web常見漏洞與挖掘技巧.ppt

1、WEB常見漏洞與挖掘技巧研究,廣東動(dòng)易網(wǎng)絡(luò)吳建亮,Jannockwooyun,目錄,WEB常見漏洞及案例分析 WEB常見漏洞挖掘技巧 新型WEB防火墻可行性分析 Q/A,WEB常見漏洞及案例分析,SQL注入 XSS/CSRF 文件上傳 任意文件下載 越權(quán)問題 其它,SQL注入,產(chǎn)生SQL注入的主要原因是SQL語句的拼接,近一個(gè)月，我在烏云上提交的SQL注入類型,具體可以看一下： /whitehats/Jannock SQL注入是最常見，所以也是我在烏云上提交得最多的一種漏洞。 而這些注入漏洞中，大部分是完全沒有安全意識(shí)（防注意識(shí)）而造成的。 只有少數(shù)才是

2、因?yàn)榫幋a過濾或比較隱蔽而造成的注入。 從另一個(gè)角度來說，目前大家對(duì)SQL注入還是不夠重視，或者是開發(fā) 人員對(duì)SQL注入的了解還不夠深刻。,案例：經(jīng)典的萬能密碼,網(wǎng)站萬能密碼相信大家都不陌生。 但有沒有想到這萬能密碼會(huì)出現(xiàn)在某安全公司的內(nèi)部網(wǎng)站上？ 不過安全公司不重視安全，出現(xiàn)低級(jí)的安全漏洞，在烏云上也不見少數(shù)。,第一次發(fā)現(xiàn)時(shí)，直接是 用戶名：admin or = 密碼：任意 進(jìn)入后臺(tái)。 報(bào)告給官方后，官方的處理方式是直接加一個(gè)防火墻了事。（這種情況在烏云遇到過 幾次，可能是不太重視的原因。）,防注與繞過從來就是一對(duì)天敵，一個(gè)通用的防火墻很難針對(duì)任何一處都做到安全， 只想跟廠商說一句，防注，參數(shù)

3、化難道真那么難？代碼過濾一下比加一道防火墻困難么？,繞過技巧：在firebug 下，把用戶名的 input 改成 textarea ，為繞過輸入特殊字符作準(zhǔn)備,其實(shí)就是回車?yán)@過防火墻規(guī)則的檢測(cè),再次成功進(jìn)入后臺(tái)。,SQL注入關(guān)鍵字,參數(shù)化查詢 過濾(白名單) 編碼(繞過防注、過濾) MySQL寬字節(jié)(繞過addshalshes) 二次注入(任何輸入都是有害) 容錯(cuò)處理(暴錯(cuò)注入) 最小權(quán)限（目前，非常多root，見烏云）,XSS/CSRF,跨站腳本、跨站請(qǐng)求偽造 造成的危害不可少看 實(shí)戰(zhàn)中大部分無法突破的往往都是從XSS開始， XSS會(huì)給你帶來不少驚喜。 案例：跨站腳本拿下某團(tuán)購(gòu)網(wǎng),跨站腳本拿

4、下某團(tuán)購(gòu)網(wǎng),某次授權(quán)檢測(cè)一團(tuán)購(gòu)網(wǎng)，就是那種十分簡(jiǎn)單的團(tuán)購(gòu)網(wǎng)站，前臺(tái)功能不多，基本都是靜態(tài)或者是偽靜態(tài)，無從入手。然后看到有一個(gè)鏈接到論壇的一個(gè)團(tuán)購(gòu)心得版塊，于是想到，能不能XSS呢。 于是在論壇發(fā)一個(gè)貼，帶上跨站腳本。,數(shù)分鐘過后，腳本返回了某管理員的cookie信息，后臺(tái)路徑居然也記錄在cookie那里去了，這就是跨站腳本帶來的驚喜。,后面就順利了，直接欺騙進(jìn)入后臺(tái)，掃描后臺(tái)可以拿SHELL的地方，直接獲得SHELL,XSS/CSRF關(guān)鍵字,編碼（不需要支持HTML的地方編碼輸出） 過濾（過濾有危害的腳本） HttpOnly (防止cookie被盜取) 防CSRF常用方法 Token（生成表

