安全性測(cè)試初步接觸ppt課件

1、初步分類： 權(quán)限 （黑盒+sql注入+目錄遍歷+非法文件與文字上傳與寫入） 加密 （網(wǎng)絡(luò)傳輸、本地cookie、源文件、認(rèn)證與會(huì)話） 攻擊 （緩沖區(qū)溢出、sql注入、異常處理信息、端口掃描、服務(wù)器攻擊、跨站腳本攻擊、http回車換行注入攻擊、代碼注入、url重定向、google攻擊）,理論篇,1,做的比較粗糙，大家在這塊有什么可以交流下， 消逝,2,黑盒主要測(cè)試點(diǎn) 用戶管理模塊，權(quán)限管理模塊，加密系統(tǒng)，認(rèn)證系統(tǒng)等 工具使用 Appscan（首要）、Acunetix Web Vulnerability Scanner（備用）、HttpAnalyzerFull、TamperIESetup 木桶原理

2、 安全性最低的模塊將成為瓶頸，需整體提高,3,他人模型（雖然比較舊了）,安全管理與審計(jì),物理層安全,網(wǎng)絡(luò)層安全,傳輸層安全,應(yīng)用層安全,鏈路層 物理層,網(wǎng)絡(luò)層,傳輸層,應(yīng)用層 表示層 會(huì)話層,審計(jì)與監(jiān)控 身份認(rèn)證 數(shù)據(jù)加密 數(shù)字簽名 完整性鑒別 端到端加密 訪問控制 點(diǎn)到點(diǎn)鏈路加密 物理信道安全,訪問控制 數(shù)據(jù)機(jī)密性 數(shù)據(jù)完整性,用戶認(rèn)證 防抵賴 安全審計(jì),網(wǎng)絡(luò)安全層次,層次 模型,網(wǎng)絡(luò)安全技術(shù),實(shí)現(xiàn)安全目標(biāo),用戶 安全,4,（一）可手工執(zhí)行或工具執(zhí)行,輸入的數(shù)據(jù)沒有進(jìn)行有效的控制和驗(yàn)證 用戶名和密碼 直接輸入需要權(quán)限的網(wǎng)頁地址可以訪問 上傳文件沒有限制（此次不需要） 不安全的存儲(chǔ) 操作時(shí)間的

3、失效性,5,1.1）輸入的數(shù)據(jù)沒有進(jìn)行有效的控制和驗(yàn)證,數(shù)據(jù)類型（字符串，整型，實(shí)數(shù)，等） 允許的字符集 最小和最大的長度 是否允許空輸入 參數(shù)是否是必須的 重復(fù)是否允許 數(shù)值范圍 特定的值（枚舉型） 特定的模式（正則表達(dá)式）（注：建議盡量采用白名單）,6,1.21）用戶名和密碼-1,檢測(cè)接口程序連接登錄時(shí)，是否需要輸入相應(yīng)的用戶 是否設(shè)置密碼最小長度（密碼強(qiáng)度） 用戶名和密碼中是否可以有空格或回車？ 是否允許密碼和用戶名一致 防惡意注冊(cè)：可否用自動(dòng)填表工具自動(dòng)注冊(cè)用戶？ （傲游等） 遺忘密碼處理 有無缺省的超級(jí)用戶?（admin等，關(guān)鍵字需屏蔽） 有無超級(jí)密碼? 是否有校驗(yàn)碼？,7,1.22

4、）用戶名和密碼-2,密碼錯(cuò)誤次數(shù)有無限制？ 大小寫敏感？ 口令不允許以明碼顯示在輸出設(shè)備上 強(qiáng)制修改的時(shí)間間隔限制（初始默認(rèn)密碼） 口令的唯一性限制（看需求是否需要） 口令過期失效后，是否可以不登陸而直接瀏覽某個(gè)頁面 哪些頁面或者文件需要登錄后才能訪問/下載 cookie中或隱藏變量中是否含有用戶名、密碼、userid等關(guān)鍵信息,8,1.3）直接輸入需要權(quán)限的網(wǎng)頁地址可以訪問,避免研發(fā)只是簡單的在客戶端不顯示權(quán)限高的功能項(xiàng) 舉例Bug： 沒有登錄或注銷登錄后，直接輸入登錄后才能查看的頁面的網(wǎng)址（含跳轉(zhuǎn)頁面），能直接打開頁面； 注銷后，點(diǎn)瀏覽器上的后退，可以進(jìn)行操作。 正常登錄后，直接輸入自己沒

