Web漏洞原理及检测-v3

Web漏洞原理及检测案例目录•常见Web漏洞介绍•漏洞检测策略•安全中心的支持目录•常见Web漏洞介绍–SQL–XSS–CSRF–跳转–信息泄漏–……目录•常见Web漏洞介绍–SQL–XSS–CSRF–跳转–信息泄漏–……SQL注入漏洞•SQL注入漏洞是由于对用户输入的参数未作处理就带入SQL语句中导致的‘or‘1’=‘1SQL注入形式•SQL注入漏洞常见的三种形式•整数型：select*from[table]whereid=10•字符型：select*from[table]whereid='10'•搜索型：select*from[table]whereidlike'%10%‘•针对SQL注入漏洞的三种形式的测试用例•整数型：select*from[table]whereid=10or1=1•字符型：select*from[table]whereid='10'or'1'=1'•搜索型：select*from[table]whereidlike'%10%'or'%'='%'SQL注入解决方案•你如何防止SQL注入呢？目录•常见Web漏洞介绍–SQL–XSS–CSRF–跳转–信息泄漏–……XSS漏洞•Q：我中奖了吗？XSS漏洞•XSS是跨站脚本（CrossSiteScripting）的简写。简言之，XSS注入是指黑客能够注入恶意代码到网页使得正常用户执行恶意代码•危害：恶意代码在客户端浏览器执行•XSS分类：持久型、非持久型持久型XSS•恶意代码存储到DB，每次访问该页面就会执行非持久型XSS•恶意代码不保存在服务器端，每次都需用户访问构造的特殊URLXSS的危害•会话劫持（他人付帐漏洞）•钓鱼•冒充用户身份•网页挂马•XSS蠕虫•……XSS的解决方案XSS的解决方案•如果允许用户输入富文本，比如发表Qqzone的日志，这个时候又该怎么保证安全呢？•XSS注入变形多样化imgsrc=javascript:alert()（普通的攻击）imgsrc=javascript:alert()（tab分隔）IMGSRC=“jav ascript:alert(10);”（tab实体分隔）IMGSRC=“jav ascript:alert(11);”（回车实体分隔）IMGSRC=javascript:alert('15')（全部是实体）…………（关于这个攻击代码的变化还有很多……是的，很多）XSS漏洞的测试•XSSCheatSheet目录•常见Web漏洞介绍–SQL–XSS–CSRF–跳转–信息泄漏–……CSRF漏洞•Cross-SiteRequestForgery，跨站请求伪造，指通过HTML、JS或者flash等载体控制浏览器使用当前会话向Web程序发送请求的攻击方式CSRF漏洞•安全解决方案验证码：让用户手工输入验证码Referer：验证HTTP请求来源Formtoken：在表单中增加随机token目录•常见Web漏洞介绍–SQL–XSS–CSRF–跳转–信息泄漏–……跳转漏洞跳转解决方案•在跳转之前一定要验证跳转的目标地址是否为合法站点，如果不是则不进行跳转，而是到错误页面或者指定的页面目录•常见Web漏洞介绍–SQL–XSS–CSRF–跳转–测试页面–信息泄漏–……测试页面•主要包含以下几个方面–测试文件–Bak文件–.svn/entries解决方案不要将测试无关的文件同步到外网目录•常见Web漏洞介绍–XSS–CSRF–跳转–测试页面–信息泄漏–……信息泄漏•针对恶意用户的请求，server端返回了过多的错误详情•解决方案：不要将错误的信息回显给用户，而改用统一的出错信息，比如“系统繁忙，请稍后再试”目录•常见Web漏洞介绍–CSRF–跳转–测试页面–信息泄漏–目录遍历–……目录遍历•解决方案：修改webserver的配置目录•常见Web漏洞介绍–跳转–测试页面–信息泄漏–目录遍历–后台–……管理后台•用户密码存在弱口令•管理后台直接放在外网管理后台的解决方案•不要将管理后台开放在外网，•如果确实需要，请将后台移动到合作专区，并且加入ip访问限制，增加复杂的帐户名密码，验证码目录•常见Web漏洞介绍–测试页面–信息泄漏–目录遍历–后台–上传漏洞–……上传漏洞•原因：接收上传文件的程序未做合法性校验•危害：1）直接上传PHP/JSP等脚本，黑客直接上传Web后门控制服务器（PHPSpy等）2）上传非图片格式的图片后缀文件：黑客上传HTML、Flash等格式的.jpg文件配合CSRF漏洞进行攻击•安全最佳实践：判断文件协议头和后缀目录•常见Web漏洞介绍–信息泄漏–目录遍历–后台–上传漏洞–Info–……INFO漏洞•INFO漏洞是CGI把输入的参数原样输出到页面•最佳安全实践：不要将用户的输入原样输出，而是采用case语句的形式给用户进行选择目录•常见Web漏洞介绍–目录遍历–后台–上传漏洞–Info–第三方模板–……第三方web模板的潜在威胁•第三方模版的引入就会增加站点的不可控性，如果第三方有漏洞，自身就也会被黑客利用。•最佳安全实践：不用第三方模版目录•常见Web漏洞介绍•漏洞检测策略•安全中心的支持漏洞检测策略•踩点准备，摸清流程•寻找带参数的CGI程序•提交各种BT的参数，看它如何反应•区分程序异常与正常的参数校验•使用网络工具辅助分析•使用专业扫描器缩小目标•由此及彼的推测：同一个程序员写的程序，可能会犯同样的毛病•旁敲侧击：同域不同主机上的应用•GoogleHacking技术目录•Web安全现状•常见Web漏洞介绍•漏洞检测策略•安全中心的支持•OWASP：•WebApplicationSecurityConsortium：有关Web应用安全谢谢•Q&A