《網(wǎng)絡(luò)攻防與協(xié)議分析》課件-2.常見(jiàn)WEB漏洞的攻擊原理及入侵檢測(cè)配置

常見(jiàn)WEB漏洞攻擊原理

及入侵檢測(cè)配置1常見(jiàn)WEB漏洞OWASPTOP10OpenWorldwideApplicationSecurityProject(OWASP)是一個(gè)致力于提高軟件安全性的非營(yíng)利性基金會(huì)。它以“開(kāi)放式社區(qū)”模式運(yùn)作，這意味著任何人都可以參加與OWASP相關(guān)的在線聊天、項(xiàng)目等，并為其做出貢獻(xiàn)。從在線工具和視頻到論壇和活動(dòng)，OWASP確保其所有內(nèi)容均為免費(fèi)，而且可以在其網(wǎng)站上輕松訪問(wèn)。OWASPTop10提供了十大最關(guān)鍵的Web應(yīng)用程序安全風(fēng)險(xiǎn)的排名和補(bǔ)救指南?；贠WASP開(kāi)放式社區(qū)貢獻(xiàn)者的廣泛知識(shí)和經(jīng)驗(yàn)，該報(bào)告采納了來(lái)自世界各地的安全專家的共識(shí)。風(fēng)險(xiǎn)等級(jí)根據(jù)所發(fā)現(xiàn)的安全缺陷的頻率、所發(fā)現(xiàn)漏洞的嚴(yán)重程度及其潛在的影響程度進(jìn)行排序。該報(bào)告的目的是讓開(kāi)發(fā)人員和Web應(yīng)用程序安全人員深入了解最常見(jiàn)的安全風(fēng)險(xiǎn)，以便他們能夠?qū)?bào)告的結(jié)果和建議納入自己的安全實(shí)踐中，從而盡量減少其應(yīng)用程序中已知的風(fēng)險(xiǎn)。SQL注入SQL注入指的是攻擊者利用Web應(yīng)用對(duì)用戶輸入數(shù)據(jù)過(guò)濾不夠嚴(yán)格的弱點(diǎn)，構(gòu)造特殊的字符串作為輸入，欺騙數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行未授權(quán)的惡意查詢，最終導(dǎo)致數(shù)據(jù)信息泄露。SQL注入的攻擊過(guò)程如下：攻擊者構(gòu)造特殊數(shù)據(jù)庫(kù)查詢語(yǔ)句Web服務(wù)器數(shù)據(jù)庫(kù)查詢數(shù)據(jù)庫(kù)返回?cái)?shù)據(jù)庫(kù)信息獲取數(shù)據(jù)庫(kù)信息12345執(zhí)行SQL注入SQL注入獲取Web應(yīng)用管理員賬號(hào)的示例如下：攻擊者在登錄界面輸入用戶名1‘or1=1#，在Web網(wǎng)站執(zhí)行則會(huì)變成如下的SQL語(yǔ)句：符號(hào)“#”會(huì)將隨后的代碼注釋掉，where條件就變成titlelike‘%1’or1=1，是一個(gè)永真條件，此時(shí)SQL語(yǔ)句返回所有的用戶名。select*fromdatabase.userswheretitlelike‘%1’or1=1#%SQL注入危害0102030405危害數(shù)據(jù)庫(kù)信息泄漏網(wǎng)頁(yè)篡改數(shù)據(jù)庫(kù)被惡意操作服務(wù)器被遠(yuǎn)程控制種植木馬SQL注入類型—根據(jù)注入點(diǎn)類型劃分?jǐn)?shù)字型注入點(diǎn)字符型注入點(diǎn)搜索型注入點(diǎn)SQL注入類型—根據(jù)數(shù)據(jù)提交方式劃分HTTP頭部注入使用POST方式提交數(shù)據(jù)，注入點(diǎn)位置在POST數(shù)據(jù)部分，常發(fā)生在表單中。HTTP請(qǐng)求的時(shí)候會(huì)帶上客戶端的Cookie,注入點(diǎn)存在Cookie當(dāng)中的某個(gè)字段。注入點(diǎn)在HTTP請(qǐng)求頭部的某個(gè)字段中，比如存在User-Agent字段中。提交數(shù)據(jù)的方式是GET,注入點(diǎn)的位置在GET參數(shù)部分。GET注入Cookie注入POST注入SQL注入類型—按照?qǐng)?zhí)行效果劃分可以使用union的情況下注入。即頁(yè)面會(huì)返回錯(cuò)誤信息，或者把注入的語(yǔ)句結(jié)果直接返回在頁(yè)面中。即不能根據(jù)頁(yè)面返回內(nèi)容判斷任何信息，用條件語(yǔ)句查看時(shí)間延遲語(yǔ)句是否執(zhí)行（即頁(yè)面返回時(shí)間是否增加）進(jìn)行判斷。If(),Sleep(5)即可以根據(jù)返回頁(yè)面判斷條件真假的注入。聯(lián)合查詢注入

