Web應(yīng)用滲透技術(shù)

Web應(yīng)用滲透測試技術(shù)

主講人：劉璟OutlineWeb應(yīng)用滲透技術(shù)基礎(chǔ)Web應(yīng)用漏洞掃描探測Web應(yīng)用程序滲透測試總結(jié)2Web應(yīng)用滲透技術(shù)基礎(chǔ)什么是滲透測試Web應(yīng)用滲透測試OWASPWeb漏洞TOP10近期Web應(yīng)用攻擊典型案例滲透測試工具簡介3什么是滲透測試Apenetrationtest(pentest)isamethodofevaluatingcomputerandnetworksecuritybysimulatinganattackonacomputersystemornetworkfromexternalandinternalthreats*.4什么是滲透測試Penetrationtestsarevaluableforseveralreasons*:Identifyinghigher-riskvulnerabilitiesthatresultfromacombinationoflower-riskvulnerabilitiesexploitedinaparticularsequenceIdentifyingvulnerabilitiesthatmaybedifficultorimpossibletodetectwithautomatednetworkorapplicationvulnerabilityscanningsoftwareAssessingthemagnitudeofpotentialbusinessandoperationalimpactsofsuccessfulattacksTestingtheabilityofnetworkdefenderstosuccessfullydetectandrespondtotheattacks5Web應(yīng)用滲透技術(shù)基礎(chǔ)什么是滲透測試Web應(yīng)用滲透測試OWASPWeb漏洞TOP10近期Web應(yīng)用攻擊典型案例滲透測試工具簡介6典型的網(wǎng)絡(luò)組織方式Webiseverywhere.一個組織或公司提供對外的門戶網(wǎng)站7Web應(yīng)用程序體系結(jié)構(gòu)8Web應(yīng)用滲透技術(shù)基礎(chǔ)什么是滲透測試Web應(yīng)用滲透測試OWASPWeb漏洞TOP10近期Web應(yīng)用攻擊典型案例滲透測試工具簡介9OWASPWeb漏洞TOP10TheOpenWebApplicationSecurityProject(OWASP)isaworldwidenot-for-profitcharitableorganizationfocusedonimprovingthesecurityofsoftware.OWASPTopTen:ThegoaloftheTop10projectistoraiseawarenessaboutapplicationsecuritybyidentifyingsomeofthemostcriticalrisksfacingorganizations.10OWASPTopTenSQL注入攻擊（SQLInjection,SQLi）：指發(fā)生在Web應(yīng)用對后臺數(shù)據(jù)庫查詢語句處理存在的安全漏洞。簡單地說，就是在輸入字符串中嵌入SQL指令，在設(shè)計程序中忽略了對特殊字符串的檢查，嵌入的指令便會被誤認(rèn)為正常的SQL指令?？缯灸_本（Cross-SiteScripting,XSS）：惡意使用者將程序代碼（惡意腳本）注入到網(wǎng)頁上，其他使用者在瀏覽網(wǎng)頁時就會受到不同程度的影響?？缯緜卧煺埱螅–ross-SiteRequestForgery,CSRF）:屬于XSS的衍生。攻擊者利用XSS的注入方式注入一段腳本，當(dāng)受害者點擊瀏覽器運行該腳本時，腳本偽造受害者發(fā)送了一個合法請求。