Web应用中常见39种不同的安全漏洞漏洞分析及检查方法

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

Web应用中常见39种不同的安全漏洞漏洞分析及检查方法1.1SQL注入漏洞风险等级:高危漏洞描述:SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效地特殊字符过滤,导致网站服务器存在安全风险,这就是SQLInjection,即SQL注入漏洞。漏洞危害:1)机密数据被窃取;2)核心业务数据被篡改;3)网页被篡改;4)数据库所在服务器被攻击从而变为傀儡主机,导致局域网(内网)被入侵。修复建议:1)在网页代码中对用户输入的数据进行严格过滤;(代码层)2)部署Web应用防火墙;(设备层)3)对数据库操作进行监控。(数据库层)代码层最佳防御sql漏洞方案:采用sql语句预编译和绑定变量,是防御sql注入的最佳方法。原因:采用了PreparedStatement,就会将sql语句:selectid,nofromuserwhereid=?预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该sql语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql命令,比如select,from,where,and,or,orderby等等。所以即使你后面输入了这些sql命令,也不会被当成sql命令来执行了,因为这些sql命令的执行,必须先的通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为sql命令来执行的,只会被当做字符串字面值参数,所以sql语句预编译可以防御sql注入。其他防御方式:正则过滤1.2目录遍历漏洞风险等级:中危漏洞描述:通过该漏洞可以获取系统文件及服务器的配置文件。利用服务器API、文件标准权限进行攻击。漏洞危害:黑客可获得服务器上的文件目录结构,从而下载敏感文件。修复建议:1)通过修改配置文件,去除中间件(如IIS、apache、tomcat)的文件目录索引功能2)设置目录权限3)在每个目录下创建一个空的index.html页面。1.3跨站脚本漏洞即XSS漏洞,利用跨站脚本漏洞可以在网站中插入任意代码,它能够获取网站管理员或普通用户的cookie,隐蔽运行网页木马,甚至格式化浏览者的硬盘。漏洞危害:1)网络钓鱼,盗取管理员或用户帐号和隐私信息等;2)劫持合法用户会话,利用管理员身份进行恶意操作,篡改页面内容、进一步渗透网站;3)网页挂马、传播跨站脚本蠕虫等;4)控制受害者机器向其他系统发起攻击。修复建议:设置httponlyhttponly无法完全的防御xss漏洞,它只是规定了不能使用js去获取cookie的内容,因此它只能防御利用xss进行cookie劫持的问题。Httponly是在set-cookie时标记的,可对单独某个参数标记也可对全部参数标记。由于设置httponly的方法比较简单,使用也很灵活,并且对防御cookie劫持非常有用,因此已经渐渐成为一种默认的标准。xssfilterXssfilter往往是一个文本文件,里面包含了允许被用户输入提交的字符(也有些是包含不允许用户提交的字符)。它检测的点在于用户输入的时候,xssfilter分为白名单与黑名单,推荐使用白名单,但即使使用白名单还是无法完全杜绝xss问题,并且使用不当可能会带来很高的误报率。编码转义编码方式有很多,比如html编码、url编码、16进制编码、javascript编码等。在处理用户输入时,除了用xssfilter的方式过滤一些敏感字符外,还需要配合编码,将一些敏感字符通过编码的方式改变原来的样子,从而不能被浏览器当成js代码执行。处理富文本有些网页编辑器允许用户提交一些自定义的html代码,称之为”富文本”。想要在富文本处防御xss漏洞,最简单有效的方式就是控制用户能使用的标签,限制为只能使用a、div等安全的标签。处理所有输出类型的xss漏洞xss漏洞本质上是一种html注入,也就是将html代码注入到网页中。那么其防御的根本就是在将用户提交的代码显示到页面上时做好一系列的过滤与转义。其他修复方案1)开发者应该严格按照openid和openkey的校验规则判断openid和openkey是否合法,且判断其它参数的合法性,不合法不返回任何内容。2)严格限制URL参数输入值的格式,不能包含不必要的特殊字符(%0d、%0a、%0D、%0A等)。3)针对ASP.NET的防XSS库,Microsoft有提供统一的库,具体可以参见如下链接微软官网:)具体的js方法如下:(1)对于用户输入的参数值展现在HTML正文中或者属性值中的情况,例如:展现在html正文中:ahref='Un-trusted'展现在属性值中:inputname=searchwordvalue=Un-trustedinput此时需要将红色的不可信内容中做如下的转码(即将‘“'转成html实体):(2)对于用户输入落在script的内容中的情况,例如:scripttype=text/javascript…varmymsg=Un-trustedinput;varuin=Un-trustedinput;…/script1.4未过滤HTML代码漏洞由于页面未过滤HTML代码,攻击者可通过精心构造XSS代码(或绕过防火墙防护策略),实现跨站脚本攻击等。可带来如下危害:1)恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash利用应用的漏洞,从而获取其他用户信息;2)攻击者能盗取会话cookie、获取账户、模拟其他用户身份,甚至可以修改网页呈现给其他用户的内容。修复建议:1)严格过滤用户输入的数据。2)参考跨站脚本漏洞修复方案。1.5数据库运行出错网站存在数据库运行出错,由于网页数据交换出错,攻击者可获取报错中的敏感信息。