報(bào)錯(cuò)型注入基于時(shí)間的盲注基于布爾的盲注堆查詢注入可以同時(shí)執(zhí)行多條SQL語(yǔ)句的注入。反射型xss攻擊流程

?稱?持久型XSS，這種攻擊?式往往具有?次性，只在?戶單擊時(shí)觸發(fā)?？缯敬a?般存在鏈接中，當(dāng)受害者請(qǐng)求這樣的鏈接時(shí)，跨站代碼經(jīng)過(guò)服務(wù)端反射回來(lái)，這類跨站的代碼通常不存儲(chǔ)服務(wù)端。常?出現(xiàn)位置：?站的搜索欄?戶登錄??輸?表單等地?1、發(fā)送帶有XSS惡意腳本的鏈接2、用戶點(diǎn)擊惡意鏈接，訪問(wèn)目標(biāo)服務(wù)器3、網(wǎng)站將XSS同正常頁(yè)面返回到用戶瀏覽器4、用戶瀏覽器解析網(wǎng)頁(yè)中的惡意JavaScript代碼，向惡意服務(wù)器發(fā)起請(qǐng)求5、黑客從自己搭建的惡意服務(wù)器中獲取用戶提交的信息黑客用戶正常服務(wù)器惡意服務(wù)器存儲(chǔ)型XSS攻擊原理存儲(chǔ)型XSS（StoredxssAttacks），也是持久型XSS，?反射型XSS更具有威脅性。攻擊腳本將被永久的存放在?標(biāo)服務(wù)器的數(shù)據(jù)庫(kù)或?件中。這是利?起來(lái)最?便的跨站類型，跨站代碼存儲(chǔ)于服務(wù)端（?如數(shù)據(jù)庫(kù)中）。1、黑客在目標(biāo)服務(wù)器上構(gòu)造XSS惡意腳本，保存在數(shù)據(jù)庫(kù)中2、用戶在網(wǎng)站登錄狀態(tài)下，訪問(wèn)目標(biāo)服務(wù)器，瀏覽存在惡意JavaScript代碼的網(wǎng)頁(yè)3、網(wǎng)站將XSS代碼同正常網(wǎng)頁(yè)返回到用戶瀏覽器4、用戶瀏覽器解析網(wǎng)頁(yè)中惡意JavaScript代碼，向惡意服務(wù)器發(fā)起請(qǐng)求5、黑客從自己搭建的惡意服務(wù)器中獲取用戶提交的信息黑客用戶正常服務(wù)器惡意服務(wù)器DOM型XSSDOM是?檔對(duì)象模型（DocumentObjectModel）的縮寫。它是HTML?檔的對(duì)象表示，同時(shí)也是外部?jī)?nèi)容（例如JavaScript）與HTML元素之間的接?。解析樹(shù)的根節(jié)點(diǎn)是“Document"對(duì)象。DOM（Documentobjectmodel），使?DOM能夠使程序和腳本能夠動(dòng)態(tài)訪問(wèn)和更新?檔的內(nèi)容、結(jié)構(gòu)和樣式。它是基于DoM?檔對(duì)象的?種漏洞，并且DOM型XSS是基于JS上的，并不需要與服務(wù)器進(jìn)?交互。<script>functiontest(){varstr=document.getElementById("text").value; document.getElementById("t").innerHTML="<ahref='"+str+"'>testLink</a>";}</script><divid="t"></div><inputtype="text"id="text"value=""/><inputtype="button"id="s"value="write"onclick="test()"/>跨站請(qǐng)求偽造CSRFCSRF(跨站請(qǐng)求偽造)，攻擊者通過(guò)一些技術(shù)手段欺騙用戶的瀏覽器去訪問(wèn)一個(gè)自己以前認(rèn)證過(guò)的站點(diǎn)并運(yùn)行一些操作（如發(fā)郵件，發(fā)消息，甚至財(cái)產(chǎn)操作（如轉(zhuǎn)賬和購(gòu)買商品））。因?yàn)闉g覽器之前認(rèn)證過(guò)，所以被訪問(wèn)的站點(diǎn)會(huì)認(rèn)為這是真正的用戶操作而去運(yùn)行。1、輸入用戶名、密碼。Login2、User合法，SetCookie3、在沒(méi)有關(guān)閉網(wǎng)站A的情況下，打開(kāi)網(wǎng)站B4、返回代碼讓User訪問(wèn)網(wǎng)站A的某個(gè)URL，執(zhí)行某個(gè)功能5、User在不知情的狀態(tài)下，帶著合法Cookie訪問(wèn)網(wǎng)站A的特定URL，執(zhí)行某個(gè)功能用戶網(wǎng)站B發(fā)起攻擊站點(diǎn)網(wǎng)站A

