WEB常見(jiàn)安全漏洞講解

1、WEB常見(jiàn)安全漏洞講解Ana資產(chǎn)資產(chǎn)應(yīng)用程序安全風(fēng)險(xiǎn)攻擊攻擊攻擊控制控制控制功能影響影響影響漏洞漏洞漏洞漏洞 攻擊者 攻擊向量安全漏洞 安全控制 技術(shù)影響 業(yè)務(wù)影響攻擊攻擊漏洞漏洞功能資產(chǎn)影響影響攻擊漏洞漏洞注入跨站腳本失效的身份認(rèn)證和會(huì)話管理不安全的直接對(duì)象引用跨站請(qǐng)求偽造安全配置錯(cuò)誤功能級(jí)訪問(wèn)控制缺失未驗(yàn)證的重定向和轉(zhuǎn)發(fā)敏感信息泄露使用含有已知漏洞的組件OWASP TOP 10 漏OP-1 注入原因：應(yīng)用程序缺少對(duì)輸入進(jìn)行安全性設(shè)計(jì)。方式：攻擊者將一些包含指令的數(shù)據(jù)發(fā)送給解釋器，欺騙解釋器執(zhí)行計(jì)劃外的命令。危害：讀取或篡改數(shù)據(jù)庫(kù)的信息，甚至能夠獲得服務(wù)器的包括管理

2、員的權(quán)限。TOP-1 注入什么是SQL注入？通過(guò)把SQL命令 用戶提交的數(shù)據(jù)中， 代碼原有SQL語(yǔ)句的語(yǔ)義，從而達(dá)到 服務(wù)器 惡意的SQL命令。插入改變控制執(zhí)行可以插入SQL語(yǔ)句并執(zhí)行TOP-1 注入應(yīng)用程序在下面存在漏洞的 SQL語(yǔ)句的構(gòu)造中使用不可信數(shù)據(jù)：String query = SELECT * FROM accounts WHERE custID= + request.getParameter(id) +; 攻擊者在瀏覽器中將“ id ”參數(shù)的值修改成 10000 or 1=1。 如：http:/ accounts表中返回所有的記錄。SELECT * FROM accounts W

3、HERE custID= 10000 ;SELECT * FROM accounts WHERE custID= ;漏洞案例10000 or 1=1TOP-1 注入如何識(shí)別SQL注入 數(shù)字型數(shù)字型 單引號(hào)： http:/ 提示錯(cuò)誤 邏輯真假：http:/ and 1=1 返回正確 http:/ and 1=2 返回錯(cuò)誤 加減符號(hào)：http:/ 返回與id=1相等字符型字符型 單引號(hào)： http:/ 提示錯(cuò)誤 邏輯真假：http:/ and a=a 返回正確 http:/ and a=b 返回錯(cuò)誤 加減符號(hào)：http:/ 返回與name=petter相同搜索型搜索型 單引號(hào)： http:/ 提示

4、錯(cuò)誤 邏輯真假：http:/ and %= 返回查詢(xún)1的內(nèi)容 http:/ and %1= 無(wú)內(nèi)容返回或不是1的內(nèi)容 TOP-1 注入 防范11 參數(shù)校驗(yàn)：參數(shù)校驗(yàn)： 傳遞的參數(shù)做校驗(yàn)，如果不合法，直接拒絕請(qǐng)求。 1.1 如果是數(shù)字類(lèi)型，判斷是否為數(shù)字，如果不是，直接拒絕請(qǐng)求 1.2 如果有格式的類(lèi)型（比如 日期，email，電話，身份證號(hào)碼等等），判斷是非符合格式，如果不符合格式，拒絕請(qǐng)求。 1.3 如果是字符串類(lèi)型，沒(méi)有特殊的格式，需要對(duì)字符串長(zhǎng)度做校驗(yàn)，如果長(zhǎng)度大于數(shù)據(jù)庫(kù)該字段的定義長(zhǎng)度，直接拒絕請(qǐng)求。 比如 姓名，數(shù)據(jù)庫(kù)定義的事 varchar(12),如果輸入超過(guò)12個(gè)字符，直接拒絕

