安全测试.ppt

跨站点伪造请求 主要内容 安全测试简介安全测试目的安全测试面向的问题攻击方法总结京广合作案列实战 什么是安全测试 安全测试定义安全测试是在IT软件产品的生命周期中 特别是产品开发基本完成到发布阶段 对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程 安全测试目的 提升IT产品的安全质量尽量在发布前找到安全问题予以修补降低成本度量安全 安全测试面向的问题 一般性安全漏洞类型 SQL注入跨站点敏感信息跨站点请求伪造URL重定向 SQL注入 将语句注入到拼接的sql语句中 使原sql语句语义发生变化 工具扫描发现sql注入点 SQL注入的解决方法 SQL注入高发位置 用于查询检索的功能登陆 注册等功能展现数据库信息的功能 跨站点脚本编制 伪造请求 盗取cookie 欺骗 工具扫描发现跨站点漏洞 跨站点解决方法 跨站点高发位置 需要将用户输入信息返回给客户端如评论错误异常时返回参数值会记录用户的输入信息 并在指定位置显示 敏感信息 错误信息中包含源码信息暴露物理路径应用配置信息数据库错误信息邮箱信息用户信息 跨站点请求伪造 引诱以验证身份的用户 发送不可预知的请求 跨站点请求伪造修改方法 URL重定向滥用 跳转地址由客户端传值 对跳转的地址进行控制 一般性漏洞测试方法 安全扫描 安全测试扫描 IBMRationalAppScan简介 版本 8 0 0 3针对web系统的安全扫描工具 工具使用 新建扫描 新建一个综合扫描 工具使用 扫描入口 在设置向导中添加扫描入口地址 工具使用 记录登录 记录登陆入口口令 POST请求 常见问题 除了录制登陆请求外还要记录一些输入操作记录时无访问目标网站时 修改代理为不使用代理 工具使用 排除路径 排除会影响扫描的路径 排除注销链接 避免失去会话排除较危险功能如配置删除 清空数据等 工具使用 通信代理设置 设置代理 通信代理默认设置为 使用InternetExplorer代理设置 往往是访问不了测试的网站 一般修改为 不使用代理 工具使用 测试策略 WASC威胁分类 时间充裕时可使用所有策略时间不充裕时选用SQL注入 URL重定向滥用 跨站点请求编制 跨站点请求伪造 信息泄露分析用户扫描结果 选用相应的测试策略 开始扫描 扫描常见问题 会话丢失 扫描时间较长 无人看守时扫描意外终止导致丢失会话 可通过点击任意一个漏洞 选择浏览器查看 会话丢失后会要求再次登陆 在此浏览器下登录即可服务器无响应 重启服务 查看扫描日志分析是那些请求导致服务无响应 内存不足 菜单中工具 选项 监控内存消耗和磁盘空间 选中该选项能监控 但是不能解决问题 可先保存结果 重启机器后再次扫描 一般保存的文件在1G左右易出现该现象 不建议用该工具扫描大型项目网站 必要时修改策略 减少测试用例 程序内部错误 无解 扫描保存影响测试效率 菜单工具 选项 扫描过正中自动保存 取消该选项 分析扫描结果 配合扫描工具提供的信息进行分析 问题信息 描述工具的测试过程咨询 描述漏洞特点 内容修订建议 给出建议的修改方法手工测试 提供修改的请求 可手工发送请求查看测试结果测试结果有可能是误报 可对漏洞右键进行重新测试 消除误报的漏洞有许多漏洞的扫描结果需要人工手工分析确认 工具仅给出可能存在漏洞的警告 如基于dom的跨站点请求伪造 漏洞中多个参数时需逐一分析 避免遗漏以及误报 扫描测试报告 工具生成报告提供给开发的报告对外开放的报告 扫描注意 坚决不在在线系统上进行扫描操作严格要求备份数据库 系统对参数校验不严 导致系统脚本中出现死循环 从而服务崩溃 测试时考虑不周 造成用户在线数据库多出垃圾数据 其他工具的扫描 黑盒白盒 分析请求构造 分析页面源代码 分析服务器响应结果 了解漏洞特点 攻击方法 分析对应的代码 给出合理的分析结论 手工安全测试 应用程序内部漏洞 绕过客户端限制请求构造越权操作篡改数据功能安全漏洞 绕过客户端限制 通过JS html标签属性等限制长度 特殊字符 格式文件等限制 客户端限制解决方法 服务端做相同限制 客户端限制测试方法 客户端限制高发位置 注册 系统设置文件上传 请求构造越权操作 低权限用户构造高权限用户请求 越权修改方法 对身份类别的用户进行严格的权限认证 越权测试方法 越权高发位置 系统设置页面内功能Post请求目标地址 篡改数据 篡改关键参数值尤其是判断身份的参数 篡改数据测试方法 截获功能请求修改敏感参数常见敏感参数userid username等 篡改数据解决方法 对敏感参数 身份判断参数采用服务端获取 篡改数据高发位置 功能安全漏洞 功能自身验证不充分或自身存在安全漏洞 