Web漏洞原理及检测-v.ppt

Web漏洞原理及检测,案例,目录,常见Web漏洞介绍漏洞检测策略安全中心的支持,目录,常见Web漏洞介绍SQLXSSCSRF跳转信息泄漏,目录,常见Web漏洞介绍SQLXSSCSRF跳转信息泄漏,SQL注入漏洞,SQL注入漏洞是由于对用户输入的参数未作处理就带入SQL语句中导致的,or1=1,SQL注入形式,SQL注入漏洞常见的三种形式整数型：select*fromtablewhereid=10字符型：select*fromtablewhereid=10搜索型：select*fromtablewhereidlike%10%针对SQL注入漏洞的三种形式的测试用例整数型：select*fromtablewhereid=10or1=1字符型：select*fromtablewhereid=10or1=1搜索型：select*fromtablewhereidlike%10%or%=%,SQL注入解决方案,你如何防止SQL注入呢？,目录,常见Web漏洞介绍SQLXSSCSRF跳转信息泄漏,XSS漏洞,Q：我中奖了吗？,XSS漏洞,XSS是跨站脚本（CrossSiteScripting）的简写。简言之，XSS注入是指黑客能够注入恶意代码到网页使得正常用户执行恶意代码危害：恶意代码在客户端浏览器执行XSS分类：持久型、非持久型,持久型XSS,恶意代码存储到DB，每次访问该页面就会执行,非持久型XSS,恶意代码不保存在服务器端，每次都需用户访问构造的特殊URL,XSS的危害,会话劫持（他人付帐漏洞）钓鱼冒充用户身份网页挂马XSS蠕虫,XSS的解决方案,XSS的解决方案,如果允许用户输入富文本，比如发表Qqzone的日志，这个时候又该怎么保证安全呢？XSS注入变形多样化（普通的攻击）（tab分隔）（tab实体分隔）（回车实体分隔）（全部是实体）（关于这个攻击代码的变化还有很多是的，很多）,XSS漏洞的测试,XSSCheatSheet/xss.html,目录,常见Web漏洞介绍SQLXSSCSRF跳转信息泄漏,CSRF漏洞,Cross-SiteRequestForgery，跨站请求伪造，指通过HTML、JS或者flash等载体控制浏览器使用当前会话向Web程序发送请求的攻击方式,CSRF漏洞,安全解决方案验证码：让用户手工输入验证码Referer：验证HTTP请求来源Formtoken：在表单中增加随机token,目录,常见Web漏洞介绍SQLXSSCSRF跳转信息泄漏,跳转漏洞,跳转解决方案,在跳转之前一定要验证跳转的目标地址是否为合法站点，如果不是则不进行跳转，而是到错误页面或者指定的页面,目录,常见Web漏洞介绍SQLXSSCSRF跳转测试页面信息泄漏,测试页面,主要包含以下几个方面测试文件Bak文件.svn/entries解决方案不要将测试无关的文件同步到外网,目录,常见Web漏洞介绍XSSCSRF跳转测试页面信息泄漏,信息泄漏,针对恶意用户的请求，server端返回了过多的错误详情解决方案：不要将错误的信息回显给用户，而改用统一的出错信息，比如“系统繁忙，请稍后再试”,目录,常见Web漏洞介绍CSRF跳转测试页面信息泄漏目录遍历,目录遍历,解决方案：修改webserver的配置,目录,常见Web漏洞介绍跳转测试页面信息泄漏目录遍历后台,管理后台,用户密码存在弱口令管理后台直接放在外网,管理后台的解决方案,不要将管理后台开放在外网，如果确实需要，请将后台移动到合作专区，并且加入ip访问限制，增加复杂的帐户名密码，验证码,目录,常见Web漏洞介绍测试页面信息泄漏目录遍历后台上传漏洞,上传漏洞,原因：接收上传文件的程序未做合法性校验危害：1）直接上传PHP/JSP等脚本，黑客直接上传Web后门控制服务器（PHPSpy等）2）上传非图片格式的图片后缀文件：黑客上传HTML、Flash等格式的.jpg文件配合CSRF漏洞进行攻击安全最佳实践：判断文件协议头和后缀,目录,常见Web漏洞介绍信息泄漏目录遍历后台上传漏洞Info,INFO漏洞,INFO漏洞是CGI把输入的参数原样输出到页面最佳安全实践：不要将用户的输入原样输出，而是采用case语句的形式给用户进行选择,目录,常见Web漏洞介绍目录遍历后台上传漏洞Info第三方模板,第三方web模板的潜在威胁,第三方模版的引入就会增加站点的不可控性，如果第三方有漏洞，自身就也会被黑客利用。最佳安全实践：不用第三方模版,目录,常见Web漏洞介绍漏洞检测策略安全中心的支持,漏洞检测策略,踩点准备，摸清流程寻找带参数的CGI程序提交各种BT的参数，看它如何反应区分程序异常与正常的参数校验使用网络工具辅助分析使用专业扫描器缩小目标由此及彼的推测：同一个程序员写的程序，可能会犯同样的毛病旁敲侧击：同域不同主机上的应用GoogleHacking技术,目录,Web安全现状常见Web漏洞介绍漏洞检测策略安全中心