文档介绍：常见Web安全漏洞
杭州华三通信技术有限公司版权所有,未经授权不得使用与传播
H3C专业安全培训课程
Web安全现状
SQL注入
XSS
CSRF
文件上传
目录遍历
其他Web安全漏洞
目录
Web丰富了我们的生活
Web来源于World Wide Web,的重要组成部分,形形色色的Web系统正在改变着我们的生活。
网上购物
网上汇款交费
写博客
Web小游戏
竞选
网上营业厅
Web系统的安全性参差不齐……
复杂应用系统代码量大、开发人员多、难免出现疏忽;
系统屡次升级、人员频繁变更,导致代码不一致;
历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上;
开发人员未经过安全编码培训;
定制开发系统的测试程度不如标准的产品;
……
相对安全性而言,开发人员更注重系统功能!
客户
满意
界面友好
操作方便
处理
性能
实现
所有功能
架构合理
代码修改方便
运行
稳定
没有bug
不同模块
低耦合
开发进度与成本
开发者的关注点
Web攻击场景
攻击动机
攻击方法
攻击工具
系统漏洞
防范措施
攻击面(attack surface)
Web服务器
黑客
Web攻击动机
常见Web攻击动机
恶作剧;
关闭Web站点,拒绝正常服务;
篡改Web网页,损害企业名誉;
免费浏览收费内容;
盗窃用户隐私信息,例如Email;
以用户身份登录执行非法操作,从而获取暴利;
以此为跳板攻击企业内网其他系统;
网页挂木马,攻击访问网页的特定用户群;
仿冒系统发布方,诱骗用户执行危险操作,例如用木马替换正常下载文件,要求用户汇款等;
……
常用的***exploit
MS07-017 MS Windows Animated Cursor (.ANI) Remote Exploit
MS07-019
MS07-004 VML Remote Code Execution
MS06-073
MS06-071 XML Core Services Remote Code Execution
MS06-068
MS06-067
MS06-057 WebViewFolderIcod ActiveX
MS06-055
MS06-014 MDAC Remote Code Execution
MS06-013
MS06-005
MS06-004
MS06-001
Web攻击方法
常见Web攻击方法
Google hack
网页爬行
暴力猜解
Web***
错误信息利用
根据服务器版本寻找现有的攻击代码
利用服务器配置漏洞
文件上传、下载
构造恶意输入(SQLSQL注入、命令SQL注入、跨站脚本攻击)
HTTP协议攻击
拒绝服务攻击
其他攻击点利用(Web Services, Flash, Ajax, ActiveX, JavaApplet)
业务逻辑测试
……
收集系统相关的通用信息
将系统所有能访问页面,所有的资源,路径展现出来;
URL、口令、数据库字段、文件名都可以暴力猜解,注意利用工具;
利用Web***器,可以尽快发现一些明显的问题
错误可能泄露服务器型号版本、数据库型号、路径、代码;
搜索Google,CVE, BugTraq等漏洞库是否有相关的漏洞;
服务器后台管理页面,路径是否可以列表等;
是否可以上传恶意代码?是否可以任意下载系统文件;
检查所有可以输入的地方:URL、参数、Post、Cookie、Referer、 Agent等是否进行了严格的校验;
HTTP协议是文本协议,可利用回车换行做边界干扰;
用户输入是否可以影响服务器的执行;
需要特殊工具才能利用这些攻击点;
复杂的业务逻辑中是否隐藏漏洞。
Web攻击面不仅仅是浏览器中可见的内容
访问资源名称
GET与POST参数
Referer与User Agent
HTTP 方法
Cookie
Ajax
Web Service
Flash客户端
Java Applet
POST /?var1= HTTP/
Accept: */*
Referer:
Accept-Language: en-us,de;q=
Accept-Encoding: gzip, deflate
Content-Type: application/x-
Content-Lenght: 59
User-Agent: Mozilla/
Host: nection: Keep-Alive
Cookie: JSESSIONID=0000dITLGLqhz1dKkPEtpoYqbN2
uid=fred&password=secret&pag