第6章web應(yīng)用程序攻擊課件

第六章腳本攻擊——過濾不足造成的攻擊何路helu@

本章要求了解Web應(yīng)用程序的結(jié)構(gòu)了解腳本的相關(guān)概念明確腳本攻擊的成因掌握腳本注入攻擊、暴庫、跨站攻擊等攻擊方法本章主要內(nèi)容Web應(yīng)用程序攻擊概述基于用戶輸入的攻擊基于會(huì)話狀態(tài)的攻擊Web應(yīng)用程序的安全防范Web應(yīng)用程序攻擊概述Web的結(jié)構(gòu)(b/s模式）Web的結(jié)構(gòu)Browser/Server結(jié)構(gòu)，屬于瘦客戶類型的Browser/Server,客戶為瀏覽器，服務(wù)器為WebServer通常是多層(或三層)結(jié)構(gòu)中的第一層在Web應(yīng)用中，WebServer后面常常與數(shù)據(jù)庫打交道Web的結(jié)構(gòu)B/S之間的通訊協(xié)議：HTTPHTTP位于TCP之上，默認(rèn)的端口為80客戶發(fā)出對(duì)頁面的請(qǐng)求，服務(wù)器送回這些頁面動(dòng)態(tài)頁面和靜態(tài)頁面Web頁面的表述和交互能力各種標(biāo)記、超鏈接，…交互功能：表單、腳本交互能力的擴(kuò)展：JavaApplet,ActiveX,…Web的安全協(xié)議本身的安全性支持身份認(rèn)證：BasicAuthentication,DigestAccessAuthentication保密性：TLS(TransportLayerSecurity)Web的安全實(shí)現(xiàn)上的安全性服務(wù)器端安全性Webpages的訪問控制機(jī)制可用性：防止拒絕服務(wù)抵御各種網(wǎng)絡(luò)攻擊客戶端安全性個(gè)人信息的保護(hù)防止執(zhí)行惡意代碼WebProxyServerMan-In-The-Middle本章主要內(nèi)容Web應(yīng)用程序攻擊概述基于用戶輸入的攻擊基于會(huì)話狀態(tài)的攻擊Web應(yīng)用程序的安全防范基于用戶輸入的攻擊什么是腳本？腳本是不需要編譯的程序代碼依賴腳本引擎來解釋執(zhí)行，具有很好的操作系統(tǒng)適應(yīng)性和可移植性腳本分類靜態(tài)腳本HTML動(dòng)態(tài)腳本ASPJavaScriptVBScriptActiveXFlash……基于用戶輸入的攻擊腳本攻擊是針對(duì)Web應(yīng)用的攻擊腳本攻擊主要是針對(duì)動(dòng)態(tài)網(wǎng)站進(jìn)行的攻擊，其原因是在建立動(dòng)態(tài)網(wǎng)頁的過程中沒有對(duì)用戶的輸入輸出進(jìn)行有效的合法性驗(yàn)證動(dòng)態(tài)網(wǎng)站交互性：即網(wǎng)頁會(huì)根據(jù)用戶的要求和選擇而動(dòng)態(tài)改變和響應(yīng)，將瀏覽器作為客戶端界面自動(dòng)更新：即無須手動(dòng)地更新HTML文檔，便會(huì)自動(dòng)生成新的頁面，可以大大節(jié)省工作量因時(shí)因人而變：即當(dāng)不同的時(shí)間、不同的人訪問同一網(wǎng)址時(shí)會(huì)產(chǎn)生不同的頁面腳本攻擊方法1.腳本注入2.暴庫3.跨站腳本1.腳本注入SQL注入——SQLInjection就是向網(wǎng)站提交精心構(gòu)造的SQL查詢語句，導(dǎo)致網(wǎng)站將關(guān)鍵數(shù)據(jù)信息返回結(jié)構(gòu)化查詢語言（SQL）一種用來和數(shù)據(jù)庫交互的查詢語言典型的SQL查詢語句Selectid,forename,surnameFromauthors查詢字段表常用SQL語法查詢Selectstatementfromtablewherecondition刪除記錄deletefromtablewherecondition更新記錄updatetablesetfield=valuewherecondtion添加記錄insertintotablefieldvalues(values)常用函數(shù)Count()Asc(‘nchar’),unicode(‘nchar’)mid(str,n1,n2),substring(str,n1,n2)1.腳本注入Select

id,forename,surnameFrom

authors

Where

forname=‘John’

And

surname=‘Smith’Selectid,forename,surnameFromauthors

Whereforname=‘Jo’hn’Andsurname=‘Smith’JohnJo’hn1.腳本注入/article.asp?id=123轉(zhuǎn)換為SQL語句