5、有權(quán)限查看的頁面的網(wǎng)址，可以打開頁面。 通過Http抓包的方式獲取Http請(qǐng)求信息包經(jīng)改裝后重新發(fā)送 從權(quán)限低的頁面可以退回到高的頁面（如發(fā)送消息后，瀏覽器后退到信息填寫頁面，這就是錯(cuò)誤的）,9,1.4）上傳文件沒有限制（此次不需要）,上傳文件還要有大小的限制。 上傳木馬病毒等（往往與權(quán)限一起驗(yàn)證） 上傳文件最好要有格式的限制； 此次我們不需要驗(yàn)證此處，簡單介紹下，跳過,10,1.5）不安全的存儲(chǔ),在頁面輸入密碼，頁面應(yīng)顯示 “*”； 數(shù)據(jù)庫中存的密碼應(yīng)經(jīng)過加密； 地址欄中不可以看到剛才填寫的密碼； 右鍵查看源文件不能看見剛才輸入的密碼； 帳號(hào)列表：系統(tǒng)不應(yīng)該允許用戶瀏覽到網(wǎng)站所有的帳號(hào)，如果

6、必須要一個(gè)用戶列表，推薦使用某種形式的假名（屏幕名）來指向?qū)嶋H的帳號(hào),11,1.6）操作時(shí)間的失效性,檢測(cè)系統(tǒng)是否支持操作失效時(shí)間的配置，同時(shí)達(dá)到所配置的時(shí)間內(nèi)沒有對(duì)界面進(jìn)行任何操作時(shí)，檢測(cè)系統(tǒng)是否會(huì)將用戶自動(dòng)失效，需要重新登錄系統(tǒng)。 支持操作失效時(shí)間的配置。 支持當(dāng)用戶在所配置的時(shí)間內(nèi)沒有對(duì)界面進(jìn)行任何操作則該應(yīng)用自動(dòng)失效。 如，用戶登陸后在一定時(shí)間內(nèi)（例如15 分鐘）沒有點(diǎn)擊任何頁面，是否需要重新登陸才能正常使用。,12,（二）借助工具或了解后手工來進(jìn)行測(cè)試,不能把數(shù)據(jù)驗(yàn)證寄希望于客戶端的驗(yàn)證 不安全的對(duì)象引用，防止XSS攻擊 注入式漏洞（SQL注入） 傳輸中與存儲(chǔ)時(shí)的密碼沒有加密 ，不安

7、全的通信 目錄遍歷,13,2.1）不能把數(shù)據(jù)驗(yàn)證寄希望于客戶端的驗(yàn)證,避免繞過客戶端限制（如長度、特殊字符或腳本等），所以在服務(wù)器端驗(yàn)證與限制 客戶端是不安全，重要的運(yùn)算和算法不要在客戶端運(yùn)行。 Session與cookie 例：保存網(wǎng)頁并對(duì)網(wǎng)頁進(jìn)行修改，使其繞過客戶端的驗(yàn)證。 （如只能選擇的下拉框，對(duì)輸入數(shù)據(jù)有特殊要求的文本框） 還可以查看cookie中記錄，偽造請(qǐng)求 測(cè)試中，可使用TamperIESetup來繞過客戶端輸入框的限制,14,2.21）不安全的對(duì)象引用，防止XSS等攻擊,阻止帶有語法含義的輸入內(nèi)容，防止Cross Site Scripting (XSS) Flaws 跨站點(diǎn)腳本

8、攻擊（XSS） 防止Cross-site request forgery（CSRF）跨站請(qǐng)求偽造 xss解釋：不可信的內(nèi)容被引入到動(dòng)態(tài)頁面中，沒有識(shí)別這種情況并采取保護(hù)措施。攻擊者可在網(wǎng)上提交可以完成攻擊的腳本，普通用戶點(diǎn)擊了網(wǎng)頁上這些攻擊者提交的腳本，那么就會(huì)在用戶客戶機(jī)上執(zhí)行，完成從截獲帳戶、更改用戶設(shè)置、竊取和篡改 cookie 到虛假廣告在內(nèi)的種種攻擊行為,15,2.22）不安全的對(duì)象引用，防止XSS等攻擊,測(cè)試方法：在輸入框中輸入下列字符，可直接輸入腳本來看 HTML標(biāo)簽： 轉(zhuǎn)義字符：”. 在輸入或輸出時(shí)對(duì)其進(jìn)行字符過濾或轉(zhuǎn)義處理,16,2.23）注入式漏洞（SQL注入）,對(duì)數(shù)據(jù)庫等

