Web安全與防護 （微課版） 課件 07-3 項目七 任務(wù)三 文件包含漏洞檢測與驗證；07-4 項目七 任務(wù)四 文件包含漏洞修復(fù)與防范

項目七

安全的文件包含Web安全與防護本任務(wù)要點學(xué)習(xí)目標在博客系統(tǒng)中找到文件包含漏洞驗證博客系統(tǒng)中的文件包含漏洞學(xué)會驗證文件上傳漏洞。掌握文件上傳漏洞。任務(wù)三

文件包含漏洞檢測與驗證目錄CONTENTS01/文件包含漏洞驗證流程02/文件包含漏洞檢測與驗證文件包含漏洞驗證流程01文件包含漏洞驗證流程01利用之前搭建的個人博客，在此之前我們已經(jīng)成功的通過文件上傳漏洞將帶有phpinfo信息的圖片成功上傳到了博客中。文件包含漏洞檢測與驗證02對于文件包含漏洞的檢測驗證，我們需要使用kali自帶的錄爆破Dirbuster工具，該工具是一種用于探測web服務(wù)器上的目錄和隱藏文件的工具。它支持多種掃描方式，如網(wǎng)頁爬蟲、基于字典的暴力破解和純暴力破解，使用Java語言編寫，提供命令行和圖形界面兩種模式。什么是DirBuster？DirBuster是一個多線程的基于Java的應(yīng)用程序設(shè)計蠻力Web/應(yīng)用服務(wù)器上的目錄和文件名。DirBuster是Owasp(OpenWebApplicationSecurityProject)開發(fā)的一款專門用于探測網(wǎng)站目錄和文件(包括隱藏文件)的工具。由于使用Java編寫，電腦中要裝有JDK才能運行。文件包含漏洞檢測與驗證021）首先通過終端輸入dirbuster啟動程序。程序第一行輸入需要掃描的網(wǎng)站地址，目標ip地址或域名，默認80端口，特殊端口需要加到后面。文件包含漏洞檢測與驗證022）接下來選擇對網(wǎng)站的請求方式用get方式或者HEAD加GET自動切換，同時也可以根據(jù)電腦的性能考慮選擇GoFaster使用200線程完成更快的完成請求，一般用于執(zhí)行暴力破解。文件包含漏洞檢測與驗證023）選擇字典的類型，kali內(nèi)置有大量的字典目錄，位于在/usr/share/wordlists/路徑。我們也可以使用生成的字典來進行暴力破解文件包含漏洞檢測與驗證024）掃描方法和類型的選擇，可以選擇開始路徑以及目錄、遞歸、文件、延伸等拓展選項。文件包含漏洞檢測與驗證025）做好上述準備后，就可以等待掃描完成。我們可以在此過程中查看當(dāng)前網(wǎng)站是否有一些開發(fā)人員無意間留下的配置文件信息。文件包含漏洞檢測與驗證02在網(wǎng)站的目錄結(jié)構(gòu)中我們可以看到include.php，include語句用于在執(zhí)行流中插入寫在其他文件中的有用的代碼。訪問include.php我們可以看到能夠利用的文件包含漏洞。文件包含漏洞檢測與驗證02過向URL中傳遞如下參數(shù)，加載之前制作的圖片木馬實現(xiàn)攻擊：當(dāng)看到phpinfo信息的時候，就代表著我們已經(jīng)成功的執(zhí)行了圖片木馬，獲取了網(wǎng)站的控制權(quán)限了。:2333/book/admin/include.php?file=../assets/img/a36d38fe771a00959ded40985182827d.jpg課堂實踐一、任務(wù)名稱：針對博客系統(tǒng)的文件包含漏洞進行驗證二、任務(wù)內(nèi)容：部署整個博客系統(tǒng)，再針對博客系統(tǒng)的文件包含漏洞進行入侵驗證。三、工具需求：PHP開發(fā)環(huán)境四、任務(wù)要求：完成實踐練習(xí)后，由老師檢查完成情況。課堂思考一、如何去快速驗證一個文件包含漏洞？二、還有那些可以探測文件包含漏洞的工具？三、本地文件包含漏洞和遠程文件包含漏洞的區(qū)別？課后拓展：文件包含漏洞的案例請各位同學(xué)通過網(wǎng)絡(luò)搜索一個真實的文件包含漏洞案例，分析該案例中文件包含漏洞是如何被利用的，攻擊者通過哪些手段繞過了原有的安全措施，以及該漏洞對受影響系統(tǒng)造成了哪些具體影響。THANK

