版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、SANGFOR NGAF 常见攻击测试_2培训内容培训目标NGAF web应用防护功能了解常见WEB应用攻击了解SQL注入了解XSS攻击掌握SQL&XSS攻击测试方法了解什么是信息泄露攻击掌握信息泄露攻击测试方法SANGFOR NGAF WEB应用常见攻击SANGFOR NGAF SQL注入深信服公司简介SANGFOR NGAF 信息泄漏攻击SANGFOR NGAFSANGFOR NGAF XSS攻击1.1 常见WEB应用攻击1.2 了解SQL注入1.3 了解XSS攻击1.4 SQL&XSS攻击测试方法1.5 信息泄漏攻击1.6 信息泄漏攻击测试方法NGAF WEB应用防护功能
2、 以OWASP的top 10项目为例,其列出了对企业组织所面临的10项的最严重的web应用程序安全风险,由下图可以看到,注入和XSS攻击由07年直至13年始终位居前几位。1.1 常见WEB应用攻击Web应用防护,主要用于保护web服务器不受攻击,导致软件服务中断或被远程控制。其常见的攻击有如下:1、SQL注入2、XSS攻击3、网页木马4、网站扫描5、WEBSHELL6、跨站请求伪造7、系统命令注入8、文件包含攻击9、目录遍历攻击10、信息泄漏攻击等等1.2 了解SQL注入 SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命
3、令。SQL注入实际就是在web页面执行一些SQL语句来操作数据库,对于其攻击特点已经有初步认识了,要更深一步认识,需要搞清楚以下问题:1、攻击数据出现在哪里(在哪里提交、如何提交)2、什么内容才是SQL注入攻击(提交什么内容才认为是SQL注入攻击)攻击数据出现在哪里?Web提交数据一般有两种形式,一种是get,一种是post。Get的特点,提交的内容经过URI编码直接在url栏中显示,比如:Post提交的特点,提交的内容不会直接显示在url部分,会在post包的data字段中,比如:什么内容才是SQL注入攻击? SQL注入攻击可以根据其特点分为弱特征、强特征、注入工具特征三种。 弱攻击:类似这
4、种select * from test,这个sql语句中,有两个关键字select和from执行了一个查询语句,其危险性相对强攻击较低; 强攻击:如insert into test values(lmj,123) 这个语句中有三个SQL关键字insert、into、values,并且这个语句操作可能导致在test表中添加lmj这个用户,这种语句被认为是危险的;强攻击大致具备如下特征:1、包含三个及以上的SQL关键字,并且这三个关键字组合起来能够成为一条合法的SQL语句。2、包含任何的SQL关键字连词,这些连词包括union. “;”, and, or等,并且采取了常用的sql注入方法来运用这些
5、连词,如数据包中存在 and 1=1 会被认为是强特征。 注入工具攻击:利用一些专业的SQL注入工具进行攻击,这些工具的攻击都是具有固定数据流特征的。1.3 了解XSS攻击XSS攻击:跨站脚本攻击(Cross Site Scripting),XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。其主要目的通常是窃取用户信息、诱使客户访问恶意或钓鱼网站、抓取肉鸡等。XSS漏洞按照攻击利用手法的不同,有以下三种类型:类型A,本地利用漏洞类型B,反射式漏洞类型C,存储式漏洞1.4 SQL&XSS测试方法以虚拟环境测试步骤为例:1、搭建
6、网络测试环境;2、准备好工具或手工进行攻击;3、配置NGAF对WAF防御策略;4、检查NGAF攻击防护日志以及攻击方攻击情况。 SQL注入测试方法,一般可以分为两种,一种是直接对客户真实环境进行扫描分析查找注入点并入侵,另外一种是搭建虚拟环境并进行演示。 两种方法各有利弊,第一种方法要求测试者拥有较高技术分析水平,并且可能会影响客户实际业务,测试成功率较低,但是也是最有说服力的。第二种方法简单易行,而且可演示实际攻击效果,测试成功率较高,主要起到演示效果作用。1、搭建网络测试环境首先搭建NGAF的测试环境。本例以较常见的透明模式部署为例。攻击方PC位于NGAF外网口方向,web服务器位于内网口
