WEB应用安全培训.ppt

WEB应用安全培训,常见WEB漏洞,常见WEB后门介绍,常见的Web漏洞,SQL注入,漏洞介绍 由于程序中对用户输入检查不严格，用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。 原因分析 其本质是由于对输入检查不充分，导致SQL语句将用户提交的非法数据当作语句的一部分来执行。,SQL注入,SQL注入分类： 按提交字符类型可分为： 数字型 字符型 搜索型 按HTTP提交方式可分为： GET、POST、Cookie 按注入方式可分为： 盲注 、 union注入、 报错注入、 基于时间注入 编码问题：宽字节注入,SQL注入,如何判断？ 1.单引号判断 2.数字型注入判断 and 1=1 and 1=2 and 1 is null and 1 is not null and user0 参数进行运算 +1 -1 +%2B 3.字符型注入判断 and 1=1 and 1=2 4.搜索型注入判断 test% and 1=1 and %= test% and 1=2 and %=,SQL注入-相关表,Sysobjects, syscolumns Information_schema. TABLES Table_schematable_name Information_schema. COLUMNS user_tab_columns user_tables,SQL注入-盲注,Access and (select top 1 asc(mid(id,1,1) from admin)0 MSSQL and (select top 1 ascii(substring(password,1,1) from admin)0 Mysql And(select ascii(substr(pass,1,1)from admin limit 1)0 oracle And(select ascii(substr(pass,1,1)form admin where rownum=1)0,SQL注入-报错,and (select top 1 name from sysobjects)=1 and (select 1 from (select count(*),concat(version(),floor(rand(0)*2)x from information_schema.tables group by x)a)%23 |utl_inaddr.get_host_name(select banner from v$version where rownum=1),SQL注入,MySQL写文件 /test.php?id=6 and 1=2 union select 1,2,4,5,6 into outfile C:/apache/htdocs/site/shell.php Load_file(读取文件的路径),SQL注入,搜索型注入 Select 相应字段 from 表名 where 搜索条件 Like 科技% and 1=1 and %=% 搜索关键字% and payload and %=,SQL注入,自动化工具 SQLMAP,SQL注入,自动化工具 Havij,SQL注入,自动化工具 Pangolin,XSS跨站脚本攻击,漏洞介绍 恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。 XSS本质是在于执行脚本javascript/html等攻击者的js能力越强攻击效果越惊人！ XSS漏洞分类：反射型XSS 存储型XSS,XSS跨站脚本攻击,XSS的危害,通过XSS执行的javascript，可以做到 窃取你正在浏览的cookies信息 篡改你正在浏览的页面，注入误导信息 捕获你的所有操作，并发送给黑客 从定向到黑客的钓鱼站点 利用浏览器的漏洞控制你的机器 ,持久型跨站脚本攻击场景,Web服务器,重要通知,Re:沙发！,Re:地板？,Re:地下室沙发,Re:地下室地板-_-!,Re：免费获取Q币！ 内容： 恶意代码,Re:谁又发垃圾广告啦？,XSS跨站脚本攻击,注册用户发帖，内容如下所示,XSS跨站脚本攻击,Admin用户登录浏览刚才的帖子,非持久型跨站脚本攻击场景,浏览器,浏览器,Outlook,正常访问,恶意代码隐藏在链接中,“reflected” 代码,1,From: 攻击者 To: 用户 免费赠送Q币！ CLICK HERE,恶意代码 安全上下文: 目标站点,普通合法会话 安全上下文: 目标站点,攻击者,Web服务器,普通用户客户端,恶意代码 执行！,XSS跨站脚本攻击,反射型XSS,XSS跨站脚本攻击,XSS攻击平台,CSRF跨站请求伪造,CSRF是什么？ CSRF（Cross-site request forgery）跨站请求伪造 。 