工业互联网安全 课件 任务2 工业互联网应用漏洞利用

任务2工业互联网应用漏洞利用文件包含漏洞是由攻击者向Web服务器发送请求时，在URL中添加非法参数，Web服务器端程序变量过滤不严，把非法的文件名作为参数处理。这些非法的文件名可以是服务器本地的某个文件，也可以是远端的某个恶意文件。由于这种漏洞是由PHP变量过滤不严导致的，所以以只有基于PHP开发的Web应用程序才有可能存在文件包含漏洞。任务描述本任务实现利用phpMyAdmin文件包含漏洞，远程访问了网站目录下的某文件，掌握文件包含漏洞的攻击方法以及防御措施。工业应用软件的信息安全脆弱性1①工业应用软件的注入攻击，除了传统的SQL、OS与LDAP注入之外，应特别关注NoSQL注入以及专用工业通信协议的注入。攻击者可将恶意数据或者不受信任的数据或指令，注入到控制命令或者查询指令当中，诱使解析系统在未授权或者不当授权的情况下，执行非预期访问或者命令。②身份认证失效问题，比如在工业微服务当中就采用了多种解决身份认证及会话管理的方法，这些方法显然对工业应用软件仍适用。知识导入工业应用软件的信息安全脆弱性1③敏感数据泄露问题，多由应用程序及API产生，应从工业数据自身及使用各环节来保证安全。④攻击者能够引用XML文件的外部实体，盗用统一资源标识符（UniformResourceIdentifier，URI）文件处理器内部文件与共享文件、监听内部扫描端口、执行远程代码并进行DoS攻击。知识导入工业应用软件的信息安全脆弱性1⑤访问控制不当也是工业应用软件面临的主要威胁之一，可以根据具体情况选用RBAC、RAAC等细粒度访问控制机制来解决。⑥安全配置错误在工业应用中极为常见，许多工控设备采取缺省配置、临时配置，而这些配置通常安全性较差，在工业云存储中体现的也较为明显。知识导入工业应用软件的信息安全脆弱性1⑦工业应用软件面临的跨站脚本攻击也比较严重，工业Web中含有未受信任的数据，或者数据未经恰当转义或者验证时，就可能导致XSS攻击。另一种情况是，采用可创建JS、HTML的浏览器应用程序接口实现Web升级时，可在被攻击目标浏览器当中，执行恶意脚本并劫持用户会话、攻击Web或令用户重定向至恶意URL。⑧很多工业数据具有鲜明的时间序列化特征，但不安全的反序列化可为注入攻击、重放攻击、权限提升攻击甚至是远程代码执行提供可能。知识导入工业应用软件的信息安全脆弱性1⑨在工业App中，使用微服务组件化来实现服务组合的场景比比皆是。这就要求各组件（比如工业微服务、模型库、函数库、各种框架及模块等）与工业应用软件的权限保持一致，否则这些含有已知漏洞的组件就会成为当然的安全短板，为工业应用软件引入严重的安全风险。⑩日志记录和监控欠缺，不仅在工业应用场景中常见，而且会为APT攻击、安全事件传播等带来极大的继发危害。知识导入知识导入工业应用软件的信息攻击防范2（1）注入攻击类漏洞攻击与防范注入攻击是指对含有语法含义的输入内容未能成功阻止，从而导致对相关数据、信息及服务的非法访问。针对工业应用软件的典型注入攻击通常为SQL、OS命令、XPATH、LDAP、JSON(JavaScriptObjectNotation)、URL等注入方式。如果工业Web应用未判断用户输入数据的合法性，攻击者通过Web页面的URL、表单等输入区域，使用精心构造的各种语句插入特殊字符和指令，获得管理员权限，在Web页面加挂木马以及各种恶意代码，通过与数据库交互来获得敏感信息或篡改数据库信息。知识导入工业应用软件的信息攻击防范2①尽可能采用安全API。②若无参数化API可用，则应使用解释器的Escape语法来实现特殊字符的规避。③对应用程序是否安全使用解释器进行代码审查，识别出使用解释器的代码并跟踪其应用数据流。④规范输入验证方法。⑤使用第三方组件来构建合格的JSON或SQL等语句。⑥通过扫描器与模糊测试工具实现渗透测试，以发现并确认注入漏洞。知识导入工业应用软件的信息攻击防范2（2）XML外部实体漏洞攻击与防范在工业应用软件中，大量采用XML格式。XML外部实体漏洞攻击由处理非信任外部实体数据所引发。XML支持用户自行定义标记语言来标记数据或定义数据类型，文档结构由XML声明、文档元素组成，并可选文档类型定义。知识导入工业应用软件的信息攻击防范2XXE类与XEEE类漏洞攻击的防范建议使用以下方法。①使用最新版XML解析库，缺省禁止XXE解析。②将XXE、参数实体和内联文档类型定义均设为false，以规避XXE漏洞攻击。知识导入工业应用软件的信息攻击防范2（3）不安全的反序列化类漏洞攻击与防范工业应用软件采用的编程语言很多都具有序列化与反序列化功能。序列化功能将对象转换为特定的字节序列数据格式，以便实现内存、文件、数据库存储或通过工业网络传输，此后再按需重建该对象。工业应用软件常用的文本格式有XML、JSON等，或者二进制字节流。反序列化是序列化实现的可逆过程，将序列化输出的文本格式或字节流还原为对象。知识导入工业应用软件的信息攻击防范2与编程语言无关的反序列化攻击规避或防范方法如下。①采用JSON、XML等纯数据格式。尽量采用纯数据格式，实现数据对象与业务对象的分离，规避反序列化的处理方式。这是一种从数据处理机制源头上的治本方法。②签名验证序列化数据。在序列化与反序列化处理源头，对序列化数据进行签名，在反序列化时再进行签名验证，未通过验证者不予反序列化。知识导入工业应用软件的信息攻击防范2对于特定的编程语言，也可以采取不同的反序列化攻击规避或防范方法。以下以工业应用软件常采用的Java编程语言为例说明①利用ObjectInputStream类resolveClass()方法重载，通过类名白名单、黑名单校验，只允许特定类可以反序列化操作。②对于某些工业应用软件必须要序列化的对象，可将反序列化处理readObject()方法声明为final，持续抛出异常，以保证该对象无法被反序列化。Web文件包含漏洞利用任务实施【任务目的】理解phpMyAdmin文件包含漏洞利用的思想；理解文件包含漏洞存在的原因；熟悉如何利用和防范文件上传漏洞。Web文件包含漏洞利用任务实施【使用工具】渗透主机：Kali，用户名：college，密码：360College，工具：Burpsuite；目标网站：WebBug，用户名：college，密码：360College，工具：phpstudy。Web文件包含漏洞利用任务实施【任务原理】1.此漏洞变化为CVE-2014-8959；2.受此漏洞影响的phpMyAdmin版本有：4.0.1–、