11OWASPTopTen會話認(rèn)證管理缺陷（BrokenAuthenticationandSessionManagement,BASM）:首次傳送Cookie后，便不對Cookie中的內(nèi)容進行檢查，攻擊者便可修改Cookie中的重要信息，用來提升權(quán)限，或是冒用他人賬號獲取私密資料。安全誤配置（SecurityMisconfiguration）：存在于Web應(yīng)用的各層次，譬如Web平臺、Web服務(wù)器、應(yīng)用服務(wù)器、程序代碼等。不安全的密碼存儲（InsecureCryptographicStorage）不安全的對象參考（InsecureDirectObjectReferences）：利用Web系統(tǒng)本身的文檔讀取功能，任意存取系統(tǒng)文檔或資料。12補充知識：cookieHTTP協(xié)議是無狀態(tài)的。網(wǎng)站為了辨別用戶身份而儲存在用戶本地終端（ClientSide）上的數(shù)據(jù)（通常經(jīng)過簡單加密）。應(yīng)用范圍：保存購物信息、登錄憑據(jù)等。Cookie總是保存在客戶端中，按在客戶端中的存儲位置，可分為內(nèi)存Cookie和硬盤Cookie。13OWASPTopTen限制URL訪問失?。‵ailuretoRestrictURLAccess）:例如內(nèi)部員工使用的未公開URL泄露。缺乏傳輸層保護（InsufficientTransportLayerProtection）：沒有對傳輸層使用SSL/TLS等保護機制。過期或不正確的證書；后臺數(shù)據(jù)庫通信業(yè)存在類似問題。未驗證的重定向（UnvalidatedRedirectsandForwards）：攻擊者一般會通過未驗證重定向頁面誘使受害者點擊，從而獲取密碼或其他敏感數(shù)據(jù)。14例如：/application?filedownload=../../../../../etc/passwd%00OWASPTop102013A1InjectionA2BrokenAuthenticationandSessionManagementA3Cross-SiteScripting(XSS)A4InsecureDirectObjectReferencesA5SecurityMisconfigurationA6SensitiveDataExposureA7MissingFunctionLevelAccessControlA8Cross-SiteRequestForgery(CSRF)A9UsingComponentswithKnownVulnerabilitiesA10UnvalidatedRedirectsandForwards15Web應(yīng)用滲透技術(shù)基礎(chǔ)什么是滲透測試Web應(yīng)用滲透測試OWASPWeb漏洞TOP10近期Web應(yīng)用攻擊典型案例滲透測試工具簡介16SONY黑客攻擊案2011年4月17-4月19日，sony旗下著名游戲機PS3網(wǎng)絡(luò)（PlaystationNetwork，PSN）遭到攻擊。7千萬PSN和Qriocity音樂服務(wù)的用戶個人信息被盜走。消息發(fā)布后，SONY在線娛樂系統(tǒng)的服務(wù)器也被攻擊。2460萬用戶信息，包括12700張非美國本土信用卡號、到賬日期、支付記錄。此次對PSN網(wǎng)絡(luò)機器相關(guān)服務(wù)的攻擊泄露了從過1億用戶數(shù)據(jù)，一千多萬張信用卡信息，迫使索尼關(guān)閉PSN等網(wǎng)絡(luò)，聘請了數(shù)家計算機安全公司調(diào)查攻擊，重建安全系統(tǒng)，進行游戲用戶賠償?shù)龋斐蓳p失達到幾億美圓，更不必說股價下跌、信用喪失等隱性損失。17SONY黑客攻擊案LulzSec組織不但宣稱對某些攻擊負(fù)責(zé)，而且公布了攻擊過程、數(shù)據(jù)庫信息甚至網(wǎng)站源碼。聲稱利用SQL注入攻擊獲得了、sonybmg.nl和sonybmg.be的數(shù)據(jù)庫信息。