Web应用安全培训

1Web应用安全汪涛2009-102目录Web对象直接引用二三四恶意代码执行一背景注入攻击五跨站脚本攻击六GoogleHackOWASP漏洞攻防七3Web来源于WorldWideWeb，Web系统是Internet的重要组成部分，形形色色的Web系统正在改变着我们的生活：网上购物网上汇款交费写博客Web小游戏竞选网上营业厅Web丰富了我们的生活4作为一种新型的市场渠道，网上营业厅能够为用户提供方便快捷的服务，能够降低实体店铺的成本，因此在各大运营商市场战略中占有重要的位置。近年以来，网上营业厅的安全问题越来越受到大众的关注，主要可以划分成4个方面：Web安全的意义工信部网上营业厅如果被不法分子攻陷，那么可能以此为跳板进入运营商的支撑网甚至核心网络，造成大面积通讯故障。普通用户网上到处叫卖的个人通话详单查询服务已经对老百姓的隐私造成了极大的破坏。移动集团一直就很重视客户信息保密的问题。运营商网上营业厅代表了企业对外的形象，每天访问用户数以万计，如果出现页面篡改、甚至网页挂马事件，对企业形象是巨大损失。运营商网上营业厅涉及充值交费等交易业务，容易吸引不法分子的眼球。如果利用安全漏洞造成交易欺诈，损害企业的经济利益。5Web系统逐渐成为企业安全边界之一防火墙加固OSWeb服务器应用服务器防火墙数据库历史遗留系统WebServices文件目录人力系统计费系统定制的应用程序应用层攻击仅仅使用网络层的防护手段(防火墙,SSL,IDS,加固)无法阻止或检测到应用层攻击网络层应用层应用层作为安全边界的一部分，或许有巨大的漏洞6而Web系统的安全性参差不齐……复杂应用系统代码量大、开发人员多、难免出现疏忽；系统屡次升级、人员频繁变更，导致代码不一致；历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上；开发人员未经过安全编码培训；定制开发系统的测试程度不如标准的产品；……客户满意界面友好操作方便处理性能实现所有功能架构合理代码修改方便运行稳定没有bug不同模块低耦合相对安全性而言，开发人员更注重系统功能！开发进度与成本开发者的关注点7定制开发的Web应用=企业安全的阿基里斯之踵“目前，75%的攻击发生在应用层”Gartner,2006“2006年前9个月内新发现4,375个漏洞.Web漏洞是其中最普遍的三类之一.”MitreCorp,09/2006，CVE的维护者“产品的定制开发是应用安全中最薄弱的一环”.Gartner,09/2005“到2009年,80%的企业都将成为应用层攻击的受害者”.Gartner,20078Web攻击场景攻击动机攻击方法攻击工具系统漏洞防范措施攻击面（attacksurface）Web服务器黑客9Web攻击动机常见Web攻击动机恶作剧；关闭Web站点，拒绝正常服务；篡改Web网页，损害企业名誉；免费浏览收费内容；盗窃用户隐私信息，例如Email；以用户身份登录执行非法操作，从而获取暴利；以此为跳板攻击企业内网其他系统；网页挂木马，攻击访问网页的特定用户群；仿冒系统发布方，诱骗用户执行危险操作，例如用木马替换正常下载文件，要求用户汇款等；……常用的挂马exploitMS07-017MSWindowsAnimatedCursor(.ANI)RemoteExploitMS07-019MS07-004VMLRemoteCodeExecutionMS06-073MS06-071XMLCoreServicesRemoteCodeExecutionMS06-068MS06-067MS06-057WebViewFolderIcodActiveXMS06-055MS06-014MDACRemoteCodeExecutionMS06-013MS06-005MS06-004MS06-00110Web攻击方法常见Web攻击方法Googlehack网页爬行暴力猜解Web漏洞扫描错误信息利用根据服务器版本寻找现有的攻击代码利用服务器配置漏洞文件上传下载构造恶意输入（SQL注入攻击、命令注入攻击、跨站脚本攻击）HTTP协议攻击拒绝服务攻击其他攻击点利用（WebServices,Flash,Ajax,ActiveX,JavaApplet）业务逻辑测试……收集系统相关的通用信息将系统所有能访问页面，所有的资源，路径展现出来URL、口令、数据库字段、文件名都可以暴力猜解，注意利用工具；利用Web漏洞扫描器，可以尽快发现一些明显的问题错误可能泄露服务器型号版本、数据库型号、路径、代码；搜索Google，CVE,BugTraq等漏洞库是否有相关的漏洞服务器后台管理页面，路径是否可以列表等是否可以上传恶意代码？是否可以任意下载系统文件？检查所有可以输入的地方：URL、参数、Post、Cookie、Referer、Agent、……系统是否进行了严格的校验？HTTP协议是文本协议，可利用回车换行做边界干扰用户输入是否可以影响服务器的执行？需要特殊工具才能利用这些攻击点复杂的业务逻辑中是否隐藏漏洞？11Web攻击工具：WebScarab特色：HTTP协议完全可见（可以完全操作所有的攻击点）支持HTTPS(包括客户端证书)全程数据与状态记录，可随时回顾=OpenWebApplicationSecurityProject，OWASP是最权威的Web应用安全开源合作组织，其网站上有大量的Web应用安全工具与资料。