5、單同時(shí)生成token，提交時(shí)驗(yàn)證token） 驗(yàn)證碼（重要操作可以加入） 檢查referer,文件上傳,常見案例情況 1）無防范（直接任意文件上傳） 2）客戶端檢查 3）服務(wù)端只檢查MIME 4）服務(wù)端保存原文件名 5）服務(wù)端保存路徑由客戶端傳送 6）上傳檢查邏輯錯(cuò)誤,簡(jiǎn)單找了一下烏云上的一些案例,/bugs/wooyun-2010-02706 服務(wù)端只檢查MIME HDwiki文件上傳導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞 /bugs/wooyun-2012-06775 客戶端檢查 對(duì)36氪的一次滲透測(cè)試 http:/www.wo

6、/bugs/wooyun-2012-06870 支付寶某頻道任意文件上傳漏洞 /bugs/wooyun-2012-07463 騰訊某分站任意文件上傳漏洞 /bugs/wooyun-2012-07914 服務(wù)端保存路徑由客戶端傳送 騰訊某分站任意文件上傳漏洞 /bugs/wooyun-2012-06517 江民病毒上報(bào)分站真能上傳（病毒） /bugs/wooyun-2012-06749 上傳檢查邏輯錯(cuò)誤 再暴用友ICC網(wǎng)站

7、客服系統(tǒng)任意文件上傳漏洞,文件上傳關(guān)鍵字,服務(wù)端 文件后輟白名單 文件名注意“;”(IIS6解釋漏洞) 文件名注意多“.”(某些apache版本解釋漏洞，如 x.php.jpg) 保存路徑注意 “.asp”目錄 （IIS6解釋漏洞） 截?cái)?(常見于asp),在開發(fā)中，由于比較多的情況是上傳文件后輟由客戶來配置，為了防配置錯(cuò)誤或后臺(tái)拿Shell等情況，所以很多時(shí)候?yàn)榱税踩珕栴}，隱藏文件真實(shí)路徑，這樣即使上傳了可執(zhí)行的腳本類型，但找不到真實(shí)的上傳路徑，也是徒勞無功。 但這樣往往又會(huì)引起“任意文件下載”漏洞。,任意文件下載,以讀取方式輸出文件內(nèi)容，有可能存在任意文件下載漏洞。 常見的情況有兩種 1）

8、直接傳路徑 2）數(shù)據(jù)庫(kù)儲(chǔ)存路徑,直接傳路徑型任意文件下載案例,/bugs/wooyun-2012-07326 騰訊某子站文件包含后續(xù)引發(fā)任意文件下載 ,/bugs/wooyun-2012-07696 騰訊某子站任意文件下載 :8080/picview?b=idpic&filename=./././././. /./././etc/passwd%00.png,/bugs/wooyun-2012-06912 淘寶網(wǎng)招聘頻道任意文件下載 etc/passwd%00&genFileN

9、ame=132000301eba4605f4c82b137babd890ed1c40593.zip,數(shù)據(jù)庫(kù)儲(chǔ)存路徑型任意文件下載案例,/bugs/wooyun-2012-07709 支付寶某子站任意文件下載漏洞,任意文件下載關(guān)鍵字,注意“.”字符(確保操作是在指定目錄下，防止轉(zhuǎn)跳到別的目錄) 文件類型 （確保下載的文件類型正確） 路徑截?cái)啵ǔＲ娪趈sp，asp）,越權(quán)問題,越權(quán)操作一般是查看，修改或刪除別人的信息，當(dāng)然還有其它更大的危害，常見于后臺(tái)的情況比較多。 前臺(tái)一般越權(quán)問題常見于信息泄漏，如訂單數(shù)據(jù)泄漏等，開發(fā)中比較常見的安全問題。,烏云越權(quán)案例:

10、 通過修改地址中的ID，越權(quán)操作別人的信息,/bugs/wooyun-2010-05255 凡客誠(chéng)品訂單泄漏漏洞 /bugs/wooyun-2012-04853 搜狐招聘查看任意用戶簡(jiǎn)歷 /bugs/wooyun-2012-05390 丁香人才任意簡(jiǎn)歷查看越權(quán) /bugs/wooyun-2011-03276 京東商城我的投訴查看信息越權(quán) /bugs/wooyun-2011-01399 起點(diǎn)中文網(wǎng)網(wǎng)

