web常見漏洞與挖掘技巧.ppt

1、WEB常見漏洞與挖掘技巧研究,廣東動易網(wǎng)絡(luò)吳建亮,Jannockwooyun,目錄,WEB常見漏洞及案例分析 WEB常見漏洞挖掘技巧 新型WEB防火墻可行性分析 Q/A,WEB常見漏洞及案例分析,SQL注入 XSS/CSRF 文件上傳 任意文件下載 越權(quán)問題 其它,SQL注入,產(chǎn)生SQL注入的主要原因是SQL語句的拼接,近一個月，我在烏云上提交的SQL注入類型,具體可以看一下： /whitehats/Jannock SQL注入是最常見，所以也是我在烏云上提交得最多的一種漏洞。 而這些注入漏洞中，大部分是完全沒有安全意識（防注意識）而造成的。 只有少數(shù)才是

2、因為編碼過濾或比較隱蔽而造成的注入。 從另一個角度來說，目前大家對SQL注入還是不夠重視，或者是開發(fā) 人員對SQL注入的了解還不夠深刻。,案例：經(jīng)典的萬能密碼,網(wǎng)站萬能密碼相信大家都不陌生。 但有沒有想到這萬能密碼會出現(xiàn)在某安全公司的內(nèi)部網(wǎng)站上？ 不過安全公司不重視安全，出現(xiàn)低級的安全漏洞，在烏云上也不見少數(shù)。,第一次發(fā)現(xiàn)時，直接是 用戶名：admin or = 密碼：任意 進入后臺。 報告給官方后，官方的處理方式是直接加一個防火墻了事。（這種情況在烏云遇到過 幾次，可能是不太重視的原因。）,防注與繞過從來就是一對天敵，一個通用的防火墻很難針對任何一處都做到安全， 只想跟廠商說一句，防注，參數(shù)

3、化難道真那么難？代碼過濾一下比加一道防火墻困難么？,繞過技巧：在firebug 下，把用戶名的 input 改成 textarea ，為繞過輸入特殊字符作準(zhǔn)備,其實就是回車繞過防火墻規(guī)則的檢測,再次成功進入后臺。,SQL注入關(guān)鍵字,參數(shù)化查詢 過濾(白名單) 編碼(繞過防注、過濾) MySQL寬字節(jié)(繞過addshalshes) 二次注入(任何輸入都是有害) 容錯處理(暴錯注入) 最小權(quán)限（目前，非常多root，見烏云）,XSS/CSRF,跨站腳本、跨站請求偽造 造成的危害不可少看 實戰(zhàn)中大部分無法突破的往往都是從XSS開始， XSS會給你帶來不少驚喜。 案例：跨站腳本拿下某團購網(wǎng),跨站腳本拿

4、下某團購網(wǎng),某次授權(quán)檢測一團購網(wǎng)，就是那種十分簡單的團購網(wǎng)站，前臺功能不多，基本都是靜態(tài)或者是偽靜態(tài)，無從入手。然后看到有一個鏈接到論壇的一個團購心得版塊，于是想到，能不能XSS呢。 于是在論壇發(fā)一個貼，帶上跨站腳本。,數(shù)分鐘過后，腳本返回了某管理員的cookie信息，后臺路徑居然也記錄在cookie那里去了，這就是跨站腳本帶來的驚喜。,后面就順利了，直接欺騙進入后臺，掃描后臺可以拿SHELL的地方，直接獲得SHELL,XSS/CSRF關(guān)鍵字,編碼（不需要支持HTML的地方編碼輸出） 過濾（過濾有危害的腳本） HttpOnly (防止cookie被盜取) 防CSRF常用方法 Token（生成表

5、單同時生成token，提交時驗證token） 驗證碼（重要操作可以加入） 檢查referer,文件上傳,常見案例情況 1）無防范（直接任意文件上傳） 2）客戶端檢查 3）服務(wù)端只檢查MIME 4）服務(wù)端保存原文件名 5）服務(wù)端保存路徑由客戶端傳送 6）上傳檢查邏輯錯誤,簡單找了一下烏云上的一些案例,/bugs/wooyun-2010-02706 服務(wù)端只檢查MIME HDwiki文件上傳導(dǎo)致遠程代碼執(zhí)行漏洞 /bugs/wooyun-2012-06775 客戶端檢查 對36氪的一次滲透測試 http:/www.wo

6、/bugs/wooyun-2012-06870 支付寶某頻道任意文件上傳漏洞 /bugs/wooyun-2012-07463 騰訊某分站任意文件上傳漏洞 /bugs/wooyun-2012-07914 服務(wù)端保存路徑由客戶端傳送 騰訊某分站任意文件上傳漏洞 /bugs/wooyun-2012-06517 江民病毒上報分站真能上傳（病毒） /bugs/wooyun-2012-06749 上傳檢查邏輯錯誤 再暴用友ICC網(wǎng)站