你这可以这么理解CSRF攻击：攻击者盗用了你的身 份，以你的名义发送恶意请求。CSRF能够做的事情包 括：以你名义发送邮件，发消息，盗取你的账号，甚至 于购买商品，虚拟货币转账造成的问题包括：个人 隐私泄露以及财产安全。,跨站请求伪造(CSRF)场景,攻击者：小明 受害人：老王 银行网站： 恶意网站：www.B.com 1.A银行转账链接： /Transfer.php?toBankId=666&money=1000 2.http:/www.B.com/index.html ,CSRF跨站请求伪造,针对路由器的攻击 http:/admin:admin/userRpm/LanDhcpServerRp m.htm?dhcpserver=1&ip1=00&ip2=99& Lease=120&gateway=&domain=&dnsserver=&dnsserve r=&dnsserver2=&Save=%25B1%25A3+%2 5B4%25E6,Cookie欺骗,Cookie 用于身份验证 本地可控,Cookie欺骗示意图,通过用户名密码认证后将用户信息存储在Cookie里.,但是在做Cookie认证的时候,只读取了Cookie里面的用户名信息.,验证不充分之上传漏洞,客户端检测(javascript扩展名检测) 浏览器禁用JavaScript 服务端检测(MIME类型检测) 伪造Content-type: image/gif 服务端检测(文件头检测) 伪造文件头(GIF89a) 服务端检测(目录路径检测) %00截断 服务端检测(文件扩展名检测) 白名单 黑名单,验证不充分之文件包含,易受攻击的代码片断： 攻击者用如下请求可以包含图片木马： /test.php?content=x.jpg,验证不充分之任意文件读取,验证不充分之变量覆盖,易受攻击的代码片段： 上面的代码首先检查用户的密码是否为“hello“，如果匹配的话，设置“$auth“ 为“1“，即通过认证。之后如果“$suth“为“1“的话，就会显示一些重要信息。 这段代码假定“$auth“在没有设置值的时候是空的，但是攻击者可以创建任何 全局变量并赋值，通过类似“/test.php?auth=1“的方法，我 们完全可以欺骗这段代码，使它相信我们是已经认证过的。,逻辑漏洞,不同的用户错误 判断出存在admin用户,逻辑漏洞,找回密码设计缺陷 修改任意用户密码,解析漏洞,IIS 6.0解析漏洞 目录解析 /test.asp/test.jpg 文件解析 /test.asp;1.jpg IIS6.0 默认的可执行文件除了asp还包含这三种 /test.asa /test.cer /test.cdx,解析漏洞,Apache解析漏洞 Apache 是从右到左开始判断解析，如果为不 可识别解析，就再往左判断。 /test.php.xxx /test.php.rar,解析漏洞,Nginx解析漏洞 影响版本:0.5.,0.6., 0.7 = 0.7.65, 0.8 = 0.8.37 /test.jpg/1.php /test.jpg%00.php,第三方漏洞,FCKeditor 编辑器上传漏洞，任意创建文件漏洞 eWebEeditor编辑器，上传漏洞，遍历目录漏洞 ThinkPHP任意代码执行漏洞 Struts2远程命令执行漏洞 Web中间件（Tomcat、Weblogic、Jboss）,Struts2远程命令执行,tomcat,JBoss,Fckeditor/ewebeditor/kindeditor,遍历目录 上传漏洞 构造相应语句,弱口令,什么是弱口令？ 弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。 弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。,弱口令,TOMCAT弱口令直接上传WEBSHELL,弱口令,针对弱口令的爆破 Burpsuite、Hydra等,常见WEB后门介绍,什么是WEBSHELL？ 顾名思义，“web”的含义是显然需要服务器开放web服务 “shell”的含义是取得对服务器某种程度上操作权限。webshell 常常被称为匿名用户（入侵者）通过网站端口对网站服务器 的某种程度上操作的权限。由于webshell其大多是以动态脚本 的形式出现，也有人称之为网站的后门工具。,常见WEB后门介绍,PHP后门木马常用函数 执行系统命令: system(), passthru(), shell_exec(), exec(), popen(), proc_open() 代码执行与加密: eval(), assert(), call_user_func(),base64_decode(), gzinflate(), gzuncompress(), gzdecode(), str_rot13() 文件包含与生成