漏洞与企业安全实例讲解

Web漏洞与企业安全实例讲解演讲人：张祖优（youzuzhang）关于Fooying云鼎实验室安全研究员目录安全本质与黑客思维Web漏洞技巧与Fuzzing功能里的逻辑缺陷撒网式攻击与漏洞利用企业安全薄弱点与建议01安全本质与黑客思维黑客思维大家看到了什么？黑客思维什么是黑客？创造与突破，守正出奇黑客思维创造与突破黑客思维</textarea>'"><script/RqJZSMo></script>黑客思维看到框就想X黑客思维黑客手机攻击演示安全的本质安全的本质是信任的问题02Web漏洞技巧与FuzzingWeb漏洞及业务逻辑安全Web漏洞是Web安全中最主要的部分常见Web漏洞：XSSCSRF页面操作劫持SQL注入文件上传文件包含命令执行身份证认证与会话管理问题前端安全服务端安全XSS对于用户输入没有严格控制而直接输出到页面对非预期输入的信任XSSXSSXSS<h1>张祖优(Fooying)";alert(0)//<ahref="">点击抽奖</a>&type=share&from=timeline&isappinstalled=1不一样的昵称无害的昵称也是可以成为XSS

Payload<h1>张祖优(Fooying)";alert(0)//XSSXSS

注册账号个人中心复制网址退出登录访问网址生成跳转网址修改网址登录网址跳转中的规律XSSdocument.location/location

document.URL

document.URLUnencoded

deddocument.referrer

window.location#号里的秘密被改变的内容XSSCSRF请求里是否有随机码(验证码/Token)？SQL注入错误里找提示'and'1'='1SQL注入基于不同条件SQL盲注

SQL注入基于不同条件SQL盲注'RLIKESLEEP(5)AND'rgim'='rgim&pageNumber=1&pageSize=20&1&signedEndTimeStr=&signedStartTimeStr=&sid=963036975&st=F3E345E7D9F1836A&status=SQL注入网络请求SQL注入其他1、加减乘除

2、新方法新特性Web漏洞任何的输入都是有害的!03功能里的逻辑缺陷不合理的校验密码修改和找回功能短信炸弹

post:serviceName=SendForgetMsg&mobile=12345678901&accmobile=12345678901轻而易举突破的限制业务逻辑安全轻而易举突破的限制手机号注册发送短信验证码输入验证码注册成功可以使用注册手机号拨打电话四位数字任意手机号码无验证限制暴力破解最多10000次任意号码给任意人拨打电话，比如1399999999业务逻辑安全令牌可猜解业务逻辑安全轻而易举突破的限制不可信的安全来源不可信的安全来源业务逻辑安全不可信的安全来源

业务逻辑安全失效的权限控制

04撒网式攻击与漏洞利用Redis未授权访问Redis未授权访问Redis未授权访问Redis未授权访问获取系统权限Redis绑定在:6379（默认绑定在:6379）未开启验证,无需授权访问Root启动Redis方可获得Root权限条件众多，可能实际利用效果不佳？Redis未授权访问Redis未授权访问Redis未授权访问Redis未授权访问根据于2015年11月12日0点探测结果显示：总的存在无验证可直接利用Redis服务的目标全球有49099，其中中国有16477。其中已经被黑的比例分别是全球65%（3.1万），中国67.5%（1.1万）。Redis未授权访问黑暗森林方式之一：撒网攻击Redis未授权访问1600家网贷域名对应ip子域对应IPC段及子域C段测试目标Redis未授权访问Redis未授权访问思考其他NoSQLMemcached、ElasticSearch、MongoDB…比如MongoDB：至少4.7万个MongoDBIP在网络空间里暴露无口令的至少有3.8万IP，其中6.7万个DBES远程命令执行ElasticZombie

ES远程命令执行ElasticZombieES远程命令执行ElasticZombieES远程命令执行S2-045

Struts2远程命令执行摄像头路由器D-Link后门路由器D-Link后门工控工控施耐德某PLC漏洞撒网式攻击0DAY是压箱底的手段，NDAY才是黑客日常攻击所用任何的NDAY基于43亿IPv4都可以变成一个大的攻击面漏洞的修复永远不可能100%撒网式攻击2014年爆发心脏出血漏洞，探测全球存在漏洞IP数：2,433,5502015年，复查全球仍然存在漏洞IP数：377,22105企业安全薄弱点与建议企业安全的薄弱点程序员使用不靠谱的组件和工具由copy而来的相关不靠谱的模块和代码下载使用一些不靠谱的研发工具2012年Putty中文版后门事件2015年XCode后门事件企业安全的薄弱点不安全的密码与账号弱口令弱口令指的是容易被猜解到的密码，如123456根据数据显示，黑客入侵途径中，Web漏洞占据第一，而第二就是弱口令可预测用户名和密码很多系统会给用户设置初始的账号和密码，并且是可预测的，这点可以被黑客利用企业安全的薄弱点不规范的模块开发14年OAuth漏洞企业安全的薄弱点不安全的更新源使用一些靠谱的源、官方源做正确的md5校验不要轻易更新企业安全的薄弱点Github

Hack企业安全的薄弱点邮箱/网盘Hack邮箱里的私密文件、代码通过网盘中转的机密文件企业安全的薄弱点爆发的通用漏洞14年心脏出血漏洞破壳漏洞S2-045

Struts2漏洞安全建议与方案人员职权分离给最低的权限，每个的权限足够清晰明确小心内鬼服务器分离研发和线上环境服务器分离服务器各司其职，控制服务器间访问内网分离内网服务不要开放到外网局域网间服务访问不要开放外网权限安全建议与方案账号权限分离服务器尽可能采用公私钥方式登录不同账号限制不同的权限人员离职删除相关权限文件目录分离文件/目录命名优美文件/目前权限限定好，不该给写和执行的权限不要给代码分离代码松耦合代码能编译则编译到线上使用不