7、客服系統(tǒng)任意文件上傳漏洞,文件上傳關(guān)鍵字,服務(wù)端 文件后輟白名單 文件名注意“;”(IIS6解釋漏洞) 文件名注意多“.”(某些apache版本解釋漏洞，如 x.php.jpg) 保存路徑注意 “.asp”目錄 （IIS6解釋漏洞） 截斷 (常見于asp),在開發(fā)中，由于比較多的情況是上傳文件后輟由客戶來配置，為了防配置錯誤或后臺拿Shell等情況，所以很多時候為了安全問題，隱藏文件真實路徑，這樣即使上傳了可執(zhí)行的腳本類型，但找不到真實的上傳路徑，也是徒勞無功。 但這樣往往又會引起“任意文件下載”漏洞。,任意文件下載,以讀取方式輸出文件內(nèi)容，有可能存在任意文件下載漏洞。 常見的情況有兩種 1）

8、直接傳路徑 2）數(shù)據(jù)庫儲存路徑,直接傳路徑型任意文件下載案例,/bugs/wooyun-2012-07326 騰訊某子站文件包含后續(xù)引發(fā)任意文件下載 ,/bugs/wooyun-2012-07696 騰訊某子站任意文件下載 :8080/picview?b=idpic&filename=./././././. /./././etc/passwd%00.png,/bugs/wooyun-2012-06912 淘寶網(wǎng)招聘頻道任意文件下載 etc/passwd%00&genFileN

9、ame=132000301eba4605f4c82b137babd890ed1c40593.zip,數(shù)據(jù)庫儲存路徑型任意文件下載案例,/bugs/wooyun-2012-07709 支付寶某子站任意文件下載漏洞,任意文件下載關(guān)鍵字,注意“.”字符(確保操作是在指定目錄下，防止轉(zhuǎn)跳到別的目錄) 文件類型 （確保下載的文件類型正確） 路徑截斷（常見于jsp，asp）,越權(quán)問題,越權(quán)操作一般是查看，修改或刪除別人的信息，當(dāng)然還有其它更大的危害，常見于后臺的情況比較多。 前臺一般越權(quán)問題常見于信息泄漏，如訂單數(shù)據(jù)泄漏等，開發(fā)中比較常見的安全問題。,烏云越權(quán)案例:

10、 通過修改地址中的ID，越權(quán)操作別人的信息,/bugs/wooyun-2010-05255 凡客誠品訂單泄漏漏洞 /bugs/wooyun-2012-04853 搜狐招聘查看任意用戶簡歷 /bugs/wooyun-2012-05390 丁香人才任意簡歷查看越權(quán) /bugs/wooyun-2011-03276 京東商城我的投訴查看信息越權(quán) /bugs/wooyun-2011-01399 起點中文網(wǎng)網(wǎng)

11、絡(luò)收藏夾越權(quán),越權(quán)問題關(guān)鍵字,信息ID+用戶ID （查看，修改，刪除等操作，必須帶上用戶ID，檢查用戶是否有這個權(quán)限操作）,如想了解更多開發(fā)中要注意的安全問題，可以下載動易安全開發(fā)手冊 基于.NET 2.0 的網(wǎng)站系統(tǒng)開發(fā)注意到的安全問題。 下載地址： ,WEB常見漏洞挖掘技巧,白盒測試(代碼審計) 黑盒測試(功能測試、Google Hacker、工具掃描) 基于漏洞庫的漏洞挖掘,經(jīng)過前面對WEB常見漏洞的分析，我們可以總結(jié)一下漏洞挖掘的一些技巧。,白盒測試,常用工具 1、源代碼閱讀/搜索工具 2、WEB測試環(huán)境,由于開發(fā).net的關(guān)系，個人習(xí)慣Vs2010,在代碼審計方面，很多大牛也發(fā)表過很

12、多相關(guān)的技術(shù)文章，印象中最深刻是那篇高級PHP應(yīng)用程序漏洞審核技術(shù)確實能夠快速得找到常見漏洞，不過要找更深層的漏洞，必須了解程序的整體架構(gòu)，每一個小地方都有可能引起安全問題。 由于時間關(guān)系，下面主要分享一下，SQL注入審計常用方法,SQL注入代碼審計關(guān)鍵字,SQL注入 1、搜索 order by、in(、like 2、深入搜索 select update delete 3、注意SQL拼接的地方，進入的變量是否有過濾處理（如果應(yīng)用程序有統(tǒng)一的變量處理，也可以逆向查找能繞過的變量，如編碼的地方： 關(guān)鍵decode、 stripcslashes等 ） 烏云案例 http:/www.wooyun.or