Nokia是其成员之一WebScarab是OWASP组织推出的开源工具，可应用于一切基于HTTP协议系统的调试与攻击；12访问资源名称GET与POST参数Referer与UserAgentHTTP方法CookieAjaxWebServiceFlash客户端JavaAppletWeb攻击面：不仅仅是浏览器中可见的内容POST/thepage.jsp?var1=page1.htmlHTTP/1.1Accept:*/*Referer::en-us,de;q=0.5Accept-Encoding:gzip,deflateContent-Type:application/x-:Mozilla/4.0Host::JSESSIONID=0000dITLGLqhz1dKkPEtpoYqbN2uid=fred&password=secret&pagestyle=default.css&action=login直接可在浏览器中利用的输入所有输入点更多输入点黑客实际利用的输入点13Web攻击漏洞：安全漏洞库Securityfocus网站的漏洞库名称为Bugtraq，它给每个漏洞编号叫BugtraqID。它的网址为：。Cve是和Bugtraq齐名的漏洞库，它给漏洞库编号叫CVEID，它的网址为：。CVE与Bugtraq漏洞库都会对确认的漏洞进行统一编号，其编号是业界承认的统一标准，有助于避免混淆。在这些漏洞库中都可以查到大量的Web应用漏洞。14Web攻击漏洞：2007OWASPTop100.00%5.00%10.00%15.00%20.00%25.00%30.00%A1A2A3A4A5A6A7A8A9A102007OWASPTop10排名2007年3月，OWASP对最新的Web应用漏洞按类别进行排名，并将前十名的脆弱性类别编制成册。其中前5名与SANS定期更新的Top20榜中Web应用脆弱性前5名基本一致。跨站脚本注入恶意代码引用不当CSRF152007OWASPTop10：第一名～第四名No.漏洞名称简介举例A1跨站脚本CrossSiteScripting,简称为XSS如果Web应用没有对攻击者的输入进行适当的编码和过滤，就转发给其他用户的浏览器时，可能导致XSS漏洞。攻击者可利用XSS在其他用户的浏览器中运行恶意脚本，偷窃用户的会话，或是偷偷模拟用户执行非法的操作；发帖子，发消息A2注入InjectionFlaws如果Web应用没有对攻击者的输入进行适当的编码和过滤，就用于构造数据库查询或操作系统命令时，可能导致注入漏洞。攻击者可利用注入漏洞诱使Web应用执行未预见的命令（即命令注入攻击）或数据库查询（即SQL注入攻击）。搜索用户A3恶意代码执行MaliciousFileExecution如果Web应用允许用户上传文件，但对上传文件名未作适当的过滤时，用户可能上载恶意的脚本文件（通常是Web服务器支持的格式，如ASP，PHP等）；脚本文件在Include子文件时，如果Include路径可以被用户输入影响，那么可能造成实际包含的是黑客指定的恶意代码；上述两种情况是造成恶意代码执行的最常见原因。上传附件，上传头像A4对象直接引用InsecureDirectObjectReference访问内部资源时，如果访问的路径（对文件而言是路径，对数据库而言是主键）可被攻击者篡改，而系统未作权限控制与检查的话，可能导致攻击者利用此访问其他未预见的资源；下载文件162007OWASPTop10：第五名～第十名No.漏洞名称简介举例A5跨站请求伪造CrossSiteRequestForgery,简称为CSRFCSRF攻击即攻击者在用户未察觉的情况下，迫使用户的浏览器发起未预见的请求，其结果往往损害用户本身的利益。CSRF攻击大多利用Web应用的XSS漏洞，也有很多CSRF攻击没有利用XSS而是利用了HTML标签的特性。不明邮件中隐藏的html链接A6信息泄露与错误处理不当InformationLeakageandImproperErrorHandlingWeb应用可能不经意地泄露其配置、服务器版本、数据库查询语句、部署路径等信息，或是泄露用户的隐私。攻击者可利用这些弱点盗窃敏感信息。错误信息揭示路径A7认证与会话管理不当BrokenAuthenticationandSessionManagement如果Web应用的认证与会话处理不当，可能被攻击者利用来伪装其他用户身份A8存储不安全InsecureCryptographicStorge如果Web应用没有正确加密存储敏感信息，可能被攻击者盗取。例如攻击者可能通过SQL注入手段获取其他用户的密码，如果Web应用对密码进行了加密，就可以降低此类威胁。A9通讯加密不安全InsecureCommunication如果Web应用没有对网络通讯中包含的敏感信息进行加密，可能被窃听A10URL访问控制不当FailuretoRestrictURLAccess如果Web应用对URL访问控制不当，可能造成用户直接在浏览器中输入URL，访问不该访问的页面17OWASPTOP10，您打算从哪里开始？2345678910118目录Web对象直接引用二三四恶意代码执行一背景注入攻击五跨站脚本攻击六GoogleHackOWASP漏洞攻防七192007OWASP第10名：URL访问控制不当举例：有的Web应用对页面权限控制不严，原因是缺乏统一规范的权限控制框架，导致部分页面可以直接从URL中访问，绕开登录认证。防范措施：统一规范权限控制。A10URL访问控制不当FailuretoRestrictURLAccess如果Web应用对URL访问控制不当，可能造成用户直接在浏览器中输入URL，访问不该访问的页面202007OWASP第9名举例：网络窃听（Sniffer）可以捕获网络中流过的敏感信息，如密码，