SelectcontextFromnewsWhereid=123注入步驟以ASP+ACCESS為例注入點(diǎn)的發(fā)現(xiàn)數(shù)據(jù)庫的類型猜解表名猜解字段名猜解內(nèi)容進(jìn)入管理頁面，上傳ASP木馬注入點(diǎn)測試數(shù)字型/xxx.asp?id=1And1=1，返回正常頁面And1=2，返回錯(cuò)誤頁面字符型/xxx.asp?name=xxxAnd‘1’=‘1’，返回正常頁面And‘1’=‘2’，返回錯(cuò)誤頁面判斷數(shù)據(jù)庫的類型利用返回的錯(cuò)誤報(bào)告例：MSSQL判斷數(shù)據(jù)庫的類型利用數(shù)據(jù)庫系統(tǒng)表ACCESS——msysobjectsMSSQL——sysobjectsAnd(selectcount(*)frommsysobjects)>0And(selectcount(*)fromsysobjects)>0表名的猜解運(yùn)氣＋經(jīng)驗(yàn)積累And(Selectcount(*)from表名)>0Andexist(selectcount(*)from表名/showdetail.asp?id=49And(SelectCount(*)fromAdmin)>=0如果頁面與ID=49相同，說明附加條件成立，即表Admin存在，反之，即不存在。如此循環(huán)，直至猜到表名為止字段名的猜解字段名的獲取原理同表名And(Selectcount(字段名)from表名)>0Andexist(select字段名from表名）字段名的猜解ASCII逐字解碼法獲取字段值判定字段長度http://www./showdetail.asp?id=49and(selecttop1len(username)fromAdmin)>0當(dāng)username長度大于0，則條件成立；接著>1、>2……>n繼續(xù)測試，直到條件不成立時(shí)，n為usename的長度。/showdetail.asp?id=49and(selecttop1asc(mid(username,1,1))fromusers）>0n一般取48-122，48是數(shù)字0，122是zAsc(mid(username,m,1))猜解記錄內(nèi)容確定記錄條數(shù)And(selectcount(*)from表名)=n這里的n是猜解的記錄條數(shù)確定記錄字段長度And(selecttop1len(列名)from表名)=n這里的n是猜解的長度數(shù)控制系統(tǒng)利用已得到的用戶名及口令進(jìn)入管理后臺(tái)，上傳ASP木馬當(dāng)數(shù)據(jù)庫的連接用戶為sa時(shí)，可使用系統(tǒng)存儲(chǔ)過程執(zhí)行命令常用工具Domain3.5啊D注入工具NBSISQL注入的危害讀取、修改或者刪除數(shù)據(jù)庫內(nèi)的數(shù)據(jù)，獲取數(shù)據(jù)庫中的用戶名和密碼等敏感信息獲得數(shù)據(jù)庫管理員的權(quán)限如果能夠再利用SQLServer擴(kuò)展存儲(chǔ)過程和自定義擴(kuò)展存儲(chǔ)過程來執(zhí)行一些系統(tǒng)命令，攻擊者還可以獲得該系統(tǒng)的控制權(quán)SQL注入的隱蔽性SQL注入是從正常的WWW端口訪問，防火墻一般不報(bào)警，很難發(fā)現(xiàn)2.暴庫暴庫將對(duì)方數(shù)據(jù)庫的物理路徑暴露出來物理路徑與相對(duì)路徑物理路徑（絕對(duì)路徑）：從根目錄開始一直到該目錄全程的路徑相對(duì)路徑：相對(duì)于其它目錄的路徑2.暴庫什么導(dǎo)致了黑客可以成功暴庫？網(wǎng)站制作者的偷懶IE與ASP程序?qū)μ厥庾址盶”解析的不同暴庫手段Googlehack%5c暴庫網(wǎng)絡(luò)攻防技術(shù)2.暴庫%5c暴庫原理數(shù)據(jù)庫鏈接文件一個(gè)簡短的ASP程序，這段程序主要負(fù)責(zé)在服務(wù)器上找到數(shù)據(jù)庫并與之建立連接。通常這個(gè)文件名為:conn.aspConn.asp示例<%…Dimdb,connstr1,connstr2Db=”data/mdb.mdb”Connstr1=”Provider=Microsoft.Jet.OLEDB.4.0;DataSource=”Connstr2=connstr1&Server.MapPath(db)…%>

