02 常见Web安全漏洞幻灯片.pptx

常见Web安全漏洞
杭州华三通信技术有限公司版权所有,未经授权不得使用与传播
H3C专业安全培训课程
Web安全现状
SQL注入
XSS
CSRF
文件上传
目录遍历
其他Web安全漏洞
目录
Web丰富了我们的生活
Web来源于World Wide Web,的重要组成部分,形形色色的Web系统正在改变着我们的生活。
网上购物
网上汇款交费
写博客
Web小游戏
竞选
网上营业厅
Web系统的安全性参差不齐……
复杂应用系统代码量大、开发人员多、难免出现疏忽;
系统屡次升级、人员频繁变更,导致代码不一致;
历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上;
开发人员未经过安全编码培训;
定制开发系统的测试程度不如标准的产品;
……
相对安全性而言,开发人员更注重系统功能!
客户
满意
界面友好
操作方便
处理
性能
实现
所有功能
架构合理
代码修改方便
运行
稳定
没有bug
不同模块
低耦合
开发进度与成本
开发者的关注点
Web攻击场景
攻击动机
攻击方法
攻击工具
系统漏洞
防范措施
攻击面(attack surface)
Web服务器
黑客
Web攻击方法
常见Web攻击方法
Google hack
网页爬行
暴力猜解
Web***
错误信息利用
根据服务器版本寻找现有的攻击代码
利用服务器配置漏洞
文件上传、下载
构造恶意输入(SQLSQL注入、命令SQL注入、跨站脚本攻击)
HTTP协议攻击
拒绝服务攻击
其他攻击点利用(Web Services, Flash, Ajax, ActiveX, JavaApplet)
业务逻辑测试
……
收集系统相关的通用信息
将系统所有能访问页面,所有的资源,路径展现出来;
URL、口令、数据库字段、文件名都可以暴力猜解,注意利用工具;
利用Web***器,可以尽快发现一些明显的问题
错误可能泄露服务器型号版本、数据库型号、路径、代码;
搜索Google,CVE, BugTraq等漏洞库是否有相关的漏洞;
服务器后台管理页面,路径是否可以列表等;
是否可以上传恶意代码?是否可以任意下载系统文件;
检查所有可以输入的地方:URL、参数、Post、Cookie、Referer、 Agent等是否进行了严格的校验;
HTTP协议是文本协议,可利用回车换行做边界干扰;
用户输入是否可以影响服务器的执行;
需要特殊工具才能利用这些攻击点;
复杂的业务逻辑中是否隐藏漏洞。
Web攻击工具:WebScarab
特色:
HTTP协议完全可见(可以完全操作所有的攻击点)
支持HTTPS (包括客户端证书)
全程数据与状态记录,可随时回顾

OWASP=Open Web Application Security Project,OWASP是最权威的Web应用安全开源合作组织,其网站上有大量的Web应用安全工具与资料。
WebScarab是OWASP组织推出的开源工具,可应用于一切基于HTTP协议系统的调试与攻击。
Web攻击面不仅仅是浏览器中可见的内容
访问资源名称
GET与POST参数
Referer与User Agent
HTTP 方法
Cookie
Ajax
Web Service
Flash客户端
Java Applet
POST /?var1= HTTP/
Accept: */*
Referer:
Accept-Language: en-us,de;q=
Accept-Encoding: gzip, deflate
Content-Type: application/x-
Content-Lenght: 59
User-Agent: Mozilla/
Host: nection: Keep-Alive
Cookie: JSESSIONID=0000dITLGLqhz1dKkPEtpoYqbN2
uid=fred&password=secret&pagestyle=&action=login
直接可在浏览器中利用的输入
所有输入点
更多输入点
黑客实际利用的输入点
Web攻击漏洞:安全漏洞库
Securityfocus网站的漏洞库名称为Bugtraq,它给每个漏洞编号叫Bugtraq ID。()
CVE是和Bugtraq齐名的漏洞库,它给漏洞库编号叫CVE ID。(http://cve./ )
CVE与Bugtraq漏洞库都会对确认的漏洞进行统一编号,其编号是业界承认的统一标准,有助于避免混淆。在这些漏洞库中都可以查到大量的Web应用漏洞。