13、g/bugs/wooyun-2011-01725 DiscuzX1.5 有權(quán)限SQL注入BUG /bugs/wooyun-2011-02330 Discuz! X2 SQL注射漏洞,案例1、記事狗SQL注入 記事狗微博系統(tǒng)是一套創(chuàng)新的互動社區(qū)系統(tǒng)，其以微博為核心，兼有輕博、SNS和BBS 特點，既可用來獨立建站也可通過Ucenter與已有網(wǎng)站無縫整合，通過微博評論模塊、 關(guān)注轉(zhuǎn)發(fā)機制打通全站的信息流、關(guān)系流，可大幅度提高網(wǎng)站用戶活躍度和參與度， 是新時代網(wǎng)站運營不可或缺的系統(tǒng)。 同樣，搜 索 select ，注意SQL拼接的地方 modulesajaxm

14、ember.mod.php,由于記事狗也加上IDS，但顯然，默認規(guī)則是比較弱，依然可以盲注,ajax.php?mod=member&code=sel&province=1 and ascii(substr(select password from mysql.user limit 0,1),1,1)60,案例2、supesite 6.x-7.0 注入 SupeSite是一套擁有獨立的內(nèi)容管理(CMS)功能，并集成了Web2.0社區(qū)個人門戶系統(tǒng)X-Space ，擁有強大的聚合功能的社區(qū)門戶系統(tǒng)。 SupeSite可以實現(xiàn)對站內(nèi)的論壇(Discuz!)、 個人空間(X-Space)信息進行內(nèi)容聚合

15、。任何站長，都可以通過SupeSite， 輕松構(gòu)建一個面向Web2.0的社區(qū)門戶。,搜索UPDATE ，注意進入SQL的參數(shù) viewcomment.php,注意參數(shù) rates ,直接的SQL語句拼接。,從代碼可以看出存在注入，利用： 打開一篇資訊評論的地方 ,提交評論，程序即暴錯，可以利用暴錯注入來獲取想要的數(shù)據(jù)。,黑盒測試,常用工具 1、瀏覽器 (Firefox) 2、FireBUG+Firecookie 3、Google,黑盒測試也是前面所介紹的漏洞注意的關(guān)鍵字和經(jīng)驗所形成的條件反應(yīng)。 檢查一個功能是否存在安全問題，通常都是通過非正常方式提交非法參數(shù)，根據(jù)返回的信息來判斷問題是否存在。

16、如注入的地方常常提交“ ”。 fireBug是一個很好的工具，可以直觀地編輯HTML元素，繞過客戶客的驗證等，還可以通過查詢網(wǎng)絡(luò)請求，看是否存在Ajax的請求，經(jīng)驗告訴我們，Ajax比較容易出現(xiàn)漏洞。,烏云案例： /bugs/wooyun-2012-08178 騰訊某頻道root注入 案例中就是修改日志時，發(fā)現(xiàn)存在ajax請求，再修改請求中的參數(shù)，發(fā)現(xiàn)了注入的存在。,Google Hacker,再說一下Google Hacker Google Hacker在百度百科的介紹 很多人問我，我的google搜索是不是還有其它技巧，其實也是和上面百科介紹的差不多

17、，也是常 用 site: inurl:admin filetype:php intitle:管理 如搜上傳 site: inurl:upload / site: intitle:上傳 等 不過還有一點百科好像沒有提到，就是當(dāng)有很多結(jié)果時，我想排除一部分搜索結(jié)果。 可以用 “ - ”,44,像搜索： site: filetype:php 會有很多微博的，我想排除這些結(jié)果。,可以這樣搜: site: filetype:php -t. 出來的結(jié)果就沒有了微博的內(nèi)容了。,基于漏洞庫的漏洞挖掘,這個容易理解，通過對漏洞庫的學(xué)習(xí)和了解，可以挖掘更多同類型的漏洞，像烏云的漏洞庫。,烏云案例： http:/w

18、/tags/支付安全,烏云案例： /search.php?q=密碼修改,還有 ThinkPHP 遠程代碼執(zhí)行 Struts2 框架遠程命令執(zhí)行 等。 在這里感謝烏云為互聯(lián)網(wǎng)安全研究者提供一個公益、學(xué)習(xí)、交流和研究的平臺。,新型WEB防火墻可行性分析,我們再看這個圖，有個問題，對于這樣的大站，在上線之前或者平時，相信 也有很多人用各種漏洞掃描工具掃描，為什么工具不能掃描出這種相對明顯 的“數(shù)字/字符型”的注入點呢？,我們回看這些注入的地方，發(fā)現(xiàn)大部分注入點都是Ajax請求，一般來說，我們了解的漏洞掃描工具都是以爬蟲式的偏列頁面的地址，但對于這種Ajax或者是Javascript觸發(fā)的請求，漏洞掃描工具就顯得無力了。 弱點：知道漏洞類型，但不知道有那些請求,我們再回看注入案例中的WEB防火墻，簡單的換行就能繞過檢查規(guī)則？ 為什么呢？,傳統(tǒng)WEB防火墻，只能針對規(guī)則攔截，即針對參數(shù)中是否存在某些危險關(guān)鍵字，如：select from，union select 等。但他不知道這個請求是否存在漏洞，什么漏洞？ 所以存在過慮不完整