7、方向。配置相应接口区域及放通应用控制,定义SQL注入防御策略。另外需要确保web应用防护库最新。2、准备好工具或手工进行攻击对目标站点进行攻击,一般分为两个阶段:1、信息收集;2、攻击实施。首先需要信息收集,以最普通的chrome自带开发者工具为例,直接访问网站的主页,查找服务器返回字段或源代码中包含的有用信息,例如以下图为例,服务器返回字段标明该服务器采用了IIS6.0版本架设的web站点。检查发现该网站附带了一个页面元素,是一个在线客服系统,根据提供的外链,我们可以获知该服务器还安装了乐语在线系统,由其返回的服务器字段,可知其附带了用apache-coyote/1.1搭建web站点。以上示
8、例说明了如何获取相关的信息的的简单方法。以NGAF测试人员的身份,相对于陌生攻击者,更容易跟客户沟通获取相应的服务器信息,当然也存在客户也无法提供的资源,例如代码中的漏洞之类,则需要依赖测试人员自身去发现。总之,依靠各种手段尽可能的获取关于服务器最详细的信息,以为后续攻击提供资源。攻击实施依赖与之前的信息收集,我们已经知晓目标服务器的数据库类型、系统版本等信息,可以针对性得发起相应的攻击测试。本例中,我们采用常见的渗透分析工具IBM Rational Appscan工具来进行攻击检测。3、配置NGAF对WAF防御策略4、检查NGAF攻击防护日志以及攻击方攻击情况检查【内置数据中心】-【日志查询
9、】-【web应用防护】日志,可以看到相关的拒绝日志信息。检查appscan扫描攻击情况:1.5 信息泄露攻击与其危害 信息泄露漏洞是由于在没有正确处理一些特殊文件,通过访问这些文件或者路径,可以泄露web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息。常见的信息泄漏有:1、应用错误信息泄露;2、备份文件信息泄露;3、web服务器缺省页面信息泄露;4、敏感文件信息泄露;5、目录信息泄露。信息泄露的几种原因:1、web服务器配置存在问题2、web服务器本身存在漏洞3、web网站的脚本编写存在问题1.6 信息泄露攻击测试方法测试步骤:1、搭建网络测试环境;2、配置NGAF对信息泄
10、漏防御策略;3、进行带有信息泄漏攻击特征的操作;4、检查NGAF攻击防护日志。 信息泄漏攻击的测试方法相对较简单,其实不需要server上真实存在文件,直接在AF上设置信息防泄漏策略后,按照提交网址请求文件就可以看到拒绝效果了。1、搭建网络测试环境2、配置NGAF对信息泄漏防御策略3、进行带有信息泄漏攻击特征的操作例如对服务器地址下载特定后缀的文件,在url栏输入00/passwd.bak4、检查NGAF攻击防护日志检查【内置数据中心】-【日志查询】-【web应用防护】日志,可以看到相关的拒绝日志信息。NGAF WEB应用防护功能误判排除方法方法一:在WEBUI的【服务器保护】-【WEB应用防护】-“例外” URL参数排除后,WEB应用防护的网站攻击检测将跳过这些参数的检查。主要用于正常业务下某些请求参数因携带特征串而被检测为攻击的情况,可以只针对这些参数排除。2.1 NGAF WEB应用防护误判排除方法二:在AF的内置数据中心中【日志查询】-【WEB应用防护】在查询的日志中找出
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025年月招商引资工作计划范文
- 初中七年级班主任计划
- 高一数学函数应用教学计划模板
- 2025医院护士长下半年工作计划
- 石幢社区二〇一一年退管工作计划
- 企业文化工作计划
- 2025秋季农村小学德育工作计划
- 六年级教师教学计划
- 有关心理健康教育工作计划范文
- 《行政立法行为》课件
- 河道整治工程运营维护方案
- 2023超星尔雅《艺术鉴赏》期末考试答案
- 2023年煤矿安全管理人员考试题库附答案
- 普通物理学第七版 第十四章 激光和固体的量子理论简介
- MSA-测量系统分析模板
- 《MCGS嵌入版组态应用技术》期末试卷及答案
- 岗位职等职级及对应薪酬表
- 计量基础知识试卷三附有答案
- 银行安全保卫工作知识考试题库(浓缩500题)
- 吉利NPDS流程和PPAP介绍
- 男朋友无偿赠与车辆协议书怎么写
评论
0/150
提交评论