuserorderbygmt_create

$ordertype:SQLKEYWORD$SQL中需要用戶提交的字段名、表名等元數(shù)據(jù)select*fromuserorderby$orderByColumn:METADATA$2.SQL注入–iBatis3盡量使用#，防止使用$假設(shè)不能防止$，那么帶上元數(shù)據(jù)標(biāo)識用迭代替換IN關(guān)鍵字中的$intorderStatus={0,1,2,3}

List

orders

=

sqlMap.queryForList(“OrderDAO.findLlOrder",

orderStatus);

<select

id=“findOrder〞

parameterClass=“〞

resultClass=“java.lang.Object〞>

select

*

from

order

where

order_status

in

<iterate

open=“(“

close=“)〞

conjunction=“,〞>

#orderStatus[]#

</iterate>

</select>

3.XSS–簡介Cross-SiteScripting，跨站腳本攻擊定義：攻擊者在頁面里插入惡意腳本，當(dāng)用戶瀏覽該頁時，嵌入其中的惡意代碼被執(zhí)行，從而到達(dá)攻擊者的特殊目的實質(zhì)：用戶提交的HTML代碼未經(jīng)過濾和轉(zhuǎn)義直接回顯特點：攻擊授信和未授信用戶，不直接攻擊效勞器很常見，例如貼圖、AJAX回調(diào)、富文本〔如評論留言〕惡意腳本可能位于跨站效勞器，但必須用戶瀏覽器執(zhí)行，最暴力的防范就是禁用JS腳本3.XSS–實例彩票業(yè)務(wù)AJAX回調(diào)導(dǎo)致的XSS漏洞3.XSS–危害掛蠕蟲、木馬、病毒盜取用戶的cookie/referer/ip等信息制作釣魚網(wǎng)站用戶被提交惡意數(shù)據(jù)、被執(zhí)行惡意操作幫助CSRF，繞過CSRF的token驗證3.XSS–代碼分析<span>$!productName</span><inputtype="hidden"Name="OrinSearchText"value="$!searchBarView.LastKeyword"id="OrinSearchText_rfs"$disabledFlag/><script>varfromgcn='$!rundata.Parameters.getString('fromgcn')';</script><span><iframesrc=://hacker></iframe></span><inputtype="hidden"Name="OrinSearchText"value=""><iframesrc=://hacker></iframe><""id="OrinSearchText_rfs"$disabledFlag/><script>varfromgcn='';hackerFunction(document.cookie);'';</script>3.XSS–防范輸入過濾，RichTextXssFilter.filter(input)輸出轉(zhuǎn)義，HTMLESCAPE4.CSRF–簡介CrossSiteRequestForgery，即跨站請求偽造，有時也縮寫為XSRF定義：在惡意站點上，促使用戶請求有CSRF漏洞的應(yīng)用的URL或欺騙性的表單，從而修改用戶數(shù)據(jù)實質(zhì)：利用session機制，盜用授信用戶對應(yīng)用做一些惡意的GET/POST提交特點：不同于XSS，惡意腳本一定位于跨站效勞器攻擊授信用戶，不直接攻擊效勞器近年增多，授信用戶的貼圖、表單提交、頁面交互、AJAX調(diào)用都可能導(dǎo)致該漏洞4.CSRF–實例黑客在效勞器端編寫惡意腳本，并構(gòu)造授信操作的URL，例如評論惡意用戶回復(fù)帖子時候貼圖，圖片地址指向黑客事先編寫的惡意腳本當(dāng)用戶瀏覽這些帖子時，就會請求該圖片，不知覺訪問了惡意腳本惡意腳本利用302重定向，根據(jù)帖子不同跳轉(zhuǎn)到對應(yīng)的評論URL用戶在不知情情況下發(fā)表了評論，幫惡意用戶頂貼所以，論壇一般會讓用戶在評論時輸入驗證碼，來防止類似攻擊4.CSRF–危害獲得管理員權(quán)限盜取用戶銀行卡、信用卡信息授信用戶被提交惡意數(shù)據(jù)、被執(zhí)行惡意操作4.CSRF–防范效勞器區(qū)分GET/POST，增加攻擊難度REFERER校驗，補充手段改長授信為短授信時間戳關(guān)鍵流程使用驗證碼Token驗證嚴(yán)防XSS，否那么短授信可能被偽造5.其它漏洞命令行注入文件上傳漏洞緩沖區(qū)溢出DDoS訪問控制漏洞LogicFlaw，邏輯漏洞無限制URL跳轉(zhuǎn)漏洞表單重復(fù)提交Struts/Webwork遠(yuǎn)程命令執(zhí)行漏洞6.平安開發(fā)流程提高平安開發(fā)意識遵守平安編碼標(biāo)準(zhǔn)引入WEB平安測試逆向思維，從黑客角度發(fā)現(xiàn)潛在的漏洞網(wǎng)絡(luò)平安≠WEB平安≠XSS≠alert7.黑客攻擊思路找漏洞分析產(chǎn)品或開源代碼瀏覽器、操作系統(tǒng)的0day漏洞編寫惡意腳本蠱惑用戶訪問惡意鏈接，執(zhí)行惡意腳本完成攻擊得到用戶隱私拿管理員權(quán)限釣魚網(wǎng)站掛木馬9.平安開發(fā)Checklist安全分類項目自檢必選SQL注入iBatis中使用的$變量是否都有元數(shù)據(jù)標(biāo)識*XSSwebx里是否配置了vm模板的自動XSS輸出轉(zhuǎn)義*vm模板以外的回顯內(nèi)容是否有顯式的輸入過濾輸出轉(zhuǎn)義*貼圖功能是否有防XSS考慮*再次確認(rèn)沒有遺漏的搜索框、評論、AJAX回調(diào)等XSS高發(fā)區(qū)CSRF關(guān)鍵業(yè)務(wù)是否有驗證碼校驗授信操作是否都有token校驗*貼圖功能是否有防CSRF考慮*其它所用的數(shù)據(jù)庫、操作系統(tǒng)賬戶是否有過高的權(quán)限*所用的struts2是否修復(fù)了遠(yuǎn)程命令執(zhí)行漏洞*上傳文件功能是否考慮了安全防范*向?qū)ь惒僮魇欠穸加袑η耙徊襟E結(jié)果的校驗*考慮并解決了表單重復(fù)提交漏洞*