深信服防火墙NGAF渠道高级认证培训02-常见攻击测试-2

SANGFORNGAF常见攻击测试_2培训内容培训目标NGAF

web应用防护功能了解常见WEB应用攻击了解SQL注入了解XSS攻击掌握SQL&XSS攻击测试方法了解什么是信息泄露攻击掌握信息泄露攻击测试方法SANGFORNGAFWEB应用常见攻击SANGFORNGAF

SQL注入深信服公司简介SANGFORNGAF信息泄漏攻击SANGFORNGAFSANGFORNGAF

XSS攻击1.1常见WEB应用攻击1.2了解SQL注入1.3了解XSS攻击1.4SQL&XSS攻击测试方法1.5信息泄漏攻击1.6信息泄漏攻击测试方法NGAFWEB应用防护功能以OWASP的top10项目为例，其列出了对企业组织所面临的10项的最严重的web应用程序安全风险，由下图可以看到，注入和XSS攻击由07年直至13年始终位居前几位。1.1常见WEB应用攻击Web应用防护，主要用于保护web服务器不受攻击，导致软件服务中断或被远程控制。其常见的攻击有如下：1、SQL注入2、XSS攻击3、网页木马4、网站扫描5、WEBSHELL6、跨站请求伪造7、系统命令注入8、文件包含攻击9、目录遍历攻击10、信息泄漏攻击等等1.2了解SQL注入SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。SQL注入实际就是在web页面执行一些SQL语句来操作数据库，对于其攻击特点已经有初步认识了，要更深一步认识，需要搞清楚以下问题：1、攻击数据出现在哪里（在哪里提交、如何提交）2、什么内容才是SQL注入攻击（提交什么内容才认为是SQL注入攻击）攻击数据出现在哪里？Web提交数据一般有两种形式，一种是get，一种是post。Get的特点，提交的内容经过URI编码直接在url栏中显示，比如：Post提交的特点，提交的内容不会直接显示在url部分，会在post包的data字段中，比如：什么内容才是SQL注入攻击？

SQL注入攻击可以根据其特点分为弱特征、强特征、注入工具特征三种。

弱攻击：类似这种select

*

from

test，这个sql语句中，有两个关键字select和from执行了一个查询语句，其危险性相对强攻击较低；

强攻击：如insert

into

test

values（lmj，123）

这个语句中有三个SQL关键字insert、into、values，并且这个语句操作可能导致在test表中添加lmj这个用户，这种语句被认为是危险的；强攻击大致具备如下特征：1、包含三个及以上的SQL关键字，并且这三个关键字组合起来能够成为一条合法的SQL语句。2、包含任何的SQL关键字连词，这些连词包括union.

“;”,

and,

or等，并且采取了常用的sql注入方法来运用这些连词，如数据包中存在

and

1=1

会被认为是强特征。注入工具攻击：利用一些专业的SQL注入工具进行攻击，这些工具的攻击都是具有固定数据流特征的。1.3了解XSS攻击

XSS攻击：跨站脚本攻击(CrossSiteScripting)，XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。其主要目的通常是窃取用户信息、诱使客户访问恶意或钓鱼网站、抓取肉鸡等。XSS漏洞按照攻击利用手法的不同，有以下三种类型：类型A，本地利用漏洞类型B，反射式漏洞类型C，存储式漏洞1.4SQL&XSS测试方法以虚拟环境测试步骤为例：1、搭建网络测试环境；2、准备好工具或手工进行攻击；3、配置NGAF对WAF防御策略；4、检查NGAF攻击防护日志以及攻击方攻击情况。SQL注入测试方法，一般可以分为两种，一种是直接对客户真实环境进行扫描分析查找注入点并入侵，另外一种是搭建虚拟环境并进行演示。

两种方法各有利弊，第一种方法要求测试者拥有较高技术分析水平，并且可能会影响客户实际业务，测试成功率较低，但是也是最有说服力的。第二种方法简单易行，而且可演示实际攻击效果，测试成功率较高，主要起到演示效果作用。1、搭建网络测试环境首先搭建NGAF的测试环境。本例以较常见的透明模式部署为例。攻击方PC位于NGAF外网口方向，web服务器位于内网口方向。配置相应接口区域及放通应用控制，定义SQL注入防御策略。另外需要确保web应用防护库最新。2、准备好工具或手工进行攻击对目标站点进行攻击，一般分为两个阶段：1、信息收集；2、攻击实施。首先需要信息收集，以最普通的chrome自带开发者工具为例，直接访问网站的主页，查找服务器返回字段或源代码中包含的有用信息，例如以下图为例，服务器返回字段标明该服务器采用了IIS6.0版本架设的web站点。检查发现该网站附带了一个页面元素，是一个在线客服系统，根据提供的外链，我们可以获知该服务器还安装了乐语在线系统，由其返回的服务器字段，可知其附带了用apache-coyote/1.1搭建web站点。以上示例说明了如何获取相关的信息的的简单方法。以NGAF测试人员的身份，相对于陌生攻击者，更容易跟客户沟通获取相应的服务器信息，当然也存在客户也无法提供的资源，例如代码中的漏洞之类，则需要依赖测试人员自身去发现。总之，依靠各种手段尽可能的获取关于服务器最详细的信息，以为后续攻击提供资源。攻击实施依赖与之前的信息收集，我们已经知晓目标服务器的数据库类型、系统版本等信息，可以针对性得发起相应的攻击测试。本例中，我们采用常见的渗透分析工具IBMRationalAppscan工具来进行攻击检测。3、配置NGAF对WAF防御策略4、检查NGAF攻击防护日志以及攻击方攻击情况检查【内置数据中心】-【日志查询】-【web应用防护】日志，可以看到相关的拒绝日志信息。检查appscan扫描攻击情况：1.5信息泄露攻击与其危害信息泄露漏洞是由于在没有正确处理一些特殊文件，通过访问这些文件或者路径，可以泄露web服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息。常见的信息泄漏有：1、应用错误信息泄露；2、备份文件信息泄露；3、web服务器缺省页面信息泄露；4、敏感文件信息泄露；5、目录信息泄露。信息泄露的几种原因：1、web服务器配置存在问题2、web服务器本身存在漏洞3、web网站的脚本编写存在问题1.6信息泄露攻击测试方法测试步骤：1、搭建网络测试环境；2、配置NGAF对信息泄漏防御策略；3、进行带有信息泄漏攻击特征的操作；4、检查NGAF攻击防护日志。信息泄漏攻击的测试方法相对较简单，其实不需要server上真实存在文件，直接在AF上设置信息防泄漏策略后，按照提交网址请求文件就可以看到拒绝效果了。1、搭建网络测试环境2、配置NGAF对信息泄漏防御策略3、进行带有信息泄漏攻击特征