5、請(qǐng)求2 2 使用使用 PrepareStatementPrepareStatement。PrepareStament可以有效防御sql注入攻擊。 PrepareStatement原理是：mysql執(zhí)行樹(shù)會(huì)根據(jù)預(yù)設(shè)的參數(shù)做轉(zhuǎn)義，可以把注入的sql當(dāng)作一個(gè)參數(shù)執(zhí)行，而不會(huì)當(dāng)作語(yǔ)句執(zhí)行 php 應(yīng)用， 可以使用PrepareStatement 替代 Statement寫(xiě)法。3 3數(shù)據(jù)庫(kù)權(quán)限做限制數(shù)據(jù)庫(kù)權(quán)限做限制 3.1 不能對(duì)業(yè)務(wù)賬號(hào)開(kāi) select information_schema 權(quán)限。因?yàn)橐坏┠硞€(gè)漏洞被成功注入，information_schema庫(kù)暴露所有庫(kù)，所有表，字段的定義。給sql

6、注入者提供了便利， 注入者不需要猜測(cè)表結(jié)構(gòu)，就能輕松獲取所有表的定義，進(jìn)而輕松獲取所有表的數(shù)據(jù) 3.2 各個(gè)業(yè)務(wù)賬號(hào)只能訪問(wèn)自己業(yè)務(wù)的數(shù)據(jù)。這樣即使某個(gè)漏洞被注入，也只是影響到該業(yè)務(wù)的數(shù)據(jù)，不會(huì)影響到其他業(yè)務(wù)的模塊TOP-2 失效的身份認(rèn)證和會(huì)話管理漏洞案例案例 #1： 機(jī)票預(yù)訂應(yīng)用程序支持 URL重寫(xiě)， 把會(huì)話 ID放在URL里：http:/ ?dest=Hawaii 該網(wǎng)站一個(gè)經(jīng)過(guò)認(rèn)證的用戶希望讓他朋友知道這個(gè)機(jī)票打折信息。他將上面鏈接通過(guò)郵件發(fā)給他朋友們，并不知道自己已經(jīng) 。當(dāng)他的朋友們使用上面的鏈接時(shí)，他們將會(huì)使用他的會(huì)話和信用卡。案例 #2： 應(yīng)用程序超時(shí)設(shè)置不當(dāng)。用戶使用公共計(jì)算機(jī)

7、訪問(wèn)網(wǎng)站。離開(kāi)時(shí)，該用戶沒(méi)有點(diǎn)擊退出，而是直接關(guān)閉瀏覽器。攻擊者在 能使用相同瀏覽器通過(guò)身份認(rèn)證。案例 #3： 內(nèi)部或外部攻擊者進(jìn)入系統(tǒng)的密碼數(shù)據(jù)庫(kù).存儲(chǔ)在數(shù)據(jù)庫(kù)中的用戶密碼 , 所有用戶的密碼都被攻擊者獲得。jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV泄漏了自己的會(huì)話ID一個(gè)小時(shí)后沒(méi)有被加密TOP-2 失效的身份認(rèn)證和會(huì)話管理1. 用戶身份驗(yàn)證憑證沒(méi)有使用哈希或加密保護(hù)。 2. 認(rèn)證憑證可猜測(cè)， 或者能夠通過(guò)薄弱的的帳戶管理功能（例如賬戶創(chuàng)建、 密碼修改、 密碼恢復(fù) , 弱會(huì)話 ID）重寫(xiě)。3. 會(huì)話 ID暴露在 URL里 （例如 , URL重寫(xiě)） 。4.

