Web应用安全技术原理与实践 课件 第9章 HTTP协议相关漏洞原理

Web应用安全第九章HTTP协议相关漏洞原理2HTTP协议攻击HTTP请求和响应如果攻击者可以影响HTTP协议的首部信息，结果会如何？什么场景，攻击者可以影响HTTP协议首部信息？3HTTP协议攻击单点登录SSO（SingleSignOn）--simple_sso跳转到业务系统时，需要指定URL使用header函数实现跳转4HTTP协议攻击单点登录SSO（SingleSignOn）--simple_sso跳转地址自动登录，无需登录5HTTP协议攻击攻击示例1：修改返回地址URL步骤1：攻击者冒充“我爱读书系统”，请求登录/httpx/url_attacker.php步骤2：跳转到SSO，修改返回地址URL到恶意链接6HTTP协议攻击攻击示例1：修改返回地址URL步骤3：攻击者获取返回的Token，并虚假报告登录信息错误，引导用户继续输入账号信息步骤4：窃取登录账号信息，并跳转到正常登录页面7HTTP协议攻击攻击示例2：CRLF注入，可以实现首部信息注入或添加HTML文档任意内容<?php$str=$_GET['str'];header("Location:{$str}");?>?str=%0d%0a%0d%0ahaha2008需要将PHP版本调整为PHP5.1.1及以下版本HTTP响应切分攻击8HTTP协议攻击HTTP协议参数污染（HTTPParameterPollution,HPP）当同名参数存在时，不同Web服务器处理时，存在差异性，这些差异性可能带来安全问题，这个问题称呼HTTP协议参数污染问题9HTTP协议攻击HTTP协议参数污染/httpx/moreparas.php?name=zhangsan&name=lisi攻击场景FlaskWeb接收第一个参数，并过滤包含name=lisi的请求10HTTP协议攻击防护方法禁止在构造首部的信息中，包含了CRLF等危险字符，如PHP语言的header函数已经实现了该防护方法严格验证外部输入数据针对HPP问题，对所有的数据进行过滤11HTTP协议会话攻击会话ID号ClientWebServerPage1Page2①②产生SessionID生成Session变量验证SessionID操作Session变量会话ID号，可以看做用户的身份凭证，围绕会话ID号的攻击是HTTP协议攻击的主要类型之一会话ID号窃取攻击会话ID号12HTTP协议会话攻击会话ID号窃取攻击方法1：通过Burpsuite修改PHPSESSID的值方法2：通过浏览器插件修改PHPSESSID的值技术关键点：如何得到会话ID号码？13HTTP协议会话攻击会话ID号固定会话固定是指用户可以指定系统会话ID号应用场景：当用户所使用设备不支持Cookie方式时（如手机等），需要使用指定会话ID号的方式实现会话功能if(!empty($_GET['sid'])){session_id($_GET['sid']);}/ebank2023/index.php?sid=abc攻击方法：构造固定会话ID的链接，让用户点击链接14HTTP协议会话攻击会话ID号爆破/猜测当生成的会话ID号码生成非常简单的话，则可能被攻击者暴力破解或者猜测。//ID号生成算法$chars='0123456789';//候选字符集$token=substr(str_shuffle($chars),0,3);//随机3位session_id($token);15HTTP协议会话攻击会话ID号爆破16HTTP协议会话攻击CSRF攻击一个例子-Ebank2023/ebank2023/合法用户1001/123456登录合法用户执行转账操作17HTTP协议会话攻击CSRF攻击一个例子-Ebank2023合法用户未退出Ebank2023系统的前提下，访问了恶意链接/httpx/csrf.html点击ClickHere!!，攻击发生合法账户余额减少了100!18HTTP协议会话攻击CSRF攻击一个例子-Ebank2023正常转账数据分析分析结论：攻击者需要使用被攻击者的本地浏览器发送一个HTTP转账请求—AJAX请求转账URL合法用户凭证攻击者未知/本地保存，随HTTP请求发送转账对方账号和钱数19HTTP协议会话攻击CSRF攻击一个例子-Ebank2023攻击代码需要根据目标URL进行修改用户退出登录时，再执行该代码试试？效果如何？分析一下原因？20HTTP协议会话攻击CSRF攻击的一般过程①⑤伪造请求ID=xxx②ID=xxx③④伪造请求攻击者被攻击者Web应用系统①被攻击者使用其合法账户信息登录Web应用系统。②Web应用系统在检查账户信息后，登录成功，并给被攻击者返回一个会话ID=xxx，以表示登录成功状态信息。③被攻击者在未退出Web应用系统的情况下，访问攻击者所控制的恶意Web网页。④攻击者在返回的Web网页中嵌入恶意脚本，这段脚本能够发起对Web应用系统的HTTP请求。⑤恶意脚本在被攻击者的浏览器上执行，发送伪造的HTTP请求到Web应用系统，同时自动捎带会话ID=xxx，请求操作成功。21HTTP协议会话攻击防护方法针对会话ID窃取攻击使用安全通道传输会话ID，如HTTPS不允许JavaScript代码读取会话ID号码，如设置Cookie的httponly属性等针对会话ID固定攻击不使用用户指定的会话ID号在适当的时机（如用户登录后），更换新的会话ID号码针对会话ID暴力破解/猜测使用健壮的会话ID号生成算法尽量使用系统缺省生成的