WEB Security-WEB安全入侵与防御讲课

华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.WEB安全ID:HolmesianEmail:Sholmesian@Gmail.comWebsite:接下来我们将交流……什么是WEB安全？安全事件会带来什么危害？最流行的WEB攻击方式有哪些？如何抵御常见的WEB攻击？怎样设计安全的WEB程序？华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.什么是网站安全华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.什么是webshellwebshell就是一个asp或php木马后门，黑客在入侵了一个网站后，常常在将这些asp或php木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起。然后黑客就可以用web的方式，通过asp或php木马后门控制网站服务器，包括上传下载文件、查看数据库、执行任意程序命令等。webshell最大的优点就是可以穿越防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的，因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.WebShell华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.常见WEB应用存在的漏洞SQL注入漏洞（SQLInjection）跨站脚本漏洞（XSS）远程包含漏洞文件上传漏洞Cookie被盗用及伪造后门和调试漏洞逻辑错误和配置问题旁注攻击监听（未加密的请求）华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.SQLInjection技术概述就攻击技术本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者编程中的漏洞，当攻击者能操作数据，向应用程序中插入一些SQL语句时，SQLInjection攻击就发生了。实际上，SQLInjection攻击是存在于常见的多连接的应用程序中的一种漏洞，攻击者通过在应用程序预先定义好的SQL语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询,篡改和命令执行。就风险而言，SQLInjection攻击也是位居前列，和缓冲区溢出漏洞相比，其优势在于能够轻易的绕过防火墙直接访问数据库，甚至能够获得数据库所在的服务器的系统权限。在Web应用漏洞中，SQLInjection漏洞的风险要高过其他所有的漏洞。安全风险华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.经典的SQLInjection漏洞dimrsadmin1=request(admin)password1=request(password)setrs=server.CreateObject(ADODB.RecordSet)rs.openselect*fromadminwhereadmin='&admin1&'andpassword='&password1&',conn,1ifrs.eofandrs.bofthenresponse.writeSCRIPTlanguage=JavaScriptalert('用户名或密码不正确！');response.writejavascript:history.go(-1)/SCRIPTresponse.endelsesession(admin)=rs(admin)session(password)=rs(password)session(aleave)=rs(aleave)response.redirectadmin.aspendifrs.closesetrs=nothing华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.SQLInjection产生原因在用户名和密码都填入'or''='SQL语句被构造成select*fromadminwhereadmin=‘'OR‘'=‘'andpassword=‘'OR‘'=‘‘SQL语句的实际意思变为admin为空或者空等于空，password为空或者空等于空的时候整个查询语句就为真。华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.SQLInjection利用发现注入点（and1=2、and1=1、'……）判断数据库类型（ACCESS、MYSQL、MSSQL……）利用数据库特性获得权限（MSSQL、Oracle……）构造语句猜解表名、字段名、敏感内容查找后台登陆地址、使用得到的密码成功登陆华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.SQLInjection实例=66=66and1=1=66and1=2=66andexists(select*fromadminwhere1=1andlen(password)=13andid=(Selectmax(id)Fromadminwhereidin(selecttop1idfromadminOrderbyid)))=66andexists(select*fromadminwhere1=1andasc(mid(cstr(password),1,1))between30and80andid=(Selectmax(id)Fromadminwhereidin(selecttop1idfromadminOrderbyid)))[62839-23922=38917|3141]华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.PHPSQLInjection判断是否存在注入,加';and1=1;and1=2判断版本andord(mid(version(),1,1))51/*返回正常说明是4.0以上版本，可以用union查询利用orderby暴字段，在网址后加orderby10/*如果返回正常说明字段大于10再利用union来查询准确字段，如:and1=2unionselect1,2,3,......./*直到返回正常，说明猜到准确字段数。如过滤了空格可以用/**/代替。判断数据库连接帐号有没有写权限，and(selectcount(*)frommysql.user)0/*如果结果返回错误，那我们只能猜解管理员帐号和密码了。华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.修补SQLInjection漏洞在服务端正式处理之前对提交数据的合法性进行检查；封装客户端提交信息；替换或删除敏感字符/字符串；（）屏蔽出错信息。华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.一个通用防注入的函数DimTc_Post,Tc_Get,Tc_In,Tc_Inf,Tc_Xh'定义需要过滤的字串Tc_In='|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|or|char|declareTc_Inf=split(Tc_In,|)'处理post数据IfRequest.FormThenForEachTc_PostInRequest.FormForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.Form(Tc_Post)),Tc_Inf(Tc_Xh))0ThenResponse.WriteScriptLanguage=JavaScriptalert('请不要在参数中包含非法字符尝试注入！');/Script'处理get数据IfRequest.QueryStringThenForEachTc_GetInRequest.QueryStringForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.QueryString(Tc_Get)),Tc_Inf(Tc_Xh))0ThenResponse.WriteScriptLanguage=JavaScriptalert('请不要在参数中包含非法字符尝试注入！');/Script华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.跨站脚本攻击Crosssitescripting简称XSS原理：由于WEB应用程序没有对用户的输入和输出进行严格的过滤和转换，就导致在返回页面中可能嵌入恶意代码。数据流程：恶意用户的Html输入—web程序—进入数据库—web程序—用户浏览器80%网站存在跨站漏洞,包括许多大型知名网站！华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.XSS的危害挂马插入恶意的脚本内容，运行病毒、木马。钓鱼篡改网页内容，骗取账号、密码等诈骗行为。劫持会话读取会话COOKIE,传送给第三方劫持身份。XSSWorm使用AJAX技术，做几何趋势的增长传播。华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.XSS实例1(document.cookie)%3E%3C%22/x/39/y/10/华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.XSS实例2=%22%3E华东交通大学日新网DECHENANPOWERSTATIONAUXILIARYEQUIPMENTCO.,LTD.跨站蠕虫流程图劫持会话记录会话模拟登录发送xss给好友删除个人信息华东交通大学日新网D