第15章：客戶端繞行

與文件上傳攻擊要點(diǎn)客戶端繞行攻擊采用技術(shù)客戶端繞行攻擊文件上傳攻擊采用技術(shù)實(shí)例:Oricity網(wǎng)站JS前端控制被繞行攻擊相關(guān)安全漏洞披露文件上傳攻擊1客戶端繞行攻擊采用技術(shù)客戶端繞行是開發(fā)工程師常犯的錯(cuò)誤，經(jīng)常對(duì)輸入的數(shù)據(jù)在前端通過(guò)JS進(jìn)行數(shù)據(jù)有效性校驗(yàn)，而沒有在數(shù)據(jù)提交到服務(wù)器后端進(jìn)行相應(yīng)驗(yàn)證。而客戶端驗(yàn)證是不安全的，很容易被繞行。客戶端繞行攻擊采用的技術(shù)就是繞過(guò)前段JS驗(yàn)證，直接將含有木馬等內(nèi)容的數(shù)據(jù)提交至服務(wù)器端執(zhí)行。如果系統(tǒng)接收到的表單數(shù)據(jù)只做了客戶端校驗(yàn)，而沒有做相應(yīng)的服務(wù)器端檢驗(yàn)，服務(wù)器端執(zhí)行后則攻擊成功。2客戶端繞行攻擊客戶端驗(yàn)證：僅僅是為了方便，它可以為用戶提供快速反饋，給人一種運(yùn)行在桌面應(yīng)用程序的感覺，使用戶能夠及時(shí)察覺所填寫數(shù)據(jù)的不合法性?；旧嫌媚_本代碼實(shí)現(xiàn)，如JavaScript或VBScript，不用把這一過(guò)程交到遠(yuǎn)程服務(wù)器?？蛻舳怂龅腏S校驗(yàn)，服務(wù)器端必須也要有相應(yīng)的校驗(yàn)，否則就會(huì)出現(xiàn)客戶端繞行攻擊。2.1客戶端繞行攻擊手法繞開前端的JS驗(yàn)證通常有以下的方法：將瀏覽器網(wǎng)頁(yè)（HTML）另存到自己電腦上，然后把腳本檢查的地方去掉，最后在自己機(jī)器上運(yùn)行那個(gè)頁(yè)面。該方式與方法一類似，只是將引入JS的語(yǔ)句刪掉，或則將引入的JS后綴名更換成任意的名字。在瀏覽器地址欄中直接輸入請(qǐng)求URL及參數(shù)，發(fā)送GET請(qǐng)求。在瀏覽器設(shè)置中，設(shè)置禁用腳本。繞開前端的驗(yàn)證的方式有很多種，因此在系統(tǒng)中如只加入前端的有效驗(yàn)證，而忽略服務(wù)器端驗(yàn)證，是一件很可怕的事情。2.2客戶端繞行攻擊防護(hù)方法凈化用戶輸入是非常重要的，這個(gè)凈化就包括客戶端與服務(wù)器端，客戶端主要是快速反應(yīng)，并且給用戶一個(gè)友好的界面提示，服務(wù)器端在寫數(shù)據(jù)庫(kù)前做的校驗(yàn)可以確保用戶輸入的，就是預(yù)定義的、符合規(guī)則的?？蛻舳死@行總體防護(hù)思想客戶端驗(yàn)證給用戶帶來(lái)方便，其存在的原因主要是對(duì)用戶考慮，但是它不能保證安全性，用戶可以輕易繞過(guò)。因此，對(duì)于一個(gè)安全的數(shù)據(jù)驗(yàn)證方案，服務(wù)器端的驗(yàn)證是必須的，在設(shè)計(jì)應(yīng)用系統(tǒng)時(shí)，必須考慮到這個(gè)要求。只要系統(tǒng)沒有做服務(wù)器端的校驗(yàn)，客戶端繞行就會(huì)存在。3文件上傳攻擊采用技術(shù)文件上傳攻擊利用的是系統(tǒng)沒有做到嚴(yán)格的防護(hù)，從而讓攻擊者有機(jī)可乘。攻擊者可以上傳病毒文件或其他有攻擊性的文件。當(dāng)然這種攻擊也可以是繞過(guò)文件類型檢查的攻擊，也可以是繞過(guò)文件大小檢查的攻擊等。