含100萬索尼美國、荷蘭和比利時客戶個人信息，包括明文存儲的密碼、電子郵件、家庭地址等。Anonymous組織和LulzSec組織在此次攻擊中使用了SQL注入、本地文件包含漏洞利用，以及利用僵尸網(wǎng)絡(luò)發(fā)動DDoS攻擊。原因可能是由于PSN所用的RedHat系統(tǒng)中的Apache服務(wù)器沒有及時升級安全補丁，是黑客成功入侵到內(nèi)網(wǎng)。另外用戶口令以明文或簡單的Hash存儲。18CSDN數(shù)據(jù)泄露門2011年年底，國內(nèi)各大網(wǎng)站爆出“口令泄露門”。最先公布的是著名技術(shù)網(wǎng)站CSDN600萬賬戶和口令泄露事件，網(wǎng)站由于存在SQL注入漏洞被攻擊者利用并下載用戶數(shù)據(jù)庫。網(wǎng)站對用戶的口令竟然是明文存儲，由于用戶習(xí)慣使用同一用戶名和口令注冊各種網(wǎng)站，導(dǎo)致用戶口令一旦泄露，所有賬戶被“一網(wǎng)打盡”。此后不久，多玩網(wǎng)、世紀(jì)佳緣、人人等網(wǎng)站相機爆發(fā)類似“拖庫”事件，后來直接導(dǎo)致京東、當(dāng)當(dāng)?shù)入娚贪l(fā)生了“撞庫”事件，攻擊者利用先前網(wǎng)站泄露的數(shù)據(jù)編寫程序進行大量匹配，查找有余額的賬戶進行消費，直接導(dǎo)致當(dāng)當(dāng)網(wǎng)迅速關(guān)閉買禮品卡充值賬戶功能。19Web應(yīng)用滲透技術(shù)基礎(chǔ)什么是滲透測試Web應(yīng)用滲透測試OWASPWeb漏洞TOP10近期Web應(yīng)用攻擊典型案例Web滲透測試工具簡介20Web滲透測試工具簡介OWASBWA(BrokenWebApplication)靶機Metasploit項目由著名的黑客HDMoore于2003年開始開發(fā)，最早作為一個滲透攻擊代碼的繼承軟件包而發(fā)布?，F(xiàn)在的Metasploit框架中集成了數(shù)千個針對主流操作系統(tǒng)平臺上，不同網(wǎng)絡(luò)服務(wù)與應(yīng)用軟件安全漏洞的滲透攻擊模塊，可以由用戶在滲透攻擊場合中根據(jù)漏洞掃描結(jié)果進行選擇，并且能夠自由裝配該平臺上適用的具有指定功能的攻擊載荷，對目標(biāo)系統(tǒng)實施遠(yuǎn)程攻擊并獲取系統(tǒng)的訪問控制權(quán)。Backtrack和KaliLinux：BackTrack

是一個基于Ubuntu

GNU/Linux的發(fā)行版本，主要用做數(shù)字取證和入侵測試。BackTrack給用戶集成了大量功能強大但簡單易用的安全工具軟件。KaliLinux1.0于2013年3月發(fā)布，是Backtrack的下一代版本。21OutlineWeb應(yīng)用滲透技術(shù)基礎(chǔ)Web應(yīng)用漏洞掃描探測Web應(yīng)用程序滲透測試總結(jié)22Web應(yīng)用漏洞掃描探測OpenVAS（OpenVulnerabilityAssessmentSystem）：aopen-sourceframeworkofseveralservicesandtoolsofferingavulnerabilityscanningandvulnerabilitymanagementsolution.簡介對滇西開發(fā)網(wǎng)webserver的掃描結(jié)果W3af：anopen-sourcewebapplicationsecurityscanner.TheprojectprovidesavulnerabilityscannerandexploitationtoolforWebapplications.