web产品安全典型案例与测试实战分享.ppt

Web产品安全典型案例与测试实战分享测试技术部李晓南,安徽科大讯飞信息科技股份有限公司AnHuiUSTCiFlyTekCO.,LTD.,常见安全漏洞,安全测试流程,典型案例,主要内容,常见安全漏洞,安全测试流程,典型案例,主要内容,问题描述,Page4,又有任务了！又被挂马了！那就先扫扫马儿吧！,看到这个邮件你会想到什么？,问题描述,原因分析,Page5,果然“万马奔腾”,原因分析,原因分析,Page6,你是那么坏,原因分析,城堡结构图：发生时间点：2012年5月可能进城方式：SQL注入、文件上传,Page7,但是，木马是怎么进城的呢？,原因分析,寻找日志（无果）代码扫描SQL注入（无果）寻找系统上传点（无果）,Page8,于是乎,原因分析,原因分析,Page9,但这仅仅是猜想,忽然间,原因分析,运维人员定期对现网服务器进行木马扫描开发人员对代码扫描中的安全隐患进行修复项目组在应用程序发布前进行一轮安全性测试结合安全上线指标,Page10,临时解决方案,问题描述,Page11,该来的还是来了-陕西普通话站点又出问题了,类似系统类似问题但这次没有木马,问题描述,Page12,前车之鉴源头一定要堵上,源头没有堵上关键点没有考虑全面没有进行系统化测试,原因分析,解决方案,Page13,不离不弃GoogleHacking,解决方案,解决方案,Page14,峰回路转,解决方案,【安全漏洞预警2013-11-26】畅言教育网存在高危安全漏洞，用户可上传木马至服务器【安全漏洞预警2013-12-23】国家普通话水平测试信息管理系统“”存在任意文件上传漏洞，导致服务器可被挂马【安全漏洞预警2014-01-02】安徽省工商联统一会员数据库服务器可被挂马（也会影响到联商在线）【安全漏洞预警2014-03-24】讯飞研究院的个性化语音社区存在上传挂马漏洞安全测试小组现网产品人工渗透结果2014073003：语音云官网存在文件上传漏洞，可导致服务器被控制安全测试小组现网产品人工渗透结果2014081412：存在另一处文件上传漏洞，可导致服务器被控制及网页被篡改,Page15,世界很大，我的眼里都是你世界很小，我的眼里只有你,现状,站点入口一定要全部清楚站点一定不要遗漏安全测试文件上传一定要严格控制客户端、服务端均校验上传文件的后缀名随机重命名上传的文件上传目录不开启执行权限,Page16,建议,Page17,网站备份你有吗？,问题描述,Page18,目录浏览你有吗？,问题描述,Page19,Struts2、Discuz、Siteserver、ThinkSNS。你有吗？,问题描述,安全测试小组现网产品人工渗透结果2014072301：讯飞官网存在服务器任意文件下载漏洞安全测试小组现网产品人工渗透结果2014080606：教育评价系统网站备份文件可下载安全测试小组现网产品人工渗透结果2014081108：教育评价系统网站存在目录浏览漏洞安全测试小组现网产品人工渗透结果2014081310：语音云开放平台Linux系统密码文件曝露及程序物理目录曝露安全测试小组现网产品人工渗透结果2014081411：语音云开放平台SSO认证存在默认配置风险及敏感性信息曝露安全测试小组现网产品人工渗透结果2014082014：开心熊宝存在目录浏览漏洞导致相关Webservice泄露【安全漏洞预警2013-11-18】科大讯飞招聘官网因使用SiteserverCMS3.4.3架构，导致存在严重注入漏洞【安全测试团队漏洞公告】SiteserverCMS中后台找回密码功能模块存在严重校验漏洞安全测试团队漏洞公告2013-11-1：apache+mod_cgid+php存在严重攻击漏洞安全测试团队漏洞公告2013-11-18：SiteserverCMS3.6.3以下版本存在严重注入漏洞及XSS类漏洞【安全漏洞预警2014-03-24】智元网站后台编辑器eWebEditor登录密码已经曝露，请尽快修改【安全漏洞预警2014-03-24】智能语音分析系统因使用JBOSS的后台，且配置不完善导致出现远程部署挂马漏洞,Page20,满满都是你！,问题描述,Page21,占比80%,问题描述,Page22,修复困难吗？开发人员安全意识薄弱，代码拷贝，组件滥用，没有安全编码规范，导致产品存在安全隐患运维人员缺乏基础安全配置导致安全问题，临时版本随意上线、系统和相关组件没有定期更新，导致产品出现安全问题架构设计时未充分考虑安全需求，架构采取不安全的外部开源代码、插件、CMS、论坛系统等，导致了产品存在安全缺陷,Why？