3.1文件上傳攻擊文件上傳漏洞是指網(wǎng)絡(luò)攻擊者上傳了一個(gè)可執(zhí)行的文件到服務(wù)器并執(zhí)行。這里上傳的文件可以是木馬、病毒、惡意腳本或者WebShell等。這種攻擊方式是最為直接和有效的，部分文件上傳漏洞利用的技術(shù)門檻非常低，對(duì)于攻擊者來(lái)說(shuō)很容易實(shí)施。文件上傳漏洞本身就是一個(gè)危害巨大的漏洞，WebShell更是將這種漏洞的利用無(wú)限擴(kuò)大。大多數(shù)的上傳漏洞被利用后攻擊者都會(huì)留下WebShell以方便后續(xù)進(jìn)入系統(tǒng)。攻擊者在受影響系統(tǒng)放置或者插入WebShell后，可通過(guò)該WebShell更輕松，更隱蔽的在服務(wù)中為所欲為。3.1文件上傳攻擊手法大部分的網(wǎng)站和應(yīng)用系統(tǒng)都有上傳功能，如用戶頭像上傳，圖片上傳，文檔上傳等。一些文件上傳功能實(shí)現(xiàn)代碼沒有嚴(yán)格限制用戶上傳的文件后綴以及文件類型，導(dǎo)致允許攻擊者向某個(gè)可通過(guò)Web訪問(wèn)的目錄上傳任意PHP、APS、JSP等文件，并能夠?qū)⑦@些文件傳遞給服務(wù)器端解釋器，就可以在遠(yuǎn)程服務(wù)器上執(zhí)行任意PHP、APS、JSP等腳本。文件上傳攻擊成功常見場(chǎng)景：文件上傳時(shí)檢查不嚴(yán)2.文件上傳后修改文件名時(shí)處理不當(dāng)3.使用第三方插件時(shí)引入3.2文件上傳攻擊防護(hù)方法1.文件上傳攻擊總體防護(hù)思想總體來(lái)說(shuō)在系統(tǒng)開發(fā)階段可以從以下三個(gè)方面考慮：（1）客戶端檢測(cè)，使用JS對(duì)上傳圖片檢測(cè)，包括文件大小、文件擴(kuò)展名、文件類型等。（2）服務(wù)端檢測(cè)，對(duì)文件大小、文件路徑、文件擴(kuò)展名、文件類型、文件內(nèi)容檢測(cè)，對(duì)文件重命名。（3）其他限制，服務(wù)器端上傳目錄設(shè)置不可執(zhí)行權(quán)限。同時(shí)為了防止已有病毒文件進(jìn)入系統(tǒng)，除了開發(fā)階段，系統(tǒng)運(yùn)行階段，安全設(shè)備的選擇也很重要。實(shí)驗(yàn)Oricity網(wǎng)站JS前端控制被繞行缺陷標(biāo)題：城市空間網(wǎng)站>好友分組，通過(guò)更改URL可以添加超過(guò)最大個(gè)數(shù)的好友分組測(cè)試平臺(tái)與瀏覽器：Windows10+IE11或Chrome瀏覽器測(cè)試步驟：打開城市空間網(wǎng)站:/。使用正確賬號(hào)登錄。點(diǎn)擊賬號(hào)名稱，進(jìn)入我的城市空間。點(diǎn)擊”好友分組”，添加好友分組到最大個(gè)數(shù)10個(gè)，此時(shí)”添加”按鈕變灰色，不可以添加狀態(tài)，選擇一個(gè)分組，點(diǎn)擊”修改組資料”。在URL后面加上?action=add，回車。在添加頁(yè)面輸入組名，點(diǎn)擊確定按鈕。期望結(jié)果：不能添加分組。實(shí)際結(jié)果：第11個(gè)分組添加成功。實(shí)驗(yàn)Oricity網(wǎng)站JS前端控制被繞行5近期客戶端繞行與文件上傳攻擊漏洞披露漏洞號(hào)影響產(chǎn)品漏洞描述CNVD-2019-43055IBMIBMCloudPakSystemV2.3.0IBMCloudPakSystem是美國(guó)IBM公司的一套具有可配置、預(yù)集成軟件的全棧、融合基礎(chǔ)架構(gòu)。