簡介對滇西開發(fā)網(wǎng)webserver的掃描結(jié)果23OutlineWeb應(yīng)用滲透技術(shù)基礎(chǔ)Web應(yīng)用漏洞掃描探測Web應(yīng)用程序滲透測試總結(jié)24Web應(yīng)用程序滲透測試SQL注入實例分析XSS跨站腳本攻擊實例分析跨站點請求偽造命令注入實例分析25SQL注入攻擊“SQL注入”指的是向某個Web應(yīng)用程序輸入一個精心構(gòu)造的SQL查詢命令以執(zhí)行某種非正常操作。SQL查詢命令的語義很容易改變，只要在關(guān)鍵位置增加或者減少一個字符，就足以讓原本無害的查詢命令產(chǎn)生相當(dāng)有害的行為。在“SQL注入”攻擊活動中，用來構(gòu)造惡意輸入內(nèi)容的常見字符包括反引號（`）、雙連字符（--）和分號（;）等，它們在SQL語言里都有著特殊含義。對于入門級黑客，這種攻擊往往能讓他們在未經(jīng)授權(quán)的情況下訪問到某些敏感的數(shù)據(jù)；而精通此道的高級黑客甚至能在繞過身份驗證機制之后完全掌握Web服務(wù)器或后端SQL系統(tǒng)的控制權(quán)。26“SQL注入”攻擊示例27SQL注入攻擊演示訪問網(wǎng)站/，通過SQL注入攻擊繞過身份認(rèn)證機制。Username字段注入：admin’OR‘1，Password字段注入：test’OR‘1后臺驗證SQL變?yōu)椋篠ELECT*FROM[users]WHEREusername=‘a(chǎn)dmin’OR‘1’ANDpassword=‘test’OR‘1’使用OWASPBWA靶機的DVWA應(yīng)用程序演示如何獲取后臺數(shù)據(jù)庫更多的信息。輸入文件“XSS&SQLi.txt”中的腳本。28假設(shè)后臺的查詢語句是這樣設(shè)置的：Select列from表whereID=?因此如果輸入‘or’1=1，數(shù)據(jù)表的每一列都將顯示出來。查詢INFORMATION_SCHEMA系統(tǒng)表：'UNIONSELECT1,table_namefromINFORMATION_SCHEMA.tables--'，發(fā)現(xiàn)users表。列出user表的內(nèi)容：'UNIONSELECT1,column_namefromINFORMATION_SCHEMA.columnswheretable_name='users'--'，發(fā)現(xiàn)password列。取得口令的MD5值：'UNIONSELECTNULL,passwordfromusers--'29SQL注入攻擊演示使用concat()函數(shù)將所有的信息都列出來：'UNIONSELECTpassword,concat(first_name,'',last_name,'',user)fromusers--‘使用sqlmap獲取口令明文。MD5Hash值也可以在線查詢：例如上面我們通過SQL注入攻擊拿到了admin賬戶口令的MD5Hash值為“21232f297a57a5a743894a0e4a801fc3”，我們通過上網(wǎng)查詢，可以得到對應(yīng)的口名明文。30SQL注入攻擊演示防范對策使用綁定變量（參數(shù)化查詢）：只是用綁定變量來傳遞不同的參數(shù)到語句中。對來自客戶端的所有輸入都要執(zhí)行嚴(yán)格的輸入驗證：編程箴言“限制、拒絕和凈化”實施默認(rèn)的錯誤處理：為所有錯誤使用一個通用的錯誤消息。鎖定ODBC：禁止給客戶端發(fā)送消息。鎖定數(shù)據(jù)庫服務(wù)器配置：指定用戶、角色和權(quán)限。使用綱領(lǐng)性框架：諸如Hibernate或LINQ之類的工具鼓勵你去使用綁定變量31Web應(yīng)用程序滲透測試SQL注入實例分析XSS跨站腳本攻擊實例分析跨站點請求偽造命令注入實例分析32跨站腳本（XSS）攻擊XSS攻擊通常也發(fā)生在Web應(yīng)用程序?qū)斎胼敵鰴z查不充分的時候。但與其他攻擊手段不同的是，XSS攻擊的目標(biāo)通常不是Web應(yīng)用程序本身，而是使用這個帶漏洞的Web應(yīng)用程序的另一名用戶。