4.1.1–、4.2.1-4.2.12；3.文件包含漏洞点分析文件包含的点就出在$type_lower为什么URL中带token提交请求【步骤1】

在目标网站上启动Phpstudy服务【步骤2】

渗透主机远程访问phpMyAdmin在渗透主机上打开浏览器，在地址栏中输入地址32/pentest/cve/phpmyadmin/，远程访问phpMyAdmin。在远程访问的phpMyAdmin登录页面中，使用root帐户和root密码登录，自动跳转到如图页面。【步骤3】

远程登录phpMyAdmin对应的URL地址32/pentest/cve/phpmyadmin/index.php?token=867288b17a45f9073dff44223672e67b#PMAURL-0:index.php?db=&table=&server=1&target=&token=867288b17a45f9073dff44223672e67b【步骤4】

构造URL修改URL地址32/pentest/cve/phpmyadmin/gis_data_editor.php?token=867288b17a45f9073dff44223672e67b&gis_data[gis_type]=/../../../../phpcve/password%00查看目标Web服务器对应的源码文件任务评价任务评价了解工业应用软件的信息安全脆弱性了解工业应用软件的信息攻击防范理解phpMyAdmin文件包含漏洞利用的思想熟悉如何利用和防范文件上传漏洞任务测验选择题

A.工业应用软件的注入攻击B.身份认证失效问题C.敏感数据泄露问题D.安全配置错误

在以下的工业应用软件的信息安全脆弱性表现，严重程度最高的是？（）A.注入攻击类漏洞B.XML外部实体漏洞C.Web安全漏洞D.不安全的反序列化类漏洞

以下哪项不属于工业应用软件常见的漏洞？（）。A.尽可能使用解释器，而不要使用带有参数化界面的APIB.规范输入验证方法。比如