IBMCloudPakSystemV2.3.0版本中存在客戶端繞行安全漏洞。攻擊者可利用該漏洞繞過(guò)客戶端驗(yàn)證。CNVD-2020-02571XenXen<=4.12.*Xen是英國(guó)劍橋大學(xué)的一款開源的虛擬機(jī)監(jiān)視器產(chǎn)品。Xen存在輸入驗(yàn)證錯(cuò)誤漏洞。攻擊者可借助DMA利用該漏洞獲取主機(jī)操作系統(tǒng)權(quán)限。CNVD-2020-04409IBMSecuritySecretServerIBMSecuritySecretServer是一款特權(quán)賬戶管理解決方案。IBMSecuritySecretServer存在輸入驗(yàn)證漏洞，遠(yuǎn)程攻擊者可利用該漏洞提交特殊的請(qǐng)求，可注入任意命令。CNVD-2020-04541JoyentNode.js10JoyentNode.js12JoyentNode.js13JoyentNode.js是美國(guó)Joyent公司的一套建立在GoogleV8JavaScript引擎之上的網(wǎng)絡(luò)應(yīng)用平臺(tái)。JoyentNode.js10版本、12版本和13版本中存在輸入驗(yàn)證錯(cuò)誤漏洞。攻擊者可利用該漏洞繞過(guò)授權(quán)。CNVD-2020-04877北京魔方恒久軟件有限公司魔方網(wǎng)表

魔方網(wǎng)表是一款基于web瀏覽器的通用信息管理軟件。魔方網(wǎng)表存在文件上傳漏洞，攻擊者可利用該漏洞獲得服務(wù)器權(quán)限。CNVD-2020-04902海南贊贊網(wǎng)絡(luò)科技有限公司eyoucmsv1.4.2易優(yōu)CMS企業(yè)建站系統(tǒng)是由php+mysql開發(fā)的一套專門用于中小企業(yè)網(wǎng)站建設(shè)的開源cms。易優(yōu)CMS存在文件上傳漏洞，攻擊者可利用漏洞上傳惡意文件。CNVD-2020-04905深圳市錕铻科技有限公司PHPOK5.4

深圳錕铻科技有限公司PHPOK系統(tǒng)5.4后臺(tái)存在文件上傳漏洞，攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。CNVD-2020-04334AtutorAContent1.4

AContent是一個(gè)開源LCMS，用于開發(fā)和共享電子學(xué)習(xí)內(nèi)容。AContent教學(xué)系統(tǒng)存在文件上傳漏洞,攻擊者可以利用漏洞上傳shell獲取服務(wù)器權(quán)限。CNVD-2020-04274廈門才茂通信科技有限公司高鐵wifi系統(tǒng)高鐵WiFi系統(tǒng)提供了一體化無(wú)線信息應(yīng)用平臺(tái)，可以給乘客提供豐富的信息及娛樂(lè)應(yīng)用平臺(tái)。高鐵wifi系統(tǒng)存在文件上傳漏洞，攻擊者可利用該漏洞上傳惡意文件。第16章：弱與不安全的加密

算法與暴力破解攻擊要點(diǎn)弱與不安全的加密算法攻擊采用技術(shù)弱與不安全的加密算法攻擊暴力破解攻擊攻擊采用技術(shù)實(shí)例:CTFPostbook刪除帖子不安全加密算法攻擊相關(guān)安全漏洞披露暴力破解攻擊1弱與不安全的加密算法攻擊采用技術(shù)互聯(lián)網(wǎng)應(yīng)用中存在弱與不安全加密算法，這些是不安全的，不能對(duì)客戶的數(shù)據(jù)進(jìn)行有效保護(hù)。對(duì)于弱與不安全加密算法需要采用現(xiàn)有已知的，好的加密庫(kù)。