第7章不安全的直接對象引用與應用層邏輯漏洞攻擊實訓要點不安全的直接對象引用應用層邏輯漏洞1不安全的直接對象引用不安全的對象直接引用（InsecureDirectObjectReference：IDOR），指一個已經(jīng)授權的用戶，通過更改訪問時的一個參數(shù)，從而訪問到了原本其并沒有得到授權的對象。當攻擊者可以訪問或修改對某些對象（例如文件，數(shù)據(jù)庫記錄，帳戶等）的某些引用時，就會發(fā)生不安全的直接對象引用漏洞，這些對象實際上應該是不可訪問的。例如，在具有私人資料的網(wǎng)站上查看您的帳戶時，您可以訪問/user=123。但是，如果您嘗試訪問/user=124并獲得訪問權限，那么該網(wǎng)站將被視為容易受到IDOR錯誤的攻擊。2應用層邏輯漏洞應用層邏輯漏洞與前面討論的其他類型攻擊不同。雖然HTML注入，HTML參數(shù)污染，XSS等都涉及提交某種類型的潛在惡意輸入，但應用層邏輯漏洞涉及操縱場景和利用Web應用程序編碼和開發(fā)決策中的錯誤。應用層邏輯漏洞與應用本身有關，這種沒有工具可以進行模式匹配掃描來找到這種類型的漏洞，相對來說和程序員沒有嚴密的安全設計或清晰地執(zhí)行安全有關，導致存在許多應用層邏輯漏洞被利用。實驗Oricity用戶注銷后還能邀請好友缺陷標題：城市空間網(wǎng)站>登錄后在個人的城市空間注銷，注銷后還可以訪問”邀請好友”的頁面測試平臺與瀏覽器：Windows7+Chrome或Firefox或IE11瀏覽器測試步驟：打開城市空間網(wǎng)站:/。點擊登錄按鈕，輸入正確的賬號登錄。登錄成功，點擊頁面頂部的”[XXX]的城市空間”到我個人的城市空間。在這個頁面點擊”注銷”按鈕。注銷后，點擊這里每個左側菜單。期望結果：都無法再訪問，跳轉(zhuǎn)至登錄頁面。

實際結果：”邀請好友”的界面還可以打開，并且可以輸入信息。實驗Oricity用戶注銷后還能邀請好友實驗Testphp網(wǎng)站數(shù)據(jù)庫結構泄露缺陷標題：網(wǎng)站/管理員目錄列表暴露，導致數(shù)據(jù)庫結構泄露

測試平臺與瀏覽器：Windows10+IE11或Chrome45.0瀏覽器測試步驟：打開網(wǎng)站:/。在瀏覽器地址欄中追加admin回車。期望結果：頁面沒發(fā)現(xiàn)

實際結果：出現(xiàn)管理員目錄列表，打開creat.sql能看到數(shù)據(jù)庫結構。實驗Testphp網(wǎng)站數(shù)據(jù)庫結構泄露實驗Testphp網(wǎng)站數(shù)據(jù)庫結構泄露實驗Oricity網(wǎng)站有內(nèi)部測試網(wǎng)頁缺陷標題：城市空間網(wǎng)站>活動詳情頁面>在URL后面添加/test.php,出現(xiàn)測試頁面測試平臺與瀏覽器：Windows10+Chrome或IE11瀏覽器

測試步驟：打開城市空間網(wǎng)頁：/。點擊任一活動。修改URL為/event/test.php，并回車。期望結果：不存在測試頁面。實際結果：存在測試頁面，并能訪問。實驗Oricity網(wǎng)站有內(nèi)部測試網(wǎng)頁第8章客戶端繞行

與文件上傳攻擊實訓要點客戶端繞行文件上傳攻擊1客戶端繞行客戶端繞行是開發(fā)工程師常犯的錯誤，經(jīng)常對于輸入有效性驗證，只用前端的JS進行，沒有在數(shù)據(jù)提交前的服務器端相應驗證。而客戶端驗證是不安全的，很容易被繞行。有前端的JS驗證，必須要有相應的服務器端驗證，才能保證用戶輸入的數(shù)據(jù)是符合規(guī)定的?？蛻舳死@行成功，就代表程序員沒有做相應的服務器端限制，那么前面講的許多攻擊都能成功，比如XSS攻擊，SQLInjection等。凈化用戶輸入是非常重要的，這個凈化就包括客戶端與服務器端，客戶端主要是快速反應，并且給用戶一個友好的界面提示，服務器端在寫數(shù)據(jù)庫前做的校驗可以確保用戶輸入的，就是預定義的、符合規(guī)則的。2文件上傳攻擊文件上傳漏洞是指網(wǎng)絡攻擊者上傳了一個可執(zhí)行的文件到服務器并執(zhí)行。這里上傳的文件可以是木馬，病毒，惡意腳本或者WebShell等。這種攻擊方式是最為直接和有效的，部分文件上傳漏洞利用的技術門檻非常低，對于攻擊者來說很容易實施。文件上傳攻擊成功常見場景：1.文件上傳時檢查不嚴2.文件上傳后修改文件名時處理不當3.使用第三方插件時引入實驗Oricity網(wǎng)站JS前端控制被繞行缺陷標題：城市空間網(wǎng)站>好友分組，通過更改URL可以添加超過最大個數(shù)的好友分組測試平臺與瀏覽器：Windows10+IE11或Chrome瀏覽器測試步驟：打開城市空間網(wǎng)站:/。使用正確賬號登錄。點擊賬號名稱，進入我的城市空間。點擊”好友分組”，添加好友分組到最大個數(shù)10個，此時”添加”按鈕變灰色，不可以添加狀態(tài)，選擇一個分組，點擊”修改組資料”。在URL后面加上?action=add，回車。在添加頁面輸入組名，點擊確定按鈕。期望結果：不能添加分組。實際結果：第11個分組添加成功。實驗Oricity網(wǎng)站JS前端控制被繞行實驗Oricity網(wǎng)站軌跡名采用不同驗證規(guī)則缺陷標題：城市空間主頁：上傳軌跡和編輯線路時，軌跡名稱采用了不同的驗證規(guī)則測試平臺與瀏覽器：Windows10+IE11或Chrome瀏覽器測試步驟：