惡意用戶A把一條包含著惡意代碼的消息發(fā)布到了Web應(yīng)用程序guestbook里，當(dāng)用戶B去查看這條消息時，用戶B的瀏覽器將試圖解釋并執(zhí)行那段惡意代碼，使得A具有了能夠完全控制B系統(tǒng)的可能。XSS攻擊可導(dǎo)致帳戶/會話被盜用、cookie被盜、企業(yè)的品牌形象被誤導(dǎo)或詆毀等。利用XSS漏洞最常見的攻擊是竊取一般情況下無法為外人所得的用戶的會話cookie。但是最近的攻擊已經(jīng)變得更加惡意，比如通過社交網(wǎng)路傳播蠕蟲，更嚴(yán)重的是，會利用惡意軟件感染受害者電腦。33常見的XSS惡意輸入34XSS攻擊分類反射式XSS攻擊存儲式XSS攻擊35反射式XSS攻擊Alice經(jīng)常瀏覽某個網(wǎng)站，此網(wǎng)站為Bob所擁有。在Bob的網(wǎng)站上，Alice使用用戶名/密碼進行登錄，并存儲敏感信息(比如銀行帳戶信息)。Charlie發(fā)現(xiàn)Bob的站點包含反射性的XSS漏洞。Charlie編寫一個利用漏洞的URL，并將其冒充為來自Bob的郵件發(fā)送給Alice。Alice在登錄到Bob的站點之后，瀏覽Charlie提供的URL。嵌入到URL中的惡意腳本在Alice的瀏覽器中執(zhí)行，就像它直接來自Bob的服務(wù)器一樣。此腳本盜竊敏感信息(授權(quán)、信用卡、帳號信息等)，然后在Alice完全不知情的情況下將這些信息發(fā)送給Charlie。36訪問OWASPBWA靶機來演示OWASPBrokenWebApplicationsProjectOWASPBWA靶機虛擬鏡像*/dvwa（DamnVulnerableWebApplication）XSSreflected輸入（1）<script>alert('Havefuns')</script>（2）<script>alert(document.cookie)</script>37存儲式XSS攻擊該類型是應(yīng)用最為廣泛而且有可能影響到Web服務(wù)器自身安全的漏洞，駭客將攻擊腳本上傳到Web服務(wù)器上，使得所有訪問該頁面的用戶都面臨信息泄漏的可能，其中也包括了Web服務(wù)器的管理員。Bob擁有一個Web站點，該站點允許用戶發(fā)布信息/瀏覽已發(fā)布的信息。Charlie注意到Bob的站點具有存儲式XSS漏洞。Charlie發(fā)布一個熱點信息，吸引其它用戶紛紛閱讀。Bob或者是任何的其他人如Alice瀏覽該信息，其會話cookies或者其它信息將被Charlie盜走。38使用OWASPBWA的Multillidae應(yīng)用程序演示訪問Mutillidae的CrossSiteScripting(XSS)輸入：<SCRIPT/XSSSRC="/xss.js"></SCRIPT>xss.js的內(nèi)容如下：document.write("Thisisremotetextviaxss.jslocatedat"+document.cookie);alert("Thisisremotetextviaxss.jslocatedat"+document.cookie);39訪問OWASPBWA靶機來演示防范對策過濾輸入?yún)?shù)中的特殊字符：禁止讓W(xué)eb應(yīng)用程序的接受輸入數(shù)據(jù)里包含以下字符：<>()#&。對輸出進行HTML編碼如果你的應(yīng)用程序設(shè)置了cookie，使用微軟的HTTPOnlycookie。定期分析你的Web應(yīng)用程序40Web應(yīng)用程序滲透測試SQL注入實例分析XSS跨站腳本攻擊實例分析跨站點請求偽造命令注入實例分析41跨站點請求偽造CSRF（Cross-SiteRequestForgery）：網(wǎng)頁應(yīng)用程序為用戶提供持久的認(rèn)證會話（例如：Cookie），因此，它們不需要每請求一個頁面便進行一次驗證。但是如果攻擊者能誘使用戶向網(wǎng)站提交一個請求，他便可以利用持久的會話來假冒受害者執(zhí)行各種操作。不良后果：用戶賬戶口令會被更改、