WEB安全培訓(xùn)

更多軟件測(cè)試資料盡在road軟件測(cè)試論壇/bbs/知己知彼，百戰(zhàn)不殆Contents用戶輸入1WEB程序安全問(wèn)題2WEB服務(wù)器端安全問(wèn)題3WEB應(yīng)用掃描器4用戶的輸入所有用戶輸入都是非法的，除非被證明不是一半以上的程序安全問(wèn)題源于缺乏對(duì)用戶可控?cái)?shù)據(jù)的處理程序員如果本著人之初性本善的想法，那么寫的程序難免出問(wèn)題

用戶輸入直接輸入GETPOSTCookieHTTP頭環(huán)境變量間接輸入數(shù)據(jù)庫(kù)取出的數(shù)據(jù)編碼的用戶數(shù)據(jù)WEB程序安全問(wèn)題SQL注入跨站腳本UrlRedirect跳轉(zhuǎn)AccessControl越權(quán)訪問(wèn)SQL注入SQL注入簡(jiǎn)介拼接的SQL字符串改變了設(shè)計(jì)者原來(lái)的意圖，執(zhí)行了如泄露、改變數(shù)據(jù)等操作，甚至控制數(shù)據(jù)庫(kù)服務(wù)器拼接SQL字符串靈活方便，但是容易導(dǎo)致安全問(wèn)題SQL注入SQL注入原理http://victim/news.php?id=3721select*fromnewswhereid=$idselect*fromnewswhereid=3721SQL注入利用利用示例http://victim/news.php?id=0unionselectname,pwfromusersselect*fromnewswhereid=$idselect*fromnewswhereid=0unionselectname,pwfromusersSQL注入的危害泄露敏感信息攻擊者可以獲取后臺(tái)數(shù)據(jù)庫(kù)的種類、版本，操作系統(tǒng)信息，數(shù)據(jù)庫(kù)名、表名、字段名以及數(shù)據(jù)庫(kù)中的數(shù)據(jù)信息泄露敏感信息無(wú)需知道口令就能以用戶身份登陸應(yīng)用系統(tǒng)篡改敏感數(shù)據(jù)對(duì)數(shù)據(jù)庫(kù)進(jìn)行增加、刪除、篡改的操作執(zhí)行任意系統(tǒng)命令利用數(shù)據(jù)庫(kù)支持的特定功能，執(zhí)行任意命令SQL注入的危害不同的數(shù)據(jù)庫(kù)，不同的數(shù)據(jù)庫(kù)配置，危害程度不一樣SQLServer默認(rèn)配置并且使用sa帳號(hào)MySQL版本、數(shù)據(jù)庫(kù)root帳號(hào)、系統(tǒng)root用戶啟動(dòng)服務(wù)SQL注入避免SQL注入過(guò)濾拼接字符串中的用戶數(shù)據(jù)，尤其不能忽視間接輸入數(shù)據(jù)的SQL語(yǔ)句拼接如果可能，使用其他方法代替SQL語(yǔ)句拼接使用WEB應(yīng)用掃描器檢測(cè)程序相對(duì)比較明顯的SQL注入問(wèn)題跨站腳本跨站腳本簡(jiǎn)介跨站腳本(Cross-SiteScripting)是指遠(yuǎn)程WEB頁(yè)面的html代碼可以插入具有惡意目的的數(shù)據(jù)，當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的惡意腳本將被解釋執(zhí)行，從而對(duì)客戶端用戶造成傷害。簡(jiǎn)稱CSS或XSS不影響服務(wù)端程序，但影響客戶端跨站腳本請(qǐng)求：/?name=<script>alert(/XSS/)</script>展現(xiàn)：<html><body><p>Hello<script>alert(/XSS/)</script></p></body></html>跨站腳本危害竊取Cookiedocument.cookie頁(yè)面內(nèi)容被篡改Js代碼改寫/跳轉(zhuǎn)頁(yè)面蠕蟲Myspace新浪微博惡意代碼跨站腳本防御顯示用戶數(shù)據(jù)時(shí)對(duì)“<>&”等HTML符號(hào)進(jìn)行編碼轉(zhuǎn)換htmlspecialchars過(guò)濾必要的XHTML屬性及各種編碼，尤其在WEB提供樣式功能的時(shí)候設(shè)計(jì)時(shí)要考慮到關(guān)鍵內(nèi)容不能由用戶的直接數(shù)據(jù)顯示，要有轉(zhuǎn)換或后臺(tái)間接審核的過(guò)程用WEB應(yīng)用掃描器對(duì)程序進(jìn)行檢測(cè)UrlRedirect跳轉(zhuǎn)UrlRedirect釣魚攻擊原理redirect.htm?target=URL跳轉(zhuǎn)攻擊QQQQ用戶URL跳轉(zhuǎn)攻擊UrlRedirect策略目標(biāo)地址應(yīng)限制跳轉(zhuǎn)到當(dāng)前域內(nèi)如果需要跳轉(zhuǎn)到外部鏈接需要有url的白名單AccessControlAccessControl攻擊例子(前臺(tái)代碼)<formaction="/message/pmsg/read.html"method="post"><inputtype="hidden"name="messageId"value="54981193"><inputtype="button"name="delete"value="刪除留言"onClick="delMessage()">AccessControlAccessControl攻擊例子(后臺(tái)代碼)publicbooleancanManageMssage(){if(isAdmin()){returntrue;}……}檢查了角色但是短消息屬于用戶，不屬于角色AccessControlAccessControl安全策略權(quán)限框架SQL語(yǔ)句條件Cookie的安全簡(jiǎn)介Cookie是Netscape的一個(gè)重大發(fā)明，當(dāng)用戶訪問(wèn)網(wǎng)站時(shí)，它能夠在訪問(wèn)者的機(jī)器保存一段信息，可以用來(lái)標(biāo)識(shí)各種屬性。當(dāng)用戶再次訪問(wèn)這個(gè)網(wǎng)站的時(shí)候，它又能夠讀出這些信息，這樣WEB程序就能知道該用戶上次的操作Cookie大大提高了用戶體驗(yàn)，被廣泛使用Cookie的安全Cookie的欺騙Cookie是純客戶端數(shù)據(jù)，非常容易偽造文件型的Cookie可以直接改瀏覽器的Cookie文件通過(guò)curl或firefox的LiveHTTPHeaders插件可以輕松偽造各種類型的Cookie數(shù)據(jù)Cookie的安全使用Cookie時(shí)應(yīng)注意的問(wèn)題盡量不要用Cookie明文存儲(chǔ)敏感信息數(shù)據(jù)加密后保存到客戶端的Cookie為Cookie設(shè)置適當(dāng)?shù)挠行r(shí)間WEB服務(wù)器端安全問(wèn)題合理的文件權(quán)限設(shè)置取消WEB用戶對(duì)apache日志的讀權(quán)限nobody有寫權(quán)限的WEB目錄取消解析權(quán)限WEB服務(wù)器端安全問(wèn)題信息泄露服務(wù)器版本信息泄露運(yùn)行環(huán)境遺留測(cè)試文件phpinfo.phpconn.asp.bak程序出錯(cuò)泄露物理路徑程序查詢出錯(cuò)返回SQL語(yǔ)句過(guò)于詳細(xì)的用戶驗(yàn)證返回信息WEB應(yīng)用掃描器AppScan非常專業(yè)的商業(yè)WEB應(yīng)用掃描器功能強(qiáng)大，準(zhǔn)確率高，尤其是跨站腳本和SQL注入的檢測(cè)掃描速度較慢