目標(biāo)站點(diǎn)攻擊條件：用戶已經(jīng)登陸了網(wǎng)站，具有執(zhí)行各個(gè)功能的權(quán)限。攻擊者知道功能的數(shù)據(jù)包。用戶訪問(wèn)了攻擊者構(gòu)造的惡意URL。服務(wù)器端請(qǐng)求偽造SSRFSSRF形成的原因大都是由于服務(wù)端提供了從其他服務(wù)器應(yīng)用獲取數(shù)據(jù)的功能,但又沒(méi)有對(duì)目標(biāo)地址做嚴(yán)格過(guò)濾與限制，導(dǎo)致攻擊者可以傳入任意的地址來(lái)讓后端服務(wù)器對(duì)其發(fā)起請(qǐng)求，并返回對(duì)該目標(biāo)地址請(qǐng)求的數(shù)據(jù)。1、請(qǐng)求參數(shù)中，攜帶訪問(wèn)內(nèi)部服務(wù)的內(nèi)容2、因過(guò)濾控制不嚴(yán)，外部服務(wù)向內(nèi)部發(fā)起黑客想執(zhí)行的請(qǐng)求3、返回內(nèi)部服務(wù)的響應(yīng)4、返回內(nèi)部服務(wù)響應(yīng)不可直接訪問(wèn)黑客內(nèi)部服務(wù)外部服務(wù)反序列化JavaphpJavascriptC#···二進(jìn)制XMLjson···序列化反序列化反序列化的定義是，將對(duì)象的狀態(tài)信息轉(zhuǎn)換為可以存儲(chǔ)或傳輸?shù)男问降倪^(guò)程。在序列化期間，對(duì)象將其當(dāng)前狀態(tài)寫入到臨時(shí)或持久性存儲(chǔ)區(qū)。以后，可以通過(guò)從存儲(chǔ)區(qū)中讀取或反序列化對(duì)象的狀態(tài)，重新創(chuàng)建該對(duì)象。簡(jiǎn)單的說(shuō)，序列化就是把一個(gè)對(duì)象變成可以傳輸?shù)淖址?，可以以特定的格式在進(jìn)程之間跨平臺(tái)、安全的進(jìn)行通信。PHP反序列化PHP反序列化漏洞也叫PHP對(duì)象注入，是一個(gè)非常常見(jiàn)的漏洞，這種類型的漏洞雖然有些難以利用，但一旦利用成功就會(huì)造成非常危險(xiǎn)的后果。漏洞的形成的根本原因是程序沒(méi)有對(duì)用戶輸入的反序列化字符串進(jìn)行檢測(cè)，導(dǎo)致反序列化過(guò)程可以被惡意控制，進(jìn)而造成代碼執(zhí)行、getshell等一系列不可控的后果。反序列化漏洞并不是PHP特有，也存在于Java、Python等語(yǔ)言之中，但其原理基本相通。serialize()//將一個(gè)對(duì)象轉(zhuǎn)換成一個(gè)字符串unserialize()//將字符串還原成一個(gè)對(duì)象觸發(fā)：unserialize函數(shù)的變量可控，文件中存在可利用的類，類中有魔術(shù)方法：__construct() //創(chuàng)建對(duì)象時(shí)觸發(fā)__destruct() //對(duì)象被銷毀時(shí)觸發(fā)__call() //在對(duì)象上下文中調(diào)用不可訪問(wèn)的方法時(shí)觸發(fā)__callStatic()//在靜態(tài)上下文中調(diào)用不可訪問(wèn)的方法時(shí)觸發(fā)__get() //用于從不可訪問(wèn)的屬性讀取數(shù)據(jù)__set() //用于將數(shù)據(jù)寫入不可訪問(wèn)的屬性__isset() //在不可訪問(wèn)的屬性上調(diào)用isset()或empty()觸發(fā)__unset() //在不可訪問(wèn)的屬性上使用unset()時(shí)觸發(fā)__invoke() //當(dāng)腳本嘗試將對(duì)象調(diào)用為函數(shù)時(shí)觸發(fā)PHP反序列化漏洞代碼案例