11、絡(luò)收藏夾越權(quán),越權(quán)問題關(guān)鍵字,信息ID+用戶ID （查看，修改，刪除等操作，必須帶上用戶ID，檢查用戶是否有這個(gè)權(quán)限操作）,如想了解更多開發(fā)中要注意的安全問題，可以下載動(dòng)易安全開發(fā)手冊(cè) 基于.NET 2.0 的網(wǎng)站系統(tǒng)開發(fā)注意到的安全問題。 下載地址： ,WEB常見漏洞挖掘技巧,白盒測(cè)試(代碼審計(jì)) 黑盒測(cè)試(功能測(cè)試、Google Hacker、工具掃描) 基于漏洞庫(kù)的漏洞挖掘,經(jīng)過前面對(duì)WEB常見漏洞的分析，我們可以總結(jié)一下漏洞挖掘的一些技巧。,白盒測(cè)試,常用工具 1、源代碼閱讀/搜索工具 2、WEB測(cè)試環(huán)境,由于開發(fā).net的關(guān)系，個(gè)人習(xí)慣Vs2010,在代碼審計(jì)方面，很多大牛也發(fā)表過很

12、多相關(guān)的技術(shù)文章，印象中最深刻是那篇高級(jí)PHP應(yīng)用程序漏洞審核技術(shù)確實(shí)能夠快速得找到常見漏洞，不過要找更深層的漏洞，必須了解程序的整體架構(gòu)，每一個(gè)小地方都有可能引起安全問題。 由于時(shí)間關(guān)系，下面主要分享一下，SQL注入審計(jì)常用方法,SQL注入代碼審計(jì)關(guān)鍵字,SQL注入 1、搜索 order by、in(、like 2、深入搜索 select update delete 3、注意SQL拼接的地方，進(jìn)入的變量是否有過濾處理（如果應(yīng)用程序有統(tǒng)一的變量處理，也可以逆向查找能繞過的變量，如編碼的地方： 關(guān)鍵decode、 stripcslashes等 ） 烏云案例 http:/www.wooyun.or

13、g/bugs/wooyun-2011-01725 DiscuzX1.5 有權(quán)限SQL注入BUG /bugs/wooyun-2011-02330 Discuz! X2 SQL注射漏洞,案例1、記事狗SQL注入 記事狗微博系統(tǒng)是一套創(chuàng)新的互動(dòng)社區(qū)系統(tǒng)，其以微博為核心，兼有輕博、SNS和BBS 特點(diǎn)，既可用來獨(dú)立建站也可通過Ucenter與已有網(wǎng)站無縫整合，通過微博評(píng)論模塊、 關(guān)注轉(zhuǎn)發(fā)機(jī)制打通全站的信息流、關(guān)系流，可大幅度提高網(wǎng)站用戶活躍度和參與度， 是新時(shí)代網(wǎng)站運(yùn)營(yíng)不可或缺的系統(tǒng)。 同樣，搜 索 select ，注意SQL拼接的地方 modulesajaxm

14、ember.mod.php,由于記事狗也加上IDS，但顯然，默認(rèn)規(guī)則是比較弱，依然可以盲注,ajax.php?mod=member&code=sel&province=1 and ascii(substr(select password from mysql.user limit 0,1),1,1)60,案例2、supesite 6.x-7.0 注入 SupeSite是一套擁有獨(dú)立的內(nèi)容管理(CMS)功能，并集成了Web2.0社區(qū)個(gè)人門戶系統(tǒng)X-Space ，擁有強(qiáng)大的聚合功能的社區(qū)門戶系統(tǒng)。 SupeSite可以實(shí)現(xiàn)對(duì)站內(nèi)的論壇(Discuz!)、 個(gè)人空間(X-Space)信息進(jìn)行內(nèi)容聚合