8、 會(huì)話 ID容易受到會(huì)話固定（ sessionfixaPon） 的攻擊。？5. 會(huì)話 ID沒(méi)有超時(shí)限制， 或者用戶會(huì)話或身份驗(yàn)證令牌特別是單點(diǎn)登錄令牌在用戶注銷(xiāo)時(shí)沒(méi)有失效。6. 成功注冊(cè)后 ,會(huì)話 ID沒(méi)有輪轉(zhuǎn)。7. 密碼、 會(huì)話 ID和其他認(rèn)證憑據(jù)使用未加密連接傳輸。TOP-3 跨站腳本（XSS）插入瀏覽執(zhí)行攻擊什么是跨站腳本攻擊？往Web頁(yè)面里插入惡意html/js代碼當(dāng)用戶瀏覽該web頁(yè)面時(shí)嵌入Web頁(yè)面里面的html代碼會(huì)被執(zhí)行從而達(dá)到攻擊用戶的特殊目的插入HTML/JS代碼并執(zhí)行TOP-3 跨站腳本（XSS）反射型存儲(chǔ)型DOM型危害小利用難度大需要點(diǎn)擊影響范圍廣利用簡(jiǎn)單危害大存儲(chǔ)于數(shù)

9、據(jù)庫(kù)中有反射也有存儲(chǔ)本地執(zhí)行TOP-3 跨站腳本（XSS） 防范最好的辦法是根據(jù)數(shù)據(jù)將要置于的HTML上下文（包括主體、 屬性、 JavaScript、 CSS或URL） 對(duì)所有的不可信數(shù)據(jù)進(jìn)行恰當(dāng)?shù)霓D(zhuǎn)義 （ escape） 。 更多關(guān)于數(shù)據(jù)轉(zhuǎn)義技術(shù)的信息見(jiàn)OWASP XSS PrevenPon Cheat Sheet 。TOP-4 不安全的直接對(duì)象引用已登錄的用戶（ID：123）http:/ 安全配置錯(cuò)誤漏洞案例案例 #1： 應(yīng)用程序服務(wù)器管理員 。而 。 攻擊者在你的服務(wù)器上發(fā)現(xiàn)了標(biāo)準(zhǔn)的管理員頁(yè)面，通過(guò)默認(rèn)密碼登錄，從而接管了你的服務(wù)器。案例 #2： 。攻擊者發(fā)現(xiàn)只需列出目錄，她就可以找到

10、你服務(wù)器上的任意文件。攻擊者找到并下載所有已編譯的 Java類(lèi)，她通過(guò)反編譯獲得了所有你的自定義代碼。然后，她在你的應(yīng)用程序中找到一個(gè)訪問(wèn)控制的嚴(yán)重漏洞。案例 #3： 應(yīng)用服務(wù)器配置 ， 這樣就暴露了潛在的漏洞。 攻擊者熱衷于收集錯(cuò)誤消息里提供的額外信息。案例 #4： 應(yīng)用服務(wù)器自帶的 。 該示例應(yīng)用有已知安全漏洞， 攻擊者可以利用這些漏洞破壞您的服務(wù)器。控制臺(tái)自動(dòng)安全后沒(méi)有刪除目錄列表在你的服務(wù)器上未被禁用示例應(yīng)用程序沒(méi)有刪除默認(rèn)賬戶也沒(méi)有改變?cè)试S堆棧跟蹤返回給用戶注意這些問(wèn)題：1. 是否有軟件沒(méi)有被及時(shí)更新？這包括操作系統(tǒng)、Web /應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)管理系統(tǒng)、應(yīng)用程序和其它所有的代碼庫(kù)文

11、件。2. 是否使用或安裝了不必要的功能（例如，端口、服務(wù)、網(wǎng)頁(yè)、帳戶、權(quán)限） ？3. 默認(rèn)帳戶的密碼是否仍然可用或沒(méi)有更改？4. 你的錯(cuò)誤處理設(shè)置是否防止堆棧跟蹤和其他含有大量信息的錯(cuò)誤消息被泄露 ? 5. 你的開(kāi)發(fā)框架（比如：Struts、Spring、ASP. NET）和庫(kù)文件中的安全設(shè)置是否理解正確并配置恰當(dāng)？TOP-6 敏感信息泄露首先你需要確認(rèn)的是哪些數(shù)據(jù)是敏感數(shù)據(jù)而需要被加密。例如： 密碼、 信用卡、 醫(yī)療記錄、 個(gè)人信息應(yīng)該被加密。對(duì)于這些數(shù)據(jù)， 要確保：1. 當(dāng)這些數(shù)據(jù)被長(zhǎng)期存儲(chǔ)的時(shí)候， 無(wú)論存儲(chǔ)在哪里， 它們是否都被加密， 特別是對(duì)這些數(shù)據(jù)的備份？2. 無(wú)論內(nèi)部數(shù)據(jù)還是外部數(shù)

