工業(yè)互聯(lián)網(wǎng)安全 課件 任務(wù)2 工業(yè)互聯(lián)網(wǎng)應(yīng)用漏洞利用

任務(wù)2工業(yè)互聯(lián)網(wǎng)應(yīng)用漏洞利用文件包含漏洞是由攻擊者向Web服務(wù)器發(fā)送請求時，在URL中添加非法參數(shù)，Web服務(wù)器端程序變量過濾不嚴(yán)，把非法的文件名作為參數(shù)處理。這些非法的文件名可以是服務(wù)器本地的某個文件，也可以是遠(yuǎn)端的某個惡意文件。由于這種漏洞是由PHP變量過濾不嚴(yán)導(dǎo)致的，所以以只有基于PHP開發(fā)的Web應(yīng)用程序才有可能存在文件包含漏洞。任務(wù)描述本任務(wù)實(shí)現(xiàn)利用phpMyAdmin文件包含漏洞，遠(yuǎn)程訪問了網(wǎng)站目錄下的某文件，掌握文件包含漏洞的攻擊方法以及防御措施。工業(yè)應(yīng)用軟件的信息安全脆弱性1①工業(yè)應(yīng)用軟件的注入攻擊，除了傳統(tǒng)的SQL、OS與LDAP注入之外，應(yīng)特別關(guān)注NoSQL注入以及專用工業(yè)通信協(xié)議的注入。攻擊者可將惡意數(shù)據(jù)或者不受信任的數(shù)據(jù)或指令，注入到控制命令或者查詢指令當(dāng)中，誘使解析系統(tǒng)在未授權(quán)或者不當(dāng)授權(quán)的情況下，執(zhí)行非預(yù)期訪問或者命令。②身份認(rèn)證失效問題，比如在工業(yè)微服務(wù)當(dāng)中就采用了多種解決身份認(rèn)證及會話管理的方法，這些方法顯然對工業(yè)應(yīng)用軟件仍適用。知識導(dǎo)入工業(yè)應(yīng)用軟件的信息安全脆弱性1③敏感數(shù)據(jù)泄露問題，多由應(yīng)用程序及API產(chǎn)生，應(yīng)從工業(yè)數(shù)據(jù)自身及使用各環(huán)節(jié)來保證安全。④攻擊者能夠引用XML文件的外部實(shí)體，盜用統(tǒng)一資源標(biāo)識符（UniformResourceIdentifier，URI）文件處理器內(nèi)部文件與共享文件、監(jiān)聽內(nèi)部掃描端口、執(zhí)行遠(yuǎn)程代碼并進(jìn)行DoS攻擊。知識導(dǎo)入工業(yè)應(yīng)用軟件的信息安全脆弱性1⑤訪問控制不當(dāng)也是工業(yè)應(yīng)用軟件面臨的主要威脅之一，可以根據(jù)具體情況選用RBAC、RAAC等細(xì)粒度訪問控制機(jī)制來解決。⑥安全配置錯誤在工業(yè)應(yīng)用中極為常見，許多工控設(shè)備采取缺省配置、臨時配置，而這些配置通常安全性較差，在工業(yè)云存儲中體現(xiàn)的也較為明顯。知識導(dǎo)入工業(yè)應(yīng)用軟件的信息安全脆弱性1⑦工業(yè)應(yīng)用軟件面臨的跨站腳本攻擊也比較嚴(yán)重，工業(yè)Web中含有未受信任的數(shù)據(jù)，或者數(shù)據(jù)未經(jīng)恰當(dāng)轉(zhuǎn)義或者驗(yàn)證時，就可能導(dǎo)致XSS攻擊。另一種情況是，采用可創(chuàng)建JS、HTML的瀏覽器應(yīng)用程序接口實(shí)現(xiàn)Web升級時，可在被攻擊目標(biāo)瀏覽器當(dāng)中，執(zhí)行惡意腳本并劫持用戶會話、攻擊Web或令用戶重定向至惡意URL。⑧很多工業(yè)數(shù)據(jù)具有鮮明的時間序列化特征，但不安全的反序列化可為注入攻擊、重放攻擊、權(quán)限提升攻擊甚至是遠(yuǎn)程代碼執(zhí)行提供可能。知識導(dǎo)入工業(yè)應(yīng)用軟件的信息安全脆弱性1⑨在工業(yè)App中，使用微服務(wù)組件化來實(shí)現(xiàn)服務(wù)組合的場景比比皆是。這就要求各組件（比如工業(yè)微服務(wù)、模型庫、函數(shù)庫、各種框架及模塊等）與工業(yè)應(yīng)用軟件的權(quán)限保持一致，否則這些含有已知漏洞的組件就會成為當(dāng)然的安全短板，為工業(yè)應(yīng)用軟件引入嚴(yán)重的安全風(fēng)險。⑩日志記錄和監(jiān)控欠缺，不僅在工業(yè)應(yīng)用場景中常見，而且會為APT攻擊、安全事件傳播等帶來極大的繼發(fā)危害。知識導(dǎo)入知識導(dǎo)入工業(yè)應(yīng)用軟件的信息攻擊防范2（1）注入攻擊類漏洞攻擊與防范注入攻擊是指對含有語法含義的輸入內(nèi)容未能成功阻止，從而導(dǎo)致對相關(guān)數(shù)據(jù)、信息及服務(wù)的非法訪問。