15、。任何站長(zhǎng)，都可以通過SupeSite， 輕松構(gòu)建一個(gè)面向Web2.0的社區(qū)門戶。,搜索UPDATE ，注意進(jìn)入SQL的參數(shù) viewcomment.php,注意參數(shù) rates ,直接的SQL語句拼接。,從代碼可以看出存在注入，利用： 打開一篇資訊評(píng)論的地方 ,提交評(píng)論，程序即暴錯(cuò)，可以利用暴錯(cuò)注入來獲取想要的數(shù)據(jù)。,黑盒測(cè)試,常用工具 1、瀏覽器 (Firefox) 2、FireBUG+Firecookie 3、Google,黑盒測(cè)試也是前面所介紹的漏洞注意的關(guān)鍵字和經(jīng)驗(yàn)所形成的條件反應(yīng)。 檢查一個(gè)功能是否存在安全問題，通常都是通過非正常方式提交非法參數(shù)，根據(jù)返回的信息來判斷問題是否存在。

16、如注入的地方常常提交“ ”。 fireBug是一個(gè)很好的工具，可以直觀地編輯HTML元素，繞過客戶客的驗(yàn)證等，還可以通過查詢網(wǎng)絡(luò)請(qǐng)求，看是否存在Ajax的請(qǐng)求，經(jīng)驗(yàn)告訴我們，Ajax比較容易出現(xiàn)漏洞。,烏云案例： /bugs/wooyun-2012-08178 騰訊某頻道root注入 案例中就是修改日志時(shí)，發(fā)現(xiàn)存在ajax請(qǐng)求，再修改請(qǐng)求中的參數(shù)，發(fā)現(xiàn)了注入的存在。,Google Hacker,再說一下Google Hacker Google Hacker在百度百科的介紹 很多人問我，我的google搜索是不是還有其它技巧，其實(shí)也是和上面百科介紹的差不多

17、，也是常 用 site: inurl:admin filetype:php intitle:管理 如搜上傳 site: inurl:upload / site: intitle:上傳 等 不過還有一點(diǎn)百科好像沒有提到，就是當(dāng)有很多結(jié)果時(shí)，我想排除一部分搜索結(jié)果。 可以用 “ - ”,44,像搜索： site: filetype:php 會(huì)有很多微博的，我想排除這些結(jié)果。,可以這樣搜: site: filetype:php -t. 出來的結(jié)果就沒有了微博的內(nèi)容了。,基于漏洞庫(kù)的漏洞挖掘,這個(gè)容易理解，通過對(duì)漏洞庫(kù)的學(xué)習(xí)和了解，可以挖掘更多同類型的漏洞，像烏云的漏洞庫(kù)。,烏云案例： http:/w

18、/tags/支付安全,烏云案例： /search.php?q=密碼修改,還有 ThinkPHP 遠(yuǎn)程代碼執(zhí)行 Struts2 框架遠(yuǎn)程命令執(zhí)行 等。 在這里感謝烏云為互聯(lián)網(wǎng)安全研究者提供一個(gè)公益、學(xué)習(xí)、交流和研究的平臺(tái)。,新型WEB防火墻可行性分析,我們?cè)倏催@個(gè)圖，有個(gè)問題，對(duì)于這樣的大站，在上線之前或者平時(shí)，相信 也有很多人用各種漏洞掃描工具掃描，為什么工具不能掃描出這種相對(duì)明顯 的“數(shù)字/字符型”的注入點(diǎn)呢？,我們回看這些注入的地方，發(fā)現(xiàn)大部分注入點(diǎn)都是Ajax請(qǐng)求，一般來說，我們了解的漏洞掃描工具都是以爬蟲式的偏列頁(yè)面的地址，但對(duì)于這種Ajax或者是Javascript觸發(fā)的請(qǐng)求，漏洞掃描工具就顯得無力了。 弱點(diǎn)：知道漏洞類型，但不知道有那些請(qǐng)求,我們?cè)倩乜醋⑷氚咐械腤EB防火墻，簡(jiǎn)單的換行就能繞過檢查規(guī)則？ 為什么呢？,傳統(tǒng)WEB防火墻，只能針對(duì)規(guī)則攔截，即針對(duì)參數(shù)中是否存在某些危險(xiǎn)關(guān)鍵字，如：select from，union select 等。但他不知道這個(gè)請(qǐng)求是否存在漏洞，什么漏洞？ 所以存在過慮不完整