可带来如下危害:1)机密数据被窃取;2)攻击者通过构造特殊URL地址,触发系统web应用程序报错,在回显内容中,获取网站敏感信息;3)攻击者利用泄漏的敏感信息,获取网站服务器web路径,为进一步攻击提供帮助。修复建议:1)检查数据库缓存是否溢出,是否具有失效的配置管理、禁用一切不必要的功能;2)对网站错误信息进行统一返回,模糊化处理。1.6Flash安全配置缺陷漏洞网站存在Flash安全配置缺陷,该漏洞可导致跨域访问,让用户访问非法Flash文件。1)allowScriptAccess:是否允许flash访问浏览器脚本。如果不对不信任的flash限制,默认会允许调用浏览器脚本,产生XSS漏洞。always(默认值),总是允许;sameDomain,同域允许;never,不允许2)allowNetworking:是否允许flash访问ActionScript中的网络API。如果不对不信任的flash限制,会带来flash弹窗、CSRF等问题。all,允许所有功能,会带来flash弹窗危害;internal,可以向外发送请求/加载网页;none,无法进行任何网络相关动作(业务正常功能可能无法使用)可带来如下危害:网站的Flash配置文件crossdomain.xml配置不当,存在Flash跨域攻击安全隐患。修复建议:1)修改flash安全策略,做严格限制,比如限制到网站当前域;2)找到相应目录下的crossdomain.xml文件,找到代码:cross-domain-policyallow-access-fromdomain=*cross-domain-policy改成:cross-domain-policyallow-access-fromdomain=改成你的网站地址cross-domain-policy。1.7FCK编辑器泄露漏洞漏洞描述利用此漏洞攻击者可访问编辑器页面,上传图片。漏洞危害1)由于网站编辑器没有对管理员登录进行校验,导致任意用户访问编辑器;2)利用编辑器漏洞查看网站全硬盘目录。修复建议对编辑器页面进行访问控制,禁止未授权访问,并升级fck编辑器版本。1.8FCKeditor任意文件上传漏洞FCKeditor版本低于或等于2.4.3时网站存在任意文件上传漏洞,可以利用该漏洞上传任意文件。可带来如下危害:1)由于目标网站未做上传格式的限制,导致网站、数据库和服务器有被入侵的风险;2)可能导致网站被攻击者控制,网站数据被窃取、网页被篡改等。修复建议:1)设置FCKeditor编辑器相关页面在未授权的前提下无法正常访问,和限制FCK上传文件的格式;2)下载并更新至FCKeditor的最新版本。1.9URLRedirect漏洞即URL重定向漏洞,通过将URL修改为指向恶意站点,攻击者可以成功发起网络钓鱼诈骗并窃取用户凭证。可带来如下危害:1)Web应用程序执行指向外部站点的重定向;2)攻击者可能会使用Web服务器攻击其他站点,这将增加匿名性。修复建议:1)在网页代码中需要对用户输入的数据进行严格过滤;(代码层)2)部署Web应用防火墙。(设备层)1.10文件上传漏洞网站存在任意文件上传漏洞,文件上传功能没有进行格式限制,容易被黑客利用上传恶意脚本文件。可带来如下危害:1.攻击者可通过此漏洞上传恶意脚本文件,对服务器的正常运行造成安全威胁;2.攻击者可上传可执行的WebShell(如php、jsp、asp类型的木马病毒),或者利用目录跳转上传gif、html、config文件,覆盖原有的系统文件,到达获取系统权限的目的。修复建议:1.对上传文件格式进行严格校验及安全扫描,防止上传恶意脚本文件;2.设置权限限制,禁止上传目录的执行权限;3.严格限制可上传的文件类型;4.严格限制上传的文件路径。5.文件扩展名服务端白名单校验。6.文件内容服务端校验。7.上传文件重命名。8.隐藏上传文件路径。1.11后台弱口令漏洞网站管理后台用户名密码较为简单或为默认,易被黑客利用。可带来如下危害:1)攻击者利用弱口令登录网站管理后台,可任意增删文章等造成负面影响;2)攻击者可进一步查看网站信息,获取服务器权限,导致局域网(内网)被入侵。修复建议:1)对管理后台进行访问控制,修改后台弱口令,加强口令强度并定期修改。2)增加验证机制,防爆破机制,限制ip+cookie访问次数。1.12敏感信息泄漏由于网站运维人员疏忽,存放敏感信息的文件被泄露或由于网站运行出错导致敏感信息泄露。可带来如下危害:1.攻击者可直接下载用户的相关信息,包括网站的绝对路径、用户的登录名、密码、真实姓名、身份证号、电话号码、邮箱、QQ号等;2.攻击者通过构造特殊URL地址,触发系统web应用程序报错,在回显内容中,获取网站敏感信息;3.攻击者利用泄漏的敏感信息,获取网站服务器web路径,为进一步攻击提供帮助。修复建议:1.对网站错误信息进行统一返回,模糊化处理;2.对存放敏感信息的文件进行加密并妥善储存,避免泄漏敏感信息。1.13未加密登录请求漏洞网站对用户登录认证信息未进行加密,敏感信息以明文形式进行传送,易在传输过程中被获取。可带来如下危害:易造成用户敏感信息泄露与篡改。修复建议:建议通过加密连接(如SSL)方式进行敏感信息的传送。1.14后台口令暴力破解由于网站管理后台系统登录无验证码校验,可导致后台用户名密码被暴力破解。可带来如下危害:1.攻击者可利用该漏洞无限次提交用户名密码,从而可以暴力破解后台用户名及密码;2.暴力破解后登录其中一个帐号可进管理后台,攻击者登录网站后台任意增删文章等造成负面影响;3.攻击者可进一步登陆后台查看网站信息、上传恶意脚本文件,获取服务器权限,导致局域网(内网)被入侵。修复建议:1.对该页面进行访问控制,禁止外网IP或非法IP访问后台页面,并增加验证码校验,加强帐号锁定机制。2.增加ip+cookie配置方式限制访问频率。1

1 / 21
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功