YOUToBeContinued項目七

安全的文件包含Web安全與防護本任務(wù)要點學(xué)習(xí)目標修復(fù)在博客系統(tǒng)中找到文件包含漏洞防范文件包含漏洞學(xué)會針對文件包含漏洞的修復(fù)防范文件包含漏洞任務(wù)四

文件包含漏洞修復(fù)與防范目錄CONTENTS01/文件包含漏洞修復(fù)與防范文件包含漏洞修復(fù)與防范01當(dāng)我們掌握如何利用漏洞后，我們也需要學(xué)會如何去修補漏洞防止被黑客利用和入侵，我們查看源代碼可以發(fā)現(xiàn)，雖然對文件做了各種信息的檢查和限制，但是并沒有對文件的內(nèi)容進行檢測，我們可以將圖片進行二次的壓縮和解析，同時也可以對文件的數(shù)據(jù)進行檢測探查是否有代碼的關(guān)鍵字。針對博客的漏洞我們可以采用：（1）PHP配置php.ini關(guān)閉遠程文件包含功能(allow.urljnclude=Off)，這是為了防止攻擊者利用PHP的文件包含函數(shù)來加載遠程服務(wù)器上的惡意文件。（2）嚴格檢查變量是否已經(jīng)初始化，避免使用未定義或空值的變量作為文件包含函數(shù)的參數(shù)，例如include($file)，如果$file沒有被賦值或者為空，那么就可能被攻擊者控制。文件包含漏洞修復(fù)與防范01（3）建議假定所有輸入都是可疑的，嘗試對所有輸入提交可能可能包含的文件地址，包括服務(wù)器本地文件及遠程文件，進行嚴格的檢查，參數(shù)中不允許出現(xiàn).../之類的目錄跳轉(zhuǎn)符。文件包含漏洞修復(fù)與防范01（4）假定所有輸入都是可疑的，嘗試對所有輸入提交可能可能包含的文件地址，包括服務(wù)器本地文件及遠程文件，進行嚴格的檢查，參數(shù)中不允許出現(xiàn).../之類的目錄跳轉(zhuǎn)符：這是為了防止攻擊者利用目錄跳轉(zhuǎn)符來訪問服務(wù)器上敏感的目錄和文件，例如include(.../.../etc/passwd)。文件包含漏洞修復(fù)與防范01（5）嚴格檢查include類的文件包含函數(shù)中的參數(shù)是否外界可控：這是為了防止攻擊者通過修改URL或者表單等方式來傳遞惡意的參數(shù)給文件包含函數(shù)，例如include($_GET[‘file’])。文件包含漏洞修復(fù)與防范01（6）不要僅僅在客戶端做數(shù)據(jù)的驗證與過濾，關(guān)鍵的過濾步驟在服務(wù)端進行，因為客戶端的驗證和過濾可以被繞過或者修改，而服務(wù)端則更加安全和可靠。文件包含漏洞修復(fù)與防范01（7）在發(fā)布應(yīng)用程序之前測試所有已知的威脅，發(fā)現(xiàn)和修復(fù)潛在的漏洞和風(fēng)險，提高應(yīng)用程序的安全性。（8）設(shè)置文件白名單，限制可被包含的文件范圍的方法，只允許指定目錄或者后綴名等條件下的文件被包含。在使用include類函數(shù)時，應(yīng)該限制被包含的文件范圍，只允許指定目錄或者后綴名等條件下的文件被包含?？梢酝ㄟ^定義一個文件白名單來實現(xiàn)這一目的。課堂實踐一、任務(wù)名稱：針對博客系統(tǒng)的文件包含漏洞進行修復(fù)二、任務(wù)內(nèi)容：針對博客系統(tǒng)的文件包含漏洞進行修復(fù)。三、工具需求：PHP開發(fā)環(huán)境四、任務(wù)要求：完成實踐練習(xí)后，由老師檢查完成情況。課堂思考一、如何去快速修復(fù)一個文件包含漏洞？二、為什么會產(chǎn)生文件包含漏洞？三、如何處理包含文件時的錯誤和異常？四、如何在開發(fā)過程中實施有效的文件包含安全策略？課后拓展：文件包含漏洞案例分析與修復(fù)評估請各位同學(xué)通過互聯(lián)網(wǎng)查找和研究各種文件包含漏洞的真實案例，分析