WEB漏洞检测与防范

常见WEB漏洞检测与防范

从攻击者角度看代码安全内容介绍:近期安全事件；目前流行攻击手段分析TOP10；WebServer解析特性；建议及演示；安全事件回顾：支付宝绕过授权登陆任意账号土豆DNS劫持；大众点评网DNS劫持韩国多家电视台银行网络瘫痪；域名注册商GoDaddy遭黑客攻击；雅虎服务器被黑45.3万份用户信息遭泄露；Web托管服务商Linode再次遭黑客入侵，信用卡和密码泄露；中国互联网上最大规模泄密事件CSDN、天涯、人人、开心等上亿用户信息泄露；黑客攻击流程：信息收集（whois、googlehacking、DNS、社工库）漏洞扫描：Appscan、AcunetixWebvulnerabilityScanner、 WebInspect漏洞利用：MSF、Sqlmap、Burpsuite权限提升：Root、SA、Exp、ARP、第三方软件密码破解：pwdump7、彩虹表、MD5、Cain清除日志：Weblog、securitylog、databaselogOWASPTOP10SQL注入脚本跨站（XSS）失效的身份认证和会话管理不安全的直接对象引用安全配置错误敏感数据暴露功能级别访问控制缺失跨站请求伪造(CSRF)使用已知易受攻击组件未验证的重定向和传递（一）SQL注入攻击：程序把用户输入的一段字符串直接用在了拼凑sql语句上，导致了用户可以控制sql语句，比如添加删除、绕过用户密码验证等。:8080/jin/new.php?id=1$q="SELECT*FROMinfoWHEREid=$_GET[id]";new.php?id=1OR1=1

$_GET['id']='1OR1=1';

$q="SELECT*FROMinfoWHEREid=1OR1=1";http://:8080/jin/new.php?id=1and1=2unionselect12,3,4,5,6,user()$id=intval($id);获取变量的整数值(二)XSS脚本跨站：XSS全称(CrossSiteScripting)跨站脚本攻击，是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的.

比如获取用户的Cookie，导航到恶意网站,携带木马等。反射型XSSReflectedXSS存储型XSSStored

XSS恶意代码存放位置地址栏数据库恶意代码效果用户点击恶意链接打开时执行恶意代码，隐蔽性差用户浏览带有恶意代码的"正常页面"时触发，隐蔽性强ABCD12Non-persistentPersistentXSS的种类划分:反射型XSS:<?php$error_message=$_GET['error'];print$error_message;?>:8080/xss/xss.php?id=“><script>alert(123)</script>:8080/xss/xss.php?id=“>javascript:alert(document.cookie)找到一个XSS点之后alert(/xss/);alert(document.cookie);输入点长度限制突破长度限制漏洞的利用XSS蠕虫盗取信息恶意请求恶意代码的隐蔽性存储型XSS（XSS盲打）:（三）CSRF(跨站请求伪造)

跨站请求伪造(cross-siterequestforgery)通常缩写为CSRF，直译为跨站请求伪造，即攻击者通过调用第三方网站的恶意脚本或者利用程序来伪造请求，当然并不需要向用户端伪装任何具有欺骗的内容，在用户不知情时攻击者直接利用用户的浏览器向攻击的应用程序提交一个已经预测好请求参数的操作数据包，利用的实质是劫持用户的会话状态，强行提交攻击者构造的具有“操作行为”的数据包。（四）文件上传漏洞：

许多攻击的第一步是先上传一些恶意代码文件，然后攻击者只需要找到一种方式来获得代码的执行权限来达到攻击的目的。使用文件上传功能有助于攻击者完成的第一个步骤。无限制的文件上传的后果各不相同，可以包括完整的系统接管、文件读写、攻击操作系统上的其他中间件。这取决于应用程序是如何进行安全配置，包括上传文件的存储位置。文件上传漏洞(演示)：<?phpif(isset($_POST['Upload'])){

$target_path=DVWA_WEB_PAGE_TO_ROOT."hackable/uploads/";$target_path=$target_path.basename($_FILES['uploaded']['name']);

if(!move_uploaded_file($_FILES['uploaded']['tmp_name'],$target_path)){

echo'<pre>';echo'上传失败.';echo'</pre>';