payload:/php/demo2.php?test=O:1:%22A%22:1:{s:4:%22test%22;s:25:%22%3Cscript%3Ealert(1)%3C/script%3E%22;}直接導(dǎo)致xss攻擊。如果__wakeup中不是echo$this->test;,是eval(*)那么就是任意代碼執(zhí)行危害巨大！<?phpclassA{var$test="demo";function__wakeup(){echo$this->test;eval($this->test);}}$b=newA();$c=serialize($b);echo$c;$a=$_GET['test'];$a_unser=unserialize($a);?>發(fā)現(xiàn)反序列化可控序列化代碼,并且一旦反序列化會(huì)走魔法方法__wakeup并且輸出test2漏洞檢測(cè)配置實(shí)驗(yàn)漏洞檢測(cè)配置實(shí)驗(yàn)關(guān)于本實(shí)驗(yàn)通過(guò)配置入侵檢測(cè)策略，實(shí)現(xiàn)漏洞行為的檢測(cè)。實(shí)驗(yàn)?zāi)康睦斫饴┒从|發(fā)的原理，練習(xí)入侵檢測(cè)策略的配置。實(shí)驗(yàn)背景Kali主機(jī)和靶機(jī)之間，通過(guò)防火墻設(shè)備進(jìn)行網(wǎng)絡(luò)連接，防火墻將連接靶機(jī)的流量，通過(guò)端口鏡像引流到入侵檢測(cè)設(shè)備。IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻/24/24漏洞檢測(cè)配置實(shí)驗(yàn)-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置1、防火墻接口IP地址配置#啟動(dòng)“pikachu”

靶場(chǎng)，sudo密碼centos[centos@localhost~]#sudodockerstartpikachuIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻/24/24漏洞檢測(cè)配置實(shí)驗(yàn)-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置2、防火墻配置DHCPIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻/24/24漏洞檢測(cè)配置實(shí)驗(yàn)-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置3、防火墻ge3接口配置鏡像接口引流IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻/24/24漏洞檢測(cè)配置實(shí)驗(yàn)-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置4、防火墻配置一條全通策略，放通流量IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻/24/24漏洞檢測(cè)配置實(shí)驗(yàn)-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置5、配置入侵檢測(cè)ge2接口為“旁路模式”IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻/24/24漏洞檢測(cè)配置實(shí)驗(yàn)-XSS攻擊入侵檢測(cè)配置漏洞攻擊入侵檢測(cè)配置1、配置漏洞防護(hù)安全配置文件IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻/24/24漏洞檢測(cè)配置實(shí)驗(yàn)-XSS攻擊入侵檢測(cè)配置漏洞攻擊入侵檢測(cè)配置2、配置安全策略，應(yīng)用漏洞防護(hù)對(duì)象IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻/24/24漏洞檢測(cè)配置實(shí)驗(yàn)-實(shí)驗(yàn)驗(yàn)證實(shí)驗(yàn)驗(yàn)證1、Kali主機(jī)使用瀏覽器，打開(kāi)靶場(chǎng)UR