Web漏洞原理及检测- v3

1、 Web漏洞原理及检测漏洞原理及检测 案例目录常见Web漏洞介绍漏洞检测策略安全中心的支持目录常见Web漏洞介绍SQLXSSCSRF跳转信息泄漏 目录常见Web漏洞介绍SQLXSSCSRF跳转信息泄漏 SQL注入漏洞 SQL注入漏洞是由于对用户输入的参数注入漏洞是由于对用户输入的参数未作处理就带入未作处理就带入SQL语句中导致的语句中导致的 or 1=1SQL注入形式 SQL注入漏洞常见的三种形式注入漏洞常见的三种形式 整数型：整数型：select * from table where id=10 字符型：字符型：select * from table where id=10 搜索型：搜索型：

2、select * from table where id like %10% 针对针对SQL注入漏洞的三种形式的测试用注入漏洞的三种形式的测试用例例 整数型：整数型：select * from table where id=10 or 1=1 字符型：字符型：select * from table where id=10 or 1=1 搜索型：搜索型：select * from table where id like %10% or %=%SQL注入解决方案 你如何防止SQL注入呢？目录常见Web漏洞介绍SQLXSSCSRF跳转信息泄漏 XSS漏洞 Q：我中奖了吗？XSS漏洞 XSS是跨站脚本

3、（Cross Site Scripting）的简写。简言之，XSS注入是指黑客能够注入恶意代码到网页使得正常用户执行恶意代码 危害：恶意代码在客户端浏览器执行 XSS分类：持久型、非持久型持久型XSS 恶意代码存储到DB，每次访问该页面就会执行非持久型XSS 恶意代码恶意代码不保存不保存在服务器端，每次都需在服务器端，每次都需用户访问构造的特殊用户访问构造的特殊URLXSS的危害 会话劫持（他人付帐漏洞） 钓鱼 冒充用户身份 网页挂马 XSS蠕虫 XSS的解决方案XSS的解决方案如果允许用户输入富文本，比如发表Qqzone的日志，这个时候又该怎么保证安全呢？ XSS注入变形多样化 （普通的攻击

4、）（tab分隔）（tab实体分隔）（回车实体分隔） （全部是实体）（关于这个攻击代码的变化还有很多是的，很多）XSS漏洞的测试 XSS Cheat Sheet /xss.html目录常见Web漏洞介绍SQLXSSCSRF跳转信息泄漏 CSRF漏洞 Cross-Site Request Forgery，跨站请求伪造，指通过HTML、JS或者flash等载体控制浏览器使用当前会话向Web程序发送请求的攻击方式CSRF漏洞 安全解决方案验证码： 让用户手工输入验证码Referer：验证HTTP请求来源Form token：在表单中增加随机token目录常见Web漏

5、洞介绍SQLXSSCSRF跳转信息泄漏 跳转漏洞跳转解决方案在跳转之前一定要验证跳转的目标地址是否为合法站点，如果不是则不进行跳转，而是到错误页面或者指定的页面目录常见Web漏洞介绍SQLXSSCSRF跳转测试页面信息泄漏 测试页面主要包含以下几个方面测试文件Bak文件.svn/entries解决方案不要将测试无关的文件同步到外网目录常见Web漏洞介绍XSSCSRF跳转测试页面信息泄漏 信息泄漏针对恶意用户的请求，server端返回了过多的错误详情解决方案： 不要将错误的信息回显给用户，而改用统一的出错信息，比如“系统繁忙，请稍后再试”目录常见Web漏洞介绍CSRF跳转测试页面信息泄漏目录遍历

6、 目录遍历解决方案：修改webserver的配置目录常见Web漏洞介绍跳转测试页面信息泄漏目录遍历后台 管理后台用户密码存在弱口令管理后台直接放在外网管理后台的解决方案不要将管理后台开放在外网，如果确实需要，请将后台移动到合作专区，并且加入ip访问限制，增加复杂的帐户名密码，验证码目录常见Web漏洞介绍测试页面信息泄漏目录遍历后台上传漏洞 上传漏洞 原因：接收上传文件的程序未做合法性校验 危害： 1）直接上传PHP/JSP等脚本，黑客直接上传Web后门控制服务器（PHPSpy等） 2）上传非图片格式的图片后缀文件：黑客上传HTML、Flash等格式的.jpg文件配合CSRF漏洞进行攻击 安全最

7、佳实践：判断文件协议头和后缀目录常见Web漏洞介绍信息泄漏目录遍历后台上传漏洞Info INFO漏洞 INFO漏洞是CGI把输入的参数原样输出到页面 最佳安全实践：不要将用户的输入原样输出，而是采用case语句的形式给用户进行选择目录常见Web漏洞介绍目录遍历后台上传漏洞Info第三方模板 第三方web模板的潜在威胁 第三方模版的引入就会增加站点的不可控性，如果第三方有漏洞，自身就也会被黑客利用。 最佳安全实践：不用第三方模版目录 常见Web漏洞介绍 漏洞检测策略 安全中心的支持漏洞检测策略 踩点准备，摸清流程 寻找带参数的CGI程序 提交各种BT的参数，看它如何反应 区分程序异常与正常的参数校验 使用网络工具辅助分析 使用专业扫描器缩小目标 由此及彼的推测：同一个程序员写的程序，可能会犯同样的毛病 旁敲侧击：同域不同主机上的应用 Google Hacking技术目录 Web安全现状 常见Web漏洞介绍 漏洞检测策略 安全