針對工業(yè)應(yīng)用軟件的典型注入攻擊通常為SQL、OS命令、XPATH、LDAP、JSON(JavaScriptObjectNotation)、URL等注入方式。如果工業(yè)Web應(yīng)用未判斷用戶輸入數(shù)據(jù)的合法性，攻擊者通過Web頁面的URL、表單等輸入?yún)^(qū)域，使用精心構(gòu)造的各種語句插入特殊字符和指令，獲得管理員權(quán)限，在Web頁面加掛木馬以及各種惡意代碼，通過與數(shù)據(jù)庫交互來獲得敏感信息或篡改數(shù)據(jù)庫信息。知識導(dǎo)入工業(yè)應(yīng)用軟件的信息攻擊防范2①盡可能采用安全API。②若無參數(shù)化API可用，則應(yīng)使用解釋器的Escape語法來實(shí)現(xiàn)特殊字符的規(guī)避。③對應(yīng)用程序是否安全使用解釋器進(jìn)行代碼審查，識別出使用解釋器的代碼并跟蹤其應(yīng)用數(shù)據(jù)流。④規(guī)范輸入驗(yàn)證方法。⑤使用第三方組件來構(gòu)建合格的JSON或SQL等語句。⑥通過掃描器與模糊測試工具實(shí)現(xiàn)滲透測試，以發(fā)現(xiàn)并確認(rèn)注入漏洞。知識導(dǎo)入工業(yè)應(yīng)用軟件的信息攻擊防范2（2）XML外部實(shí)體漏洞攻擊與防范在工業(yè)應(yīng)用軟件中，大量采用XML格式。XML外部實(shí)體漏洞攻擊由處理非信任外部實(shí)體數(shù)據(jù)所引發(fā)。XML支持用戶自行定義標(biāo)記語言來標(biāo)記數(shù)據(jù)或定義數(shù)據(jù)類型，文檔結(jié)構(gòu)由XML聲明、文檔元素組成，并可選文檔類型定義。知識導(dǎo)入工業(yè)應(yīng)用軟件的信息攻擊防范2XXE類與XEEE類漏洞攻擊的防范建議使用以下方法。①使用最新版XML解析庫，缺省禁止XXE解析。②將XXE、參數(shù)實(shí)體和內(nèi)聯(lián)文檔類型定義均設(shè)為false，以規(guī)避XXE漏洞攻擊。知識導(dǎo)入工業(yè)應(yīng)用軟件的信息攻擊防范2（3）不安全的反序列化類漏洞攻擊與防范工業(yè)應(yīng)用軟件采用的編程語言很多都具有序列化與反序列化功能。序列化功能將對象轉(zhuǎn)換為特定的字節(jié)序列數(shù)據(jù)格式，以便實(shí)現(xiàn)內(nèi)存、文件、數(shù)據(jù)庫存儲或通過工業(yè)網(wǎng)絡(luò)傳輸，此后再按需重建該對象。工業(yè)應(yīng)用軟件常用的文本格式有XML、JSON等，或者二進(jìn)制字節(jié)流。反序列化是序列化實(shí)現(xiàn)的可逆過程，將序列化輸出的文本格式或字節(jié)流還原為對象。知識導(dǎo)入工業(yè)應(yīng)用軟件的信息攻擊防范2與編程語言無關(guān)的反序列化攻擊規(guī)避或防范方法如下。①采用JSON、XML等純數(shù)據(jù)格式。盡量采用純數(shù)據(jù)格式，實(shí)現(xiàn)數(shù)據(jù)對象與業(yè)務(wù)對象的分離，規(guī)避反序列化的處理方式。這是一種從數(shù)據(jù)處理機(jī)制源頭上的治本方法。②簽名驗(yàn)證序列化數(shù)據(jù)。在序列化與反序列化處理源頭，對序列化數(shù)據(jù)進(jìn)行簽名，在反序列化時再進(jìn)行簽名驗(yàn)證，未通過驗(yàn)證者不予反序列化。知識導(dǎo)入工業(yè)應(yīng)用軟件的信息攻擊防范2對于特定的編程語言，也可以采取不同的反序列化攻擊規(guī)避或防范方法。以下以工業(yè)應(yīng)用軟件常采用的Java編程語言為例說明①利用ObjectInputStream類resolveClass()方法重載，通過類名白名單、黑名單校驗(yàn)，只允許特定類可以反序列化操作。②對于某些工業(yè)應(yīng)用軟件必須要序列化的對象，可將反序列化處理readObject()方法聲明為final，持續(xù)拋出異常，以保證該對象無法被反序列化。Web文件包含漏洞利用任務(wù)實(shí)施【任務(wù)目的】理解phpMyAdmin文件包含漏洞利用的思想；理解文件包含漏洞存在的原因；熟悉如何利用和防范文件上傳漏洞。Web文件包含漏洞利用任務(wù)實(shí)施【使用工具】滲透主機(jī)：Kali，用戶名：college，密碼：360College，工具：Burpsuite；目標(biāo)網(wǎng)站：WebBug，用戶名：college，密碼：360College，工具：phpstudy。Web文件包含漏洞利用任務(wù)實(shí)施【任務(wù)原理】1.此漏洞變化為CVE-2014-8959；2.受此漏洞影響的phpMyAdmin版本有：4.0.1–、