}else{

echo'<pre>';echo$target_path.'上传成功!';echo'</pre>';

}}?>（六）暴力破解：暴力破解是一种针对于密码的破译方法，即将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码，其可能共有10000种组合，因此最多尝试9999次就能找到正确的密码。

理论上利用这种方法可以破解任何一种密码，问题只在于如何缩短试误时间。因此有些人运用计算机来增加效率，有些人辅以字典来缩小密码组合的范围。演示：使用BurpSuite进行暴力破解<?phpif(isset($_GET['Login'])){

$user=$_GET['username'];$pass=$_GET['password'];$pass=md5($pass);$qry="SELECT*FROM`users`WHEREuser='$user'ANDpassword='$pass';";$result=mysql_query($qry)ordie('<pre>'.mysql_error().'</pre>');if($result&&mysql_num_rows($result)==1){//Getusersdetails$i=0;//Bugfix.$avatar=mysql_result($result,$i,"avatar");//LoginSuccessfulecho"<p>登陆成功，您可以进行其它操作。".$user."</p>";echo'<imgsrc="'.$avatar.'"/>';}else{//Loginfailedecho"<pre><br>用户名或者密码错误。</pre>";}mysql_close();}?>（七）代码执行漏洞

命令执行(命令注入)攻击的目的，是在易受攻击的应用程序中执行攻击者指定的命令，在这样的情况下应用程序执行了不必要的命令就相当于是攻击者得到了一个系统的Shell，攻击者可以利用它绕过系统授权，基于权限继承原则，Shell将具有和应用程序一样的权限。

针对linux系统，我们可以使用;来实行命令执行,针对windows系统，我们可以使用&&来实行命令执行。例如:&&dir<?phpif(isset($_POST['submit'])){$target=$_REQUEST['ip'];

//DetermineOSandexecutethepingcommand.if(stristr(php_uname('s'),'WindowsNT')){

$cmd=shell_exec('ping'.$target);echo'<pre>'.$cmd.'</pre>';

}else{$cmd=shell_exec('ping-c3'.$target);echo'<pre>'.$cmd.'</pre>';}}?>代码执行：（八）文件包含漏洞一些web应用程序允许用户指定输入，直接使用文件流，或允许用户上传文件到服务器。然后用户可以通过web应用程序访问这些的内容,这样做会导致Web应用程序存在恶意文件包含的漏洞。比如本地文件包含:/dvwa/fi/?page=../../../../../../etc/passwd远程文件包含:/dvwa/fi/?page=/evil.php文件包含漏洞:<?phpInclude($_GET['page']);?>:8080/file/file.php?page=../index.txt“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话……”

KevinMitnick

定律：一切输入都是有害的；$_GET,$_POST,$_COOKIE安全运维中该注意哪些？（五）webserver解析特性(演示)：IIS6:asp;.jpg.asa.cerNginx:123.jpg/1.php23.jpg%00.phpApache:123.php.111IIS文件解析漏洞：IIS文件解析IIS<7-后缀名.cer.asa.asp以*.asp为目录名，目录下文件以asp解析http:///files/a.asp/user.jpgIIS解析时被分号截断http://webconf.orange.tw/files/user.asp;aa.jpghttp://webconf.orange.tw/files/user.asp;jpghttp://webconf.orange.tw/files/user.asp;.jpguser.asp;aa.jpgApache文件解析漏洞：只要是.php.*结尾，就会被Apache服务器解析成php文件http:///files/user.php.zip如果在mime.types文件里面没有定义的扩展名在诸如x1.x2.x3的情况下，最后一个x3的没有定义，apache会给解析成倒数第二个的x2的定义的扩展名。Nginx文件解析漏洞：其实此漏洞并不是Nginx的漏洞，而是PHPPATH_INFO的漏洞。详情：/nginx-securit.html只要上传一张带有脚本木马的图片/files/user.jpg/1.php基线设置：IIS/Apache/Tomcat/Jboss/Weblogic/WebSphere/manager/html/jmx-console//console/:9080/