信息安全培训-Web应用安全攻防实战

11©NokiaSiemensNetworksPresentation/Author/DateCompanyConfidential高阶黑客攻防Web应用安全攻防实战西门子中国研究院目录Web对象直接引用二三四恶意代码执行一背景注入攻击五跨站脚本攻击六GoogleHackOWASP漏洞攻防七Web应用逐渐成为企业安全边界之一防火墙加固OSWeb服务器应用服务器防火墙数据库历史遗留系统WebServices文件目录人力系统计费系统定制的应用程序应用层攻击仅仅使用网络层的防护手段(防火墙,SSL,IDS,加固)无法阻止或检测到应用层攻击网络层应用层应用层作为安全边界的一部分，或许有巨大的漏洞2而Web应用的安全形势不容乐观……ƒ设计者开发者关注系统功能，忽略安全；ƒ定制开发系统的开发成本高，未能经过严格的安全测试；ƒ复杂应用系统代码量大；ƒ历史遗留系统代码修改困难；ƒ多个Web系统共同运行于同一台服务器上；ƒ开发人员未经过安全编码培训；ƒ……客户满意界面友好操作方便处理性能实现所有功能架构合理代码修改方便运行稳定没有bug不同模块低耦合安全？留给防火墙和Web服务器去完成开发进度与成本结论：Web应用=企业安全的阿基里斯之踵“75%ofattacksnowtakeplaceattheapplicationlayer”Gartner,2006“4,375vulnerabilitiesinthefirst9monthsof2006.Webflawsarethe3mostcommon.”MitreCorp,09/2006“Customizationofoff-the-shelfsoftwareistheweakestlinkinapplicationsecurity”.Gartner,09/2005“By2009,80%ofenterpriseswillfallvictimtoanapplicationattack”.Gartner,2007Web攻击场景攻击动机攻击动机攻击方法攻击方法攻击工具攻击工具系统漏洞系统漏洞防范措施防范措施攻击面（attacksurface）Web服务器黑客3Web攻击动机常见Web攻击动机ƒ恶作剧；ƒ关闭Web站点，拒绝正常服务；ƒ篡改Web网页，损害企业名誉；ƒ免费浏览收费内容；ƒ盗窃用户隐私信息，例如Email；ƒ以用户身份登录执行非法操作，从而获取暴利；ƒ以此为跳板攻击企业内网其他系统；ƒ网页挂木马，攻击访问网页的特定用户群；ƒ仿冒系统发布方，诱骗用户执行危险操作，例如用木马替换正常下载文件，要求用户汇款等；ƒ……常用的挂马exploitƒMS07-017MSWindowsAnimatedCursor(.ANI)RemoteExploitƒMS07-019ƒMS07-004VMLRemoteCodeExecutionƒMS06-073ƒMS06-071XMLCoreServicesRemoteCodeExecutionƒMS06-068ƒMS06-067ƒMS06-057WebViewFolderIcodActiveXƒMS06-055ƒMS06-014MDACRemoteCodeExecutionƒMS06-013ƒMS06-005ƒMS06-004ƒMS06-001Web攻击方法常见Web攻击方法ƒGooglehackƒ网页爬行ƒ暴力猜解ƒWeb漏洞扫描ƒ错误信息利用ƒ根据服务器版本寻找现有的攻击代码ƒ利用服务器配置漏洞ƒ文件上传下载ƒ构造恶意输入（SQL注入攻击、命令注入攻击、跨站脚本攻击）ƒHTTP协议攻击ƒ拒绝服务攻击ƒ其他攻击点利用（WebServices,Flash,Ajax,ActiveX,JavaApplet）ƒ业务逻辑测试ƒ……ƒ收集系统相关的通用信息ƒ将系统所有能访问页面，所有的资源，路径展现出来ƒURL、口令、数据库字段、文件名都可以暴力猜解，注意利用工具；ƒ利用Web漏洞扫描器，可以尽快发现一些明显的问题ƒ错误可能泄露服务器型号版本、数据库型号、路径、代码；ƒ搜索Google，CVE,BugTraq等漏洞库是否有相关的漏洞ƒ服务器后台管理页面，路径是否可以列表等ƒ是否可以上传恶意代码？是否可以任意下载系统文件？ƒ检查所有可以输入的地方：URL、参数、Post、Cookie、Referer、Agent、……系统是否进行了严格的校验？ƒHTTP协议是文本协议，可利用回车换行做边界干扰ƒ用户输入是否可以影响服务器的执行？ƒ需要特殊工具才能利用这些攻击点ƒ复杂的业务逻辑中是否隐藏漏洞？Web攻击工具：WebScarab特色：HTTP协议完全可见（可以完全操作所有的攻击点）支持HTTPS(包括客户端证书)全程数据与状态记录，可随时回顾=OpenWebApplicationSecurityProject，OWASP是昀权威的Web应用安全开源合作组织，其网站上有大量的Web应用安全工具与资料。Nokia是其成员之一WebScarab是OWASP组织推出的开源工具，可应用于一切基于HTTP协议系统的调试与攻击；4访问资源名称GET与POST参数Referer与UserAgentHTTP方法CookieAjaxWebServiceFlash客户端JavaAppletWeb攻击面：不仅仅是浏览器中可见的内容POST/thepage.jsp?var1=page1.htmlHTTP/1.1Accept:*/*Referer::en-us,de;q=0.5Accept-Encoding:gzip,deflateContent-Type:application/x-:Mozilla/4.0Host::JSESSIONID=0000dITLGLqhz1dKkPEtpoYqbN2uid=fred&password=secret&pagestyle=default.css&action=login直接可在浏览器中利用的输入所有输入点更多输入点黑客实际利用的输入点Web攻击漏洞：安全漏洞库Securityfocus网站的漏洞库名称为Bugtraq，它给每个漏洞编号叫BugtraqID。