Web漏洞原理及检测-v.ppt

1、Web漏洞原理及检测,案例,目录,常见Web漏洞介绍 漏洞检测策略 安全中心的支持,目录,常见Web漏洞介绍 SQL XSS CSRF 跳转 信息泄漏,目录,常见Web漏洞介绍 SQL XSS CSRF 跳转 信息泄漏,SQL注入漏洞,SQL注入漏洞是由于对用户输入的参数未作处理就带入SQL语句中导致的,or 1=1,SQL注入形式,SQL注入漏洞常见的三种形式 整数型：select * from table where id=10 字符型：select * from table where id=10 搜索型：select * from table where id like %10% 针对

2、SQL注入漏洞的三种形式的测试用例 整数型：select * from table where id=10 or 1=1 字符型：select * from table where id=10 or 1=1 搜索型：select * from table where id like %10% or %=,SQL注入解决方案,你如何防止SQL注入呢,目录,常见Web漏洞介绍 SQL XSS CSRF 跳转 信息泄漏,XSS漏洞,Q：我中奖了吗,XSS漏洞,XSS是跨站脚本（Cross Site Scripting）的简写。简言之，XSS注入是指黑客能够注入恶意代码到网页使得正常用户执行恶意代码

3、危害：恶意代码在客户端浏览器执行 XSS分类：持久型、非持久型,持久型XSS,恶意代码存储到DB，每次访问该页面就会执行,非持久型XSS,恶意代码不保存在服务器端，每次都需用户访问构造的特殊URL,XSS的危害,会话劫持（他人付帐漏洞） 钓鱼 冒充用户身份 网页挂马 XSS蠕虫,XSS的解决方案,XSS的解决方案,如果允许用户输入富文本，比如发表Qqzone的日志，这个时候又该怎么保证安全呢？ XSS注入变形多样化 （普通的攻击） （tab分隔） （tab实体分隔） （回车实体分隔） （全部是实体） （关于这个攻击代码的变化还有很多是的，很多,XSS漏洞的测试,XSS Cheat Sheet

4、/xss.html,目录,常见Web漏洞介绍 SQL XSS CSRF 跳转 信息泄漏,CSRF漏洞,Cross-Site Request Forgery，跨站请求伪造，指通过HTML、JS或者flash等载体控制浏览器使用当前会话向Web程序发送请求的攻击方式,CSRF漏洞,安全解决方案 验证码： 让用户手工输入验证码 Referer：验证HTTP请求来源 Form token：在表单中增加随机token,目录,常见Web漏洞介绍 SQL XSS CSRF 跳转 信息泄漏,跳转漏洞,跳转解决方案,在跳转之前一定要验证跳转的目标地址是否为合法站点，如果不是则

5、不进行跳转，而是到错误页面或者指定的页面,目录,常见Web漏洞介绍 SQL XSS CSRF 跳转 测试页面 信息泄漏,测试页面,主要包含以下几个方面 测试文件 Bak文件 .svn/entries 解决方案 不要将测试无关的文件同步到外网,目录,常见Web漏洞介绍 XSS CSRF 跳转 测试页面 信息泄漏,信息泄漏,针对恶意用户的请求，server端返回了过多的错误详情 解决方案： 不要将错误的信息回显给用户，而改用统一的出错信息，比如“系统繁忙，请稍后再试,目录,常见Web漏洞介绍 CSRF 跳转 测试页面 信息泄漏 目录遍历,目录遍历,解决方案： 修改webserver的配置,目录,常

6、见Web漏洞介绍 跳转 测试页面 信息泄漏 目录遍历 后台,管理后台,用户密码存在弱口令 管理后台直接放在外网,管理后台的解决方案,不要将管理后台开放在外网， 如果确实需要，请将后台移动到合作专区，并且加入ip访问限制，增加复杂的帐户名密码，验证码,目录,常见Web漏洞介绍 测试页面 信息泄漏 目录遍历 后台 上传漏洞,上传漏洞,原因：接收上传文件的程序未做合法性校验 危害： 1）直接上传PHP/JSP等脚本，黑客直接上传Web后门控制服务器（PHPSpy等） 2）上传非图片格式的图片后缀文件：黑客上传HTML、Flash等格式的.jpg文件配合CSRF漏洞进行攻击 安全最佳实践：判断文件协议

7、头和后缀,目录,常见Web漏洞介绍 信息泄漏 目录遍历 后台 上传漏洞 Info,INFO漏洞,INFO漏洞是CGI把输入的参数原样输出到页面 最佳安全实践：不要将用户的输入原样输出，而是采用case语句的形式给用户进行选择,目录,常见Web漏洞介绍 目录遍历 后台 上传漏洞 Info 第三方模板,第三方web模板的潜在威胁,第三方模版的引入就会增加站点的不可控性，如果第三方有漏洞，自身就也会被黑客利用。 最佳安全实践：不用第三方模版,目录,常见Web漏洞介绍 漏洞检测策略 安全中心的支持,漏洞检测策略,踩点准备，摸清流程 寻找带参数的CGI程序 提交各种BT的参数，看它如何反应 区分程序异常与正常的参数校验 使用网络工具辅助分析 使用专业扫描器缩小目标 由此及彼的推测：同一个程序员写的程序，可能会犯同样的毛病 旁敲侧击：同域不同主机上的应用 Google Hacking技术,目录,Web安全现状 常见Web漏洞介绍 漏洞检测策略