2.暴庫地址欄中地址改為：/bbs%5cconn.asp此時(shí)，系統(tǒng)會(huì)彈出錯(cuò)誤頁面%5c是“\”的URL編碼方式在IE地址欄中，“\”與“/”的含義相同，因此IE能夠正確將%5c解析成“\”conn.asp卻將bbs%5cmdb.mdb看成一個(gè)文件，會(huì)在目錄/即E:\Web目錄下去找數(shù)據(jù)庫文件，從而找不到而報(bào)出錯(cuò)誤2.暴庫得到錯(cuò)誤信息后如何處理？得到數(shù)據(jù)庫名，猜測數(shù)據(jù)庫的真正物理地址直接下載數(shù)據(jù)庫注意事項(xiàng)IE設(shè)置要將“顯示友好的HTTP錯(cuò)誤信息”關(guān)閉對(duì)方數(shù)據(jù)庫必須是ACCESS需要的是二級(jí)目錄，一級(jí)目錄很難成功3.跨站腳本跨站腳本（CSS/XSS）CSS-CrossSiteScripting在遠(yuǎn)程Web頁面的HTML代碼中插入的具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁面是可信的，但是當(dāng)瀏覽器下載該頁面時(shí)，嵌入其中的腳本將被解釋執(zhí)行3.跨站腳本服務(wù)器所運(yùn)行的腳本語言當(dāng)收到/a.asp?page=copy.htm

時(shí)顯示copy.htm頁面，否則返回頁面不存在ProofofConcept:/a.asp?page=<script>alert(‘a(chǎn)a’)</script>

3.跨站腳本跨站腳本的具體成因CGI程序沒有對(duì)用戶提交的變量中的HTML代碼進(jìn)行過濾或轉(zhuǎn)換。這種攻擊利用的是用戶和服務(wù)器之間的信任關(guān)系，以及Web站點(diǎn)沒有使用有效的輸入輸出驗(yàn)證來拒絕嵌入的腳本。3.跨站腳本跨站腳本攻擊的危害獲取其他用戶Cookie中的敏感數(shù)據(jù)屏蔽頁面特定信息，偽造頁面信息拒絕服務(wù)攻擊突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置與其它漏洞結(jié)合，修改系統(tǒng)設(shè)置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令本章主要內(nèi)容Web應(yīng)用程序攻擊概述基于用戶輸入的攻擊基于會(huì)話狀態(tài)的攻擊Web應(yīng)程序的安全防范基于會(huì)話狀態(tài)的攻擊Web會(huì)話從TCP到HTTP層缺少直接的會(huì)話層支持Web會(huì)話支持HTTP1.1增加了PersistentConnections支持，但是不能用于提供Web會(huì)話的功能目前使用的會(huì)話技術(shù)Cookie，用cookie作為permitticket用url記錄會(huì)話用表單中的隱藏元素記錄會(huì)話基于會(huì)話狀態(tài)的攻擊會(huì)話安全：劫持一個(gè)Web會(huì)話建立會(huì)話可能需要驗(yàn)證用戶的信息——認(rèn)證一旦會(huì)話被劫持，則Web用戶的安全性不復(fù)存在安全性涉及到客戶如何提供會(huì)話建立所需要的信息，以及會(huì)話標(biāo)識(shí)信息服務(wù)器如何管理會(huì)話基于會(huì)話狀態(tài)的攻擊會(huì)話攻擊步驟：找到會(huì)話狀態(tài)的載體回放會(huì)話狀態(tài)信息修改會(huì)話狀態(tài)信息解密會(huì)話狀態(tài)信息針對(duì)Cookie攻擊Cookie一般控制著對(duì)Web應(yīng)用程序的訪問，如果攻擊者偷竊了受害用戶的Cookie，那么攻擊者就可以使用受害者的Cookie來完全控制受害者的帳戶。Cookie技術(shù)Cookie通常是少量的與狀態(tài)有關(guān)的信息，它是服務(wù)器保存在客戶端的信息Cookie的動(dòng)機(jī)客戶在瀏覽多個(gè)頁面的時(shí)候，提供事務(wù)(transaction)的功能，為服務(wù)器提供狀態(tài)管理比如說，可以針對(duì)每個(gè)用戶實(shí)現(xiàn)購物籃實(shí)現(xiàn)授權(quán)策略，客戶不用為每個(gè)頁面輸入“用戶名/口令”但是，實(shí)際上，cookie很容易被濫用在提供個(gè)性化服務(wù)的時(shí)候，往往要收集一些涉及隱私的信息每個(gè)cookie都有一定的URL范圍客戶發(fā)送這個(gè)范圍內(nèi)的URL請(qǐng)求都要提供這個(gè)cookie利用cookie完成一個(gè)transactionCookie被濫用Cookies中往往會(huì)記錄一些涉及用戶隱私的信息，比如用戶的名字，email地址等如果客戶關(guān)閉了cookie的功能，則許多網(wǎng)站的