它的网址为：。Cve是和Bugtraq齐名的漏洞库，它给漏洞库编号叫CVEID，它的网址为：。Cert是美国国防部建立的组织，位于卡内基梅隆大学的软件工程学院，它也是权威的网络安全漏洞报告站点，它的网址为：。CVE与Bugtraq漏洞库都会对确认的漏洞进行统一编号，其编号是业界承认的统一标准，有助于避免混淆。在这些漏洞库中都可以查到大量的Web应用漏洞。Web攻击漏洞：2007OWASPTop100.00%5.00%10.00%15.00%20.00%25.00%30.00%A1A2A3A4A5A6A7A8A9A102007OWASPTop10排名2007年3月，OWASP对昀新的Web应用脆弱性进行了排名，并将前十名编制成册。其中前5名与SANS定期更新的Top20榜中Web应用脆弱性前5名基本一致。跨站脚本注入恶意代码引用不当CSRF52007OWASPTop10：第一名～第四名访问内部资源时，如果访问的路径（对文件而言是路径，对数据库而言是主键）可被攻击者篡改，而系统未作权限控制与检查的话，可能导致攻击者利用此访问其他未预见的资源；如果Web应用允许用户上传文件，但对上传文件名未作适当的过滤时，用户可能上载恶意的脚本文件（通常是Web服务器支持的格式，如ASP，PHP等）；脚本文件在Include子文件时，如果Include路径可以被用户输入影响，那么可能造成实际包含的是黑客指定的恶意代码；上述两种情况是造成恶意代码执行的昀常见原因。如果Web应用没有对攻击者的输入进行适当的编码和过滤，就用于构造数据库查询或操作系统命令时，可能导致注入漏洞。攻击者可利用注入漏洞诱使Web应用执行未预见的命令（即命令注入攻击）或数据库查询（即SQL注入攻击）。如果Web应用没有对攻击者的输入进行适当的编码和过滤，就转发给其他用户的浏览器时，可能导致XSS漏洞。攻击者可利用XSS在其他用户的浏览器中运行恶意脚本，偷窃用户的会话，或是偷偷模拟用户执行非法的操作；简介A4A3A2A1No.下载文件对象直接引用InsecureDirectObjectReference上传附件，上传头像搜索用户发帖子，发消息举例注入InjectionFlaws恶意代码执行MaliciousFileExecution跨站脚本CrossSiteScripting,简称为XSS漏洞名称2007OWASPTop10：第五名～第十名如果Web应用对URL访问控制不当，可能造成用户直接在浏览器中输入URL，访问不该访问的页面URL访问控制不当FailuretoRestrictURLAccessA10如果Web应用没有对网络通讯中包含的敏感信息进行加密，可能被窃听通讯加密不安全InsecureCommunicationA9如果Web应用没有正确加密存储敏感信息，可能被攻击者盗取。例如攻击者可能通过SQL注入手段获取其他用户的密码，如果Web应用对密码进行了加密，就可以降低此类威胁。如果Web应用的认证与会话处理不当，可能被攻击者利用来伪装其他用户身份Web应用可能不经意地泄露其配置、服务器版本、数据库查询语句、部署路径等信息，或是泄露用户的隐私。攻击者可利用这些弱点盗窃敏感信息。CSRF攻击即攻击者在用户未察觉的情况下，迫使用户的浏览器发起未预见的请求，其结果往往损害用户本身的利益。CSRF攻击大多利用Web应用的XSS漏洞，也有很多CSRF攻击没有利用XSS而是利用了HTML标签的特性。简介A8A7A6A5No.存储不安全InsecureCryptographicStorge错误信息揭示路径不明邮件中隐藏的html链接举例信息泄露与错误处理不当InformationLeakageandImproperErrorHandling认证与会话管理不当BrokenAuthenticationandSessionManagement跨站请求伪造CrossSiteRequestForgery,简称为CSRF漏洞名称OWASPTOP10，您打算从哪里开始？234567891016目录Web对象直接引用二三四恶意代码执行一背景注入攻击五跨站脚本攻击六GoogleHackOWASP漏洞攻防七2007OWASP第10名：URL访问控制不当举例：有的Web应用对页面权限控制不严，原因是缺乏统一规范的权限控制框架，导致部分页面可以直接从URL中访问，绕开登录认证。防范措施：统一规范权限控制如果Web应用对URL访问控制不当，可能造成用户直接在浏览器中输入URL，访问不该访问的页面URL访问控制不当FailuretoRestrictURLAccessA102007OWASP第9名举例：网络窃听（Sniffer）可以捕获网络中流过的敏感信息，如密码，Cookie字段等。高级窃听者还可以进行ARPSpoof，中间人攻击。防范措施：通讯加密。如果Web应用没有对网络通讯中包含的敏感信息进行加密，可能被窃听通讯加密不安全InsecureCommunicationA9HostAHostBRouterARouterB72007OWASP第8名举例：很多Web应用将用户口令以明文的方