不要使用舊的、過(guò)時(shí)的或弱算法，不要嘗試寫自己的加密算法。同時(shí)隨機(jī)數(shù)生成是加固密碼的“關(guān)鍵”。黑客為了竊取隱私或資金會(huì)盜用他人的賬戶，破解密碼就成了一個(gè)“工作”。不同的破解專家針對(duì)不同的環(huán)境會(huì)使用不同大小的密碼本，也就是將原始的暴力破解改成了將密碼本中的密碼進(jìn)行嘗試，有些人還會(huì)有自己的密碼本，一般來(lái)說(shuō)密碼本越豐富就會(huì)涵蓋越多的常見密碼，快速破解的幾率就越高。2弱與不安全的加密算法攻擊數(shù)據(jù)加密技術(shù)是最基本的安全技術(shù)，被譽(yù)為信息安全的核心，最初主要用于保證數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的保密性。它通過(guò)變換和置換等各種方法將被保護(hù)信息置換成密文，然后再進(jìn)行信息的存儲(chǔ)或傳輸，即使加密信息在存儲(chǔ)或者傳輸過(guò)程為非授權(quán)人員所獲得，也可以保證這些信息不為其認(rèn)知，從而達(dá)到保護(hù)信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長(zhǎng)度。根據(jù)密鑰類型不同可以將現(xiàn)代密碼技術(shù)分為兩類：對(duì)稱加密算法（私鑰密碼體系）和非對(duì)稱加密算法（公鑰密碼體系）。在對(duì)稱加密算法中，數(shù)據(jù)加密和解密采用的都是同一個(gè)密鑰，因而其安全性依賴于所持有密鑰的安全性。對(duì)稱加密算法的主要優(yōu)點(diǎn)是加密和解密速度快，加密強(qiáng)度高且算法公開，但其最大的缺點(diǎn)是實(shí)現(xiàn)密鑰的秘密分發(fā)困難，在大量用戶的情況下密鑰管理復(fù)雜，而且無(wú)法完成身份認(rèn)證等功能，不便于應(yīng)用在網(wǎng)絡(luò)開放的環(huán)境中。目前最著名的對(duì)稱加密算法有數(shù)據(jù)加密標(biāo)準(zhǔn)DES和歐洲數(shù)據(jù)加密標(biāo)準(zhǔn)IDEA等，目前加密強(qiáng)度最高的對(duì)稱加密算法是高級(jí)加密標(biāo)準(zhǔn)AES。2.1弱與不安全的加密算法攻擊手法安全敏感的應(yīng)用程序必須避免使用不安全的弱加密方式?，F(xiàn)代計(jì)算機(jī)的計(jì)算能力允許通過(guò)蠻干攻擊破解這樣的加密。例如，數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard，DES）加密算法被認(rèn)為是很不安全的；使用DES加密的消息，能夠在一天之內(nèi)被機(jī)器（如ElectronicFrontierFoundation——簡(jiǎn)稱EFF——的DeepCrack）蠻干攻擊破解。除了可加可解的AES,DES如果算法不安全容易被暴力破解為原文外，對(duì)于只加不解的Hash算法，可以用龐大的彩虹表進(jìn)行碰撞，碰撞出原文。2.2弱與不安全的加密算法攻擊防護(hù)方法1.弱/不安全加密算法攻擊總體防護(hù)思想使用現(xiàn)有已知的，好的加密庫(kù)。不要使用舊的，過(guò)時(shí)的，或弱算法！不要嘗試寫自己的加密算法。隨機(jī)數(shù)生成是加固密碼的“關(guān)鍵”。目前已經(jīng)被證明不安全的加密算法有：MD5,SHA1,DES；目前認(rèn)為相對(duì)安全的加密算法有：SHA512,AES256,RSA。