功能漏洞修改方法 对自身存在安全漏洞的功能加强权限限制对功能限制做严格的服务端判断 功能漏洞测试方法 分析功能特点 评估功能使用与安全的冲突分析功能请求 了解每个请求的含义 功能漏洞高发位置 需编辑html代码的功能功能实现需多个请求完成的功能 测试工具 Fiddler权限测试工具 Fiddler 截获请求修改请求分析请求参数 详细使用参考 Fiddler常用功能 启动即可捕获请求F11设置断点 截获请求 使请求无法发送至服务器设置断点后可对请求进行修改 常用视图有Inspectors下的Headers TextView WebForms以及返回信息视图中的TextView Headers查看请求头信息常用来修改cookieTextView Inspectors下的 以连续的字符串形式展现参数 便于构造Get请求WebForms能清楚的看出参数结构 便于篡改请求的参数值TextView 返回视图下的 便于查看服务器响应结果 权限测试工具 工具开发目的工具开发思路工具缺陷 权限测试工具使用 修改配置文件 url 介质根目录地址Path 介质物理路径Num 调整链接结构Type 要提取的文件类型Filter 一键测试要过滤的链接请求 攻击方法总结 以SQL注入的方法破坏数据库或盗取信息以跨站点的方式修改页面执行非法操作以跨站点请求伪造的方式欺骗用户搜集敏感信息提高攻击成功率绕过客户端限制上传非法文件 提交非法请求等分析应用功能越权 篡改请求 寻找功能漏洞等 京广合作 广分对客户的测试结果做初步分析广分提供客户的工具扫描测试报告 产品版本信息等北京测试人员提供测试分析结果 案例实战 SQL注入跨站点Appscan的使用绕过客户端限制越权操作功能安全漏洞篡改数据 SQL注入实战 常州国旅 跨站点漏洞实战 WCM发短消息在短消息中html代码中添加如下代码从而窃取cookiewindow location Appscan的使用 扫描入口 http 192 168 137 21 8089 wcm app login jsp 绕过客户端限制 WCM注册http localhost 8080 wcm person password reset dowith jsp userid 1 OldPassword 12345678 newpassword 123 越权操作 IDS后台设置页面访问http localhost 8080 ids admin sys navigation jsp 功能安全漏洞 EKP修改密码功能修改密码的请求如下 http localhost 8081 ekp KMSV65 client user validate password jsp UserId 1 Password trsadminhttp localhost 8081 ekp KMSV65 client user user modify password dowith jsp trandom 0 522060417190103 UserId 1 newPassword 12345678 PasswordLev 1 篡改数据 WCM修改个人信息http localhost 8080 wcm person reginfo edit dowith jsp UserId 1 ObjectXML WCMOBJ CSRF是Web应用程序的一种常见漏洞 其攻击特性是危害性大但非常隐蔽 尤其是在大量Web2 0技术的应用背景下 攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击 目录 CONTENTS 跨站点伪造请求 检测CSRF漏洞 XSS与CSRF CSRF漏洞预防 01 02 03 04 LOGO 跨站点伪造请求 01 跨站点伪造请求 LOGO 具体来说 攻击者盗用了你的身份 以你的名义发送恶意请求 对服务器来说这个请求是完全合法的 但是却完成了攻击者所期望的一个操作 比如以你的名义发送邮件 发消息 盗取你的账号 添加系统管理员 甚至于购买商品 虚拟货币转账等 CSRF Cross SiteRequestForgery 跨站点伪造请求 是一种网络攻击方式 该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点 从而在未授权的情况下执行在权限保护之下的操作 具有很大的危害性 第二步 第三步 第四步 第五步 第一步 用户C打开浏览器 访问受信任网站A 输入用户名和密码请求登录网站A 在用户信息通过验证后 网站A产生Cookie信息并返回给浏览器 此时用户登录网站A成功 可以正常发送请求到网站A 用户未退出网站A之前 