4.1.1–、4.2.1-4.2.12；3.文件包含漏洞點(diǎn)分析文件包含的點(diǎn)就出在$type_lower為什么URL中帶token提交請求【步驟1】

在目標(biāo)網(wǎng)站上啟動Phpstudy服務(wù)【步驟2】

滲透主機(jī)遠(yuǎn)程訪問phpMyAdmin在滲透主機(jī)上打開瀏覽器，在地址欄中輸入地址32/pentest/cve/phpmyadmin/，遠(yuǎn)程訪問phpMyAdmin。在遠(yuǎn)程訪問的phpMyAdmin登錄頁面中，使用root帳戶和root密碼登錄，自動跳轉(zhuǎn)到如圖頁面?！静襟E3】

遠(yuǎn)程登錄phpMyAdmin對應(yīng)的URL地址32/pentest/cve/phpmyadmin/index.php?token=867288b17a45f9073dff44223672e67b#PMAURL-0:index.php?db=&table=&server=1&target=&token=867288b17a45f9073dff44223672e67b【步驟4】

構(gòu)造URL修改URL地址32/pentest/cve/phpmyadmin/gis_data_editor.php?token=867288b17a45f9073dff44223672e67b&gis_data[gis_type]=/../../../../phpcve/password%00查看目標(biāo)Web服務(wù)器對應(yīng)的源碼文件任務(wù)評價任務(wù)評價了解工業(yè)應(yīng)用軟件的信息安全脆弱性了解工業(yè)應(yīng)用軟件的信息攻擊防范理解phpMyAdmin文件包含漏洞利用的思想熟悉如何利用和防范文件上傳漏洞任務(wù)測驗(yàn)選擇題

A.工業(yè)應(yīng)用軟件的注入攻擊B.身份認(rèn)證失效問題C.敏感數(shù)據(jù)泄露問題D.安全配置錯誤

在以下的工業(yè)應(yīng)用軟件的信息安全脆弱性表現(xiàn)，嚴(yán)重程度最高的是？（）A.注入攻擊類漏洞B.XML外部實(shí)體漏洞C.Web安全漏洞D.不安全的反序列化類漏洞

以下哪項不屬于工業(yè)應(yīng)用軟件常見的漏洞？（）。A.盡可能使用解釋器，而不要使用帶有參數(shù)化界面的APIB.規(guī)范輸入驗(yàn)證方法。比如