3暴力破解攻擊攻擊采用技術(shù)暴力破解一般都采用工具進(jìn)行，BrupSuite工具就提供暴力破解功能。如果系統(tǒng)沒有做同一IP，同一機(jī)器碼，在指定的時(shí)間內(nèi)訪問(wèn)頻率的限制，就容易被暴力破解攻擊。另外，需要說(shuō)明的是，暴力破解可以是最常見的破解一個(gè)網(wǎng)站的合法用戶名與密碼；也可以是通過(guò)暴力破解獲得下一個(gè)正在進(jìn)行的在線會(huì)議號(hào)、下一個(gè)可以免費(fèi)下載的電子書籍號(hào)、音樂(lè)號(hào)、視頻編號(hào)等等。4暴力破解攻擊暴力破解（BruteForce）攻擊是指攻擊者通過(guò)系統(tǒng)地組合所有可能性（例如登錄時(shí)用到的賬戶名、密碼），嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。攻擊者會(huì)經(jīng)常使用自動(dòng)化腳本組合出正確的用戶名和密碼。對(duì)防御者而言，給攻擊者留的時(shí)間越長(zhǎng)，其組合出正確的用戶名和密碼的可能性就越大。這就是為什么時(shí)間在檢測(cè)暴力破解攻擊時(shí)是如此的重要了。4.1暴力破解攻擊手法暴力破解可分為兩種，一種是針對(duì)性的密碼爆破，另外一種是擴(kuò)展性的密碼噴灑。密碼爆破：密碼爆破一般很熟悉，即針對(duì)單個(gè)賬號(hào)或用戶，用密碼字典來(lái)不斷的嘗試，直到試出正確的密碼，破解出來(lái)的時(shí)間和密碼的復(fù)雜度、長(zhǎng)度及破解設(shè)備有一定的關(guān)系。密碼噴灑（PasswordSpraying）：密碼噴灑和密碼爆破相反，也可以叫反向密碼爆破，即用指定的一個(gè)密碼來(lái)批量的試取用戶，在信息搜集階段獲取了大量的賬號(hào)信息或者系統(tǒng)的用戶，然后以固定的一個(gè)密碼去不斷的嘗試這些用戶。4.2暴力破解攻擊防護(hù)方法1.暴力破解總體防護(hù)思想對(duì)于密碼爆破來(lái)說(shuō)我們經(jīng)常見到，越來(lái)越多的企業(yè)開始加入了防爆破機(jī)制，常見的就是加登錄驗(yàn)證碼，圖形驗(yàn)證碼干擾元素要能防止被機(jī)器人識(shí)別，也有很多用其他方式的驗(yàn)證碼，例如點(diǎn)字或者選擇正確的圖片等，或者使用短信驗(yàn)證碼，在此基礎(chǔ)上也可以添加防錯(cuò)誤機(jī)制，例如登錄次數(shù)連續(xù)超過(guò)5次則提示稍后重試。而對(duì)于密碼噴灑攻擊，這種登錄次數(shù)超過(guò)5次稍后重試則不是很好，有些應(yīng)用設(shè)置了如果超過(guò)5次則今天就會(huì)鎖定，只能明天再試，也有一些調(diào)節(jié)，不過(guò)可能對(duì)業(yè)務(wù)使用感有折扣，建議根據(jù)業(yè)務(wù)做平衡處理，另外密碼爆破的驗(yàn)證碼機(jī)制對(duì)密碼噴灑也有有效的阻止作用，所以最后建議不論哪種類型都加上錯(cuò)誤次數(shù)和驗(yàn)證碼機(jī)制，最大的點(diǎn)還是在于員工和個(gè)人的安全意識(shí)，系統(tǒng)做好，員工意識(shí)到位，讓不法分子沒有可乘之機(jī)。