9、進(jìn)行注入攻擊。 例：一個(gè)驗(yàn)證用戶登陸的頁面，如果使用的sql語句為：Select *fromtable A whereusername + username+ and pass word . 則在Sql語句后面 輸入 or 11 就可以不輸入任何password進(jìn)行攻擊 SELECT count(*)FROM usersWHERE username=a or a=a AND password=a or a=a (資料太多，不顯示了此處，借助工具Appscan等吧),17,2.24）傳輸中與存儲(chǔ)時(shí)的密碼沒有加密,利用ssl來進(jìn)行加密，在位于HTTP層和TCP層之間，建立用戶與服務(wù)器之間的加密通信

10、 進(jìn)入一個(gè)SSL站點(diǎn)后，可以看到瀏覽器出現(xiàn)警告信息，然后地址欄的http變成https （特點(diǎn)確定） 證書認(rèn)證 檢查數(shù)據(jù)庫中的用戶密碼、管理者密碼等字段是否是以加密方式保存。 存儲(chǔ)數(shù)據(jù)庫單獨(dú)隔離，有備份的數(shù)據(jù)庫，權(quán)限唯一,18,2.25）目錄遍歷,舉例： . /local/apache/conf/ /usr/local/apache/conf/里的所有文件都出來了 簡要的解決方案:、限制Web應(yīng)用在服務(wù)器上的運(yùn)行 ，格設(shè)定WEB服務(wù)器的目錄訪問權(quán)限、進(jìn)行嚴(yán)格的輸入驗(yàn)證，控制用戶輸入非法路徑，如在每個(gè)目錄訪問時(shí)有index.htm,19,（三）研發(fā)或使用工具才能進(jìn)行,認(rèn)證和會(huì)話數(shù)據(jù)不能作為GET

11、的一部分來發(fā)送 隱藏域與CGI參數(shù) 不恰當(dāng)?shù)漠惓Ｌ幚?不安全的配置管理 緩沖區(qū)溢出 拒絕服務(wù) 日志完整性、可審計(jì)性與可恢復(fù)性,20,3.1）Get or post,認(rèn)證和會(huì)話數(shù)據(jù)不應(yīng)該作為GET的一部分來發(fā)送，應(yīng)該使用POST 例：對(duì)Grid、Label、Tree view類的輸入框未作驗(yàn)證，輸入的內(nèi)容會(huì)按照html語法解析出來 可使用TamperIESetup或ScannerHttpAnalyzerFull來判斷,21,3.2）隱藏域與CGI參數(shù),Bug舉例：分析：隱藏域中泄露了重要的信息，有時(shí)還可以暴露程序原代碼。直接修改CGI參數(shù)，就能繞過客戶端的驗(yàn)證了。如：只要改變value的值就可能

12、會(huì)把程序的原代碼顯示出來。 如大小寫，編碼解碼，附加特殊字符或精心構(gòu)造的特殊請(qǐng)求等都可能導(dǎo)致CGI源代碼泄露 可使用appscan或sss等來檢測(cè)，檢查特殊字符集,22,3.3）不恰當(dāng)?shù)漠惓Ｌ幚?分析：程序在拋出異常的時(shí)候給出了比較詳細(xì)的內(nèi)部錯(cuò)誤信息，暴露了不應(yīng)該顯示的執(zhí)行細(xì)節(jié)，網(wǎng)站存在潛在漏洞，有可能會(huì)被攻擊者分析出網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)或配置 通常為其他攻擊手段的輔助定位方式 舉例：如www.c* ，搜索為空時(shí)，數(shù)據(jù)庫顯示出具體錯(cuò)誤位置，可進(jìn)行sql注入攻擊或關(guān)鍵字猜測(cè)攻擊,23,3.4）不安全的配置管理,分析：Config中的鏈接字符串以及用戶信息，郵件，數(shù)據(jù)存儲(chǔ)信息都需要加以保護(hù) 配置所有的安