在同一浏览器中 打开一个TAB页访问网站B 网站B接收到用户请求后 返回一些攻击性代码 并发出一个请求要求访问第三方站点A 浏览器在接收到这些攻击性代码后 根据网站B的请求 在用户不知情的情况下携带Cookie信息 向网站A发出请求 网站A并不知道该请求其实是由B发起的 所以会根据用户C的Cookie信息以C的权限处理该请求 导致来自网站B的恶意代码被执行 跨站点伪造请求 LOGO 跨站点伪造请求 LOGO CSRF站外类型的漏洞本质上就是传统意义上的外部提交数据问题 攻击者事先预测并设置请求的参数 在站外的Web页面里编写脚本伪造文件请求 或者和自动提交的表单一起使用来实现GET POST请求 当用户在会话状态下点击链接访问站外Web页面 客户端就被强迫发起请求 站外 CSRF站内类型的漏洞在一定程度上是由于程序员滥用REQUEST类变量造成的 程序除支持接收POST请求传递的参数外也支持接收GET请求传递的参数一般攻击者只要把预测的请求参数放在站内一个贴子或者留言的图片链接里 受害者浏览了这样的页面就会被强迫发起这些请求 站内 CSRF攻击分类 Axous是一款网上商店应用软件 Axous1 1 1以及更低版本在实现上存在一个CSRF漏洞 远程攻击者可以通过构造特制的网页 诱使该软件管理员访问 成功利用此漏洞的攻击者可以添加系统管理员 利用此漏洞主要包含以下三个过程 1 攻击者构造恶意网页 在实施攻击前 攻击者需要构造一个与正常添加管理员用户基本一样的网页 在该恶意网页中对必要的参数项进行赋值 并将该网页的action指向正常添加管理员用户时访问的URL 核心代码如图所示 2 攻击者利用社会工程学诱使Axous系统管理员访问其构造的恶意网页 3 执行恶意代码 当系统管理员访问恶意网页时 恶意代码在管理员不知情的情况下以系统管理员的合法权限被执行 攻击者伪造的管理员账户添加成功 跨站点伪造请求 LOGO XSS与CSRF 02 第四季度 第三季度 XSS全称 CrossSiteScripting 跨站脚本攻击 是Web程序中最常见的漏洞 指攻击者在网页中嵌入客户端脚本 例如JavaScript 当用户浏览此网页时 脚本就会在用户的浏览器上执行 从而达到攻击者的目的 比如获取用户的Cookie 导航到恶意网站 携带木马等 XSS与CSRF LOGO CSRF XSS 攻击者发现CSRF漏洞 构造代码 发送给受害人 受害人打开 受害人执行代码 完成攻击 攻击者发现XSS漏洞 构造代码 发送给受害人 受害人打开 攻击者获取受害人的cookie 完成攻击 A B XSS与CSRF LOGO 检测CSRF漏洞 03 请输入您的文字对目标进行说明请输入您的文字对目标进行说明请输入您的文字对目标进行说明 检测CSRF漏洞是一项比较繁琐的工作 最简单的方法就是抓取一个正常请求的数据包 以CSRFTester工具为例 CSRF漏洞检测工具的测试原理如下 使用CSRFTester进行测试时 首先需要抓取我们在浏览器中访问过的所有链接以及所有的表单等信息 然后通过在CSRFTester中修改相应的表单等信息 重新提交 这相当于一次伪造客户端请求 如果修改后的测试请求成功被网站服务器接受 则说明存在CSRF漏洞 检测CSRF漏洞 LOGO 将代理 1 2014 2014 检测CSRF漏洞 LOGO 举个例子来说吧 受害者的网址是 攻击者的网址是 攻击者想要在某个网站 网站是某个开源CMS 添加上另一个管理员 但是这个网站并没有XSS漏洞 怎么办呢 这时攻击者发现了这个开源CMS后台添加管理员时并没有加入验证码或则token 只需要输入要添加的管理员账号和密码点击确定就可以添加管理员账户了 这时和我一样聪明的攻击者在自己的服务器上建立了一个html文件 假设地址是 OWASPCSRFTester 检测CSRF漏洞 LOGO 运行run bat如图所示 首先将首先将浏览器的代理服务器的端口设为 8008 打开云测试平台http 192 168 0 199 8080 testing back findUser action pageNum 1 登录系统后 添加用户 检测CSRF漏洞 LOGO 运行OWASPCSRFTester 点击StopRecording 输入账号信息 点击提交 软件就会开始抓包了 检测CSRF漏洞 LOGO Forms 创建一个iframe框架 高宽为0 用户不可见 可POST GET 创建一个IMG标签 只能GET 创建一个AJAX请求 可POST GET 创建一个form表单 内容为hidden 隐藏 用户不可见 可POST GET iFrame IMG XHR 检测CSRF漏洞