（1）設(shè)計(jì)安全的驗(yàn)證碼（安全的流程+復(fù)雜而又可用的圖形）（2）對(duì)認(rèn)證錯(cuò)誤的提交進(jìn)行計(jì)數(shù)并給出限制（3）必要的情況下，使用雙因素認(rèn)證實(shí)驗(yàn)CTFPostbook刪除帖子有不安全加密算法缺陷標(biāo)題：CTFPostBook網(wǎng)站>刪除帖子的URL中帖子號(hào)采用不安全的加密算法測(cè)試平臺(tái)與瀏覽器：Windows10+IE11或Chrome瀏覽器測(cè)試步驟：打開國(guó)外安全奪旗比賽網(wǎng)站主頁(yè):/ctf，如果已有賬戶直接登錄，沒有賬戶請(qǐng)注冊(cè)一個(gè)賬戶并登錄。登錄成功后，請(qǐng)進(jìn)入到Postbook網(wǎng)站項(xiàng)目/ctf/launch/7。點(diǎn)擊signup鏈接注冊(cè)兩個(gè)賬戶，比如：admin/admin,abcd/bacd。用admin/admin登錄，然后創(chuàng)建2個(gè)帖子，再用abcd/abcd登錄創(chuàng)建2個(gè)帖子。觀察abcd用戶某一個(gè)刪除帖子的鏈接：XXX/index.php?page=delete.php&id=8f14e45fceea167a5a36dedd4bea2543。百度上查詢MD5加解密，然后將8f14e45fceea167a5a36dedd4bea2543。放入MD5解密里，發(fā)現(xiàn)解開是7。嘗試刪除非本人創(chuàng)建的帖子，比如刪除id是1的帖子，把1通過(guò)MD5加密，得到值為：c4ca4238a0b923820dcc509a6f75849b，然后篡改刪除的URL中的id為MD5加密后的1。期望結(jié)果：因身份權(quán)限不對(duì)，拒絕訪問(wèn)。

實(shí)際結(jié)果：用戶abcd能不經(jīng)其他用戶許可，任意刪除其他用戶的數(shù)據(jù)，成功捕獲Flag。實(shí)驗(yàn)CTFPostbook刪除帖子有不安全加密算法實(shí)驗(yàn)CTFPostbook刪除帖子有不安全加密算法5近期弱與不安全的加密算法攻擊漏洞披露漏洞號(hào)影響產(chǎn)品漏洞描述CNVD-2020-02964HuaweiS12700V200R007C00HuaweiS1700V200R010C00HuaweiS2700V200R006C00HuaweiS12700等都是中國(guó)華為公司的一款企業(yè)級(jí)交換機(jī)產(chǎn)品。多款Huawei產(chǎn)品中存在加密問(wèn)題漏洞，該漏洞源于產(chǎn)品默認(rèn)使用了弱加密算法，攻擊者可利用該漏洞泄露信息。CNVD-2020-01008PhilipsVeradiusUnityPhilipsEndura（718075）PhilipsPulsera（718095PhilipsVeradiusUnity、Pulsera和EnduraDualWANRouter中存在加密問(wèn)題漏洞，該漏洞源于程序使用了較弱的加密機(jī)制，攻擊者可利用該漏洞入侵前端路由器的管理界面，影響數(shù)據(jù)傳輸?shù)目捎眯?。CNVD-2020-00256HashiCorpTerraform<0.12.17HashiCorpTerraform是美國(guó)HashiCorp公司的一款用于預(yù)配和管理云基礎(chǔ)結(jié)構(gòu)的開源工具。HashiCorpTerraform0.12.17之前版本中存在加密問(wèn)題漏洞，該漏洞源于程序使用HTTP傳輸敏感信息，攻擊者可利用該漏洞讀取敏感信息。CNVD-2020-00219ZTEZXCLOUDGoldenDataVAP<4.01.01.02ZTEZXCLOUDGoldenDataVAP4.01.01