,NO，其实你比我懂,原因分析,Page23,怎么办？,安全培训,安全配置,安全编码,上线标准,安全评审,安全测试,解决方案,Page24,解决方案,Page25,解决方案,解决方案-接口人,Page26,解决方案-接口人,解决方案-成功案例,Page27,成功案例,扩大安全巡检范围加强人工渗透力度完善安全测试实验室补充安全测试接口人,Page28,后期计划,请批评指正！,谢批评指正！,交流时间,我们身边的安全问题,CSDN京东数据库泄露酒店开房信息泄露。,我们身边的安全问题,我们身边的安全问题,网站打不开了网站首页上多了一则小广告网站被挂木马了我的账号密码怎么失效了后台管理系统被入侵了内网被渗透了,什么是Web安全呢,Web安全分类,常见安全漏洞,安全测试流程,典型案例,主要内容,I,II,III,IV,SQL注入,XSS漏洞,目录遍历漏洞,常见安全漏洞,V,文件上传漏洞,CSRF漏洞,常见安全漏洞,I,II,III,SQL注入,XSS漏洞,目录遍历漏洞,常见安全漏洞,V,文件上传漏洞,CSRF漏洞,IV,常见安全漏洞,一个简单拓扑图,客户端,数据库,脚本引擎,用户想要查看newsid为91的新闻,请求,返回,请求,返回,获取参数newsid的值为91，动态构造SQL语句：Select*fromNEWSwherenewsid=91，向数据库发起查询请求,在NEWS表中查询newsid为91的所有记录,返回查询到的所有记录,处理返回的所有记录，如过滤和编码特殊字符等，生成静态网页并返回给客户端,将网站返回的网页展示给用户,动态网页如何生成？,示例演示:9:8080/DVWA/vulnerabilities/sqli/,思考提问:SQL注入漏洞的成因是什么?,数据与代码未严格分离；用户提交的参数数据未做充分检查过滤即被代入到SQL命令中，改变了原有SQL命令的“语义”，且成功被数据库执行。,SQL注入漏洞的成因:,SQL注入式怎样形成的？,漏洞描述很多应用程序都使用数据库来存储信息。SQL命令就是前端应用程序和后端数据库之间的接口。攻击者可利用应用程序根据提交的数据动态生成SQL命令的特性，在URL、表单域，或者其他的输入域中输入自己的SQL命令，改变SQL命令的操作，将被修改的SQL命令注入到后端数据库引擎执行。,原理,SQL注入,手工方法利用工具：Havij、Pangolin、Sqlmap,SQL注入,SQL,“Update工资SetMoney=Money*”.$_GET努力;,SQL注入危害,SQL注入,SQL注入,I,II,III,IV,SQL注入,XSS漏洞,目录遍历漏洞,常见安全漏洞,V,文件上传漏洞,CSRF漏洞,常见安全漏洞,示例演示9:8080/DVWA/index.phpXSS漏洞描述跨站脚本攻击（Cross-sitescripting，通常简称为XSS）它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。如获取用户Cookie信息,XSS漏洞,XSS漏洞,类型反射型（Non-persistent）通过GET、POST、Referer等参数未加处理直接输出到页面执行。最为常见的，攻击者主要利用此类型通过email、热度非常大的论坛、或者有针对性的某一用户发送一个隐藏性的链接，让受害者进行点击触发。存储型（Persistent）由攻击者输入恶意数据保存在数据库，再由服务器脚本程序从数据库中读取数据，然后显示在公共显示的固定页面上，那么所有浏览该页面的用户都会被攻击。攻击性非常大，危险也非常大。论坛评论，发表日志等场景DOM型（DOM-based）由Javascript脚本动态创建、输出到页面造成的。较难发现，危险也非常大，常出现在查看大图，点击播放音乐，自动播放音乐等场景,XSS漏洞,手工方法：XSS用例填入输入框，查看对应的字符是否执行或相关字符如/.jpg）,检测方法上传asp、php、jsp等脚本扩展文件上传双扩展名文件（/dir.asp/diy.jpg，dir.asp;.jpg）Appscan工具进行自动化扫描,示例,文件上传漏洞,手工验证,文件上传漏洞,解决方法：判断文件类型：使用白名单方式验证，验证扩展名，保留最后唯一的白名单扩展（客户端+服务端）。而不是黑名单，因为黑名单可能会列不全，还可能会造成一些bypass的风险图片文件进行resize处理，如果失败，返回上传失败。文件上传目录设置为不可执行，减小执行动态语言脚本的风险。如果被成功上传了一个we