13、全機(jī)制， 關(guān)掉所有不使用的服務(wù)， 設(shè)置角色權(quán)限帳號(hào)， 使用日志和警報(bào)。 手段：用戶使用緩沖區(qū)溢出來破壞web應(yīng)用程序的棧，通過發(fā)送特別編寫的代碼到web程序中，攻擊者可以讓web應(yīng)用程序來執(zhí)行任意代碼 例：數(shù)據(jù)庫的帳號(hào)是不是默認(rèn)為“sa”，密碼（還有端口號(hào)）是不是直接寫在配置文件里而沒有進(jìn)行加密。,24,3.5）緩沖區(qū)溢出,WEB服務(wù)器沒有對(duì)用戶提交的超長請(qǐng)求沒有進(jìn)行合適的處理，這種請(qǐng)求可能包括超長URL，超長HTTP Header域，或者是其它超長的數(shù)據(jù) 使用類似于“strcpy()，strcat()”不進(jìn)行有效位檢查的函數(shù)，惡意用戶編寫一小段程序來進(jìn)一步打開安全缺口，然后將該代碼放在緩沖區(qū)

14、有效載荷末尾，這樣，當(dāng)發(fā)生緩沖區(qū)溢出時(shí)，返回指針指向惡意代碼 用戶使用緩沖區(qū)溢出來破壞web應(yīng)用程序的棧，通過發(fā)送特別編寫的代碼到web程序中，攻擊者可以讓web應(yīng)用程序來執(zhí)行任意代碼。 如apach緩沖區(qū)溢出等錯(cuò)誤，第三方軟件也需檢測(cè),25,3.6）拒絕服務(wù),手段：超長URL，特殊目錄，超長HTTP Header域，畸形HTTP Header域或者是DOS設(shè)備文件 分析：攻擊者可以從一個(gè)主機(jī)產(chǎn)生足夠多的流量來耗盡狠多應(yīng)用程序，最終使程序陷入癱瘓。需要做負(fù)載均衡來對(duì)付。 詳細(xì)如：死亡之ping、淚滴（Teardorop）、UDP洪水（UDP Flood）、SYN洪水（SYN Flood）、La

15、nd攻擊、Smurf攻擊、Fraggle攻擊、畸形消息攻擊,26,3.7）日志完整性?？蓪徲?jì)性與可恢復(fù)性,服務(wù)器端日志：檢測(cè)系統(tǒng)運(yùn)行時(shí)是否會(huì)記錄完整的日志。 如進(jìn)行詳單查詢，檢測(cè)系統(tǒng)是否會(huì)記錄相應(yīng)的操作員、操作時(shí)間、系統(tǒng)狀態(tài)、操作事項(xiàng)、IP地址等 檢測(cè)對(duì)系統(tǒng)關(guān)鍵數(shù)據(jù)進(jìn)行增加、修改和刪除時(shí)，系統(tǒng)是否會(huì)記錄相應(yīng)的修改時(shí)間、操作人員和修改前的數(shù)據(jù)記錄。,27,工具篇,Watchfire Appscan全面自動(dòng)測(cè)試工具 Acunetix Web Vulnerability 全面自動(dòng)測(cè)試工具 ScannerHttpAnalyzerFull加載網(wǎng)頁時(shí)可判斷 TamperIESetup提交表單時(shí)改造數(shù)據(jù) 注

16、：上述工具最好安裝在虛擬機(jī)中，不影響實(shí)際機(jī)環(huán)境 Appscan、 Web Vulnerability 需安裝.net framework，可能與sniffer沖突 ScannerHttpAnalyzerFul與TamperIESetup會(huì)影響實(shí)際機(jī)瀏覽器平時(shí)的功能測(cè)試,28,（一）Watchfire Appscan,選擇模板，default（含大部分的測(cè)試集合）,29,填入用戶名與密碼（各頁面通用）,30,（二）Acunetix Web Vulnerability,選擇web scan，填寫用戶名與密碼,31,（三）ScannerHttpAnalyzerFull,嵌套在網(wǎng)頁中，對(duì)于每個(gè)加載項(xiàng)都有加載時(shí)間、method、result、type、url等,3