12、據(jù)， 傳輸時(shí)是否是明文傳輸？在互聯(lián)網(wǎng)中傳輸明文數(shù)據(jù)是非常危險(xiǎn)的。3. 是否還在使用任何舊的或脆弱的加密算法？4. 加密密鑰的生成是否是脆弱的， 或者缺少恰當(dāng)?shù)拿荑€管理或缺少密鑰回轉(zhuǎn)？5. 當(dāng)瀏覽器接收或發(fā)送敏感數(shù)據(jù)時(shí)， 是否有瀏覽器安全TOP-6 敏感信息泄露攻擊案例案例 #1： 一個(gè)應(yīng)用程序加密存儲(chǔ)在數(shù)據(jù)庫(kù)的信用卡信息，以防止信用卡信息暴露給最終用戶 。 但是， 數(shù)據(jù)庫(kù)設(shè)置為對(duì)信用卡表列的詢(xún)進(jìn)行自動(dòng)解密， 這就使得 S QL注入漏洞能夠獲得所有信用卡信息的明文。 該系統(tǒng)應(yīng)該被設(shè)置為前端應(yīng)用程序使用公鑰對(duì)信用卡信息加密， 后端應(yīng)用程序只能使用私鑰解密。案例 #2： 一個(gè)網(wǎng)站上所有需要身份驗(yàn)證的

13、網(wǎng)頁(yè)都沒(méi)有使用 S S L。 攻擊者只需監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流（比如一個(gè)開(kāi)放的無(wú)線網(wǎng)絡(luò)或其社區(qū)的有線網(wǎng)絡(luò)） ， 并竊取一個(gè)已驗(yàn)證的受害者的會(huì)話 cooki e。 然后， 攻擊者利用這個(gè) cooki e執(zhí)行重放攻擊并接管用戶的會(huì)話從而訪問(wèn)用戶的隱私數(shù)據(jù)案例 #3： 密碼數(shù)據(jù)庫(kù)使用 u n s al ted的哈希算法去存儲(chǔ)每個(gè)人的密碼。 一個(gè)文件上傳漏洞使黑客能夠獲取密碼文件。所有這些 u n s al tedTOP-7 功能級(jí)訪問(wèn)控制缺失http:/ http:/ (游客) 已登錄用戶（普通用戶）普通用戶功能頁(yè)面管理員功能頁(yè)面有漏洞有漏洞有漏洞TOP-8 跨站請(qǐng)求偽造（CSRF）TOP-8 跨站請(qǐng)求偽造

14、（CSRF）請(qǐng)求的參數(shù)可預(yù)知鏈接 or 頁(yè)面以用戶的身份向服務(wù)器發(fā)送請(qǐng)求攻擊者在構(gòu)造這個(gè)請(qǐng)求構(gòu)造的請(qǐng)求自動(dòng)提交誘惑讓已登錄用戶訪問(wèn)瀏覽器的cookie機(jī)制鏈接 or 頁(yè)面TOP-9 使用含有已知漏洞的組件Struts 2Struts 2是Struts的下一代產(chǎn)品，是在 struts 1和WebWork的技術(shù)基礎(chǔ)上進(jìn)行了合并的全新的Struts 2框架。Struts 2 遠(yuǎn)程命令執(zhí)行代碼執(zhí)行的漏洞有：S2-003，S2-005，S2-007，S2-008，S2-009，S2-012S2-016危害？TOP-10 未驗(yàn)證的重定向和轉(zhuǎn)發(fā)驗(yàn)證應(yīng)用程序是否有未驗(yàn)證的重定向或轉(zhuǎn)發(fā)的最好的方法是：1. 審查所有使用重定向或轉(zhuǎn)發(fā)的代碼。 每一次使用， 都應(yīng)該驗(yàn)證目標(biāo)URL是否被包含