打開城市空間主頁:/。登錄，點擊戶外軌跡，再點擊上傳軌跡。按要求填寫內(nèi)容，點擊上傳軌跡。(如果不填寫“路線名稱”，將不能保存)。上傳成功后點擊返回進入上傳的軌跡帖子，點擊編輯線路，將“路線名稱”置為空，點擊存盤。查看保存結果頁面。期望結果：保存失敗，提示軌跡名稱不能為空。實際結果：保存成功且軌跡名稱為空。實驗Oricity網(wǎng)站軌跡名采用不同驗證規(guī)則實驗Oricity網(wǎng)站軌跡名采用不同驗證規(guī)則實驗Oricity網(wǎng)站上傳文件大小限制問題缺陷標題：城市空間網(wǎng)站>個人中心>我的相冊中圖片上傳，可上傳超過限制大小的圖片測試平臺與瀏覽器：Windows10+Chrome瀏覽器

測試步驟：打開城市空間網(wǎng)頁:/。登錄，點擊[xx的城市空間]，在“我的相冊”目錄下找到“圖片上傳”。選擇超過限制大小的圖片并上傳。查看上傳結果。期望結果：上傳失敗，并提示。實際結果：能上傳，并能打開。實驗Oricity網(wǎng)站上傳文件大小限制問題實驗智慧紹興-電子刻字不限制上傳文件類型缺陷標題：智慧紹興>文字刻字>無法正確限制上傳文件類型測試平臺與瀏覽器：Windows10+IE11或Firefox瀏覽器測試步驟：打開智慧紹興系列-到此一游電子刻字網(wǎng)頁/zhsx/dcyy。點擊“電子刻字”。點擊“體驗電子刻字”。在該頁面“選擇圖片”出選擇文件。選擇一個MP3的文件類型。期望結果：提示選擇文件類型錯誤。實際結果：能夠正常添加該MP3文件，并且能夠?qū)崿F(xiàn)文字方向的調(diào)整。實驗智慧紹興-電子刻字不限制上傳文件類型第9章弱與不安全的加密

算法攻擊實訓要點數(shù)據(jù)加密算法

Base64編碼單項散列函數(shù)對稱加密算法非對稱加密數(shù)字證書（權威機構CA）1數(shù)據(jù)加密算法數(shù)據(jù)加密技術是最基本的安全技術，被譽為信息安全的核心，最初主要用于保證數(shù)據(jù)在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文，然后再進行信息的存儲或傳輸，即使加密信息在存儲或者傳輸過程為非授權人員所獲得，也可以保證這些信息不為其認知，從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。2Base64編碼Base64編碼是網(wǎng)絡上最常見的用于傳輸8位字節(jié)代碼的編碼方式之一，Base64編碼可用于在HTTP環(huán)境下傳遞較長的標識信息。例如用作HTTP表單和HTTPGETURL中的參數(shù)。在其他應用程序中，也常常需要把二進制數(shù)據(jù)編碼為適合放在URL（包括隱藏表單域）中的形式。此時，采用Base64編碼不僅比較簡短，同時也具有不可讀性，即所編碼的數(shù)據(jù)不會被人用肉眼所直接看到。嚴格意義上來講，Base64只能算一種編碼技術，不能算加解密技術。Base64編碼不用作為保護用戶數(shù)據(jù)安全的加密技術。3單項散列函數(shù)單向散列函數(shù)也稱為消息摘要函數(shù)、哈希函數(shù)或者雜湊函數(shù)。單向散列函數(shù)輸出的散列值又稱為消息摘要或者指紋。常見的散列函數(shù)有MD5、Hmac、SHA1、SHA256、SHA512等。散列函數(shù)是只加密不解密的，只能靠彩虹表碰撞出原始的內(nèi)容是多少。4對稱加密算法對稱加密的特點：1)加密/解密使用相同的密鑰。2)是可逆的。常見的對稱加密算法有DES、3DES、AES等。對稱加密算法中加密與解密使用相同的密鑰，并且是可逆的。對稱加密的算法是公開的，密鑰是關鍵。5非對稱加密非對稱加密特點：1)使用公鑰加密，使用私鑰解密。2)公鑰是公開的，私鑰保密。加密處理安全，但是性能極差。非對稱密碼體制的特點：算法強度復雜、安全性依賴于算法與密鑰，但是由于其算法復雜，而使得加密解密速度沒有對稱加密解密的速度快。6數(shù)字證書（權威機構CA）數(shù)字證書包含：1.公鑰。2.認證機構的數(shù)字簽名（權威機構CA）。數(shù)字證書可以自己生成，也可以從權威機構購買，但是注意，自己生成的證書，只能自己認可，別人都不認可。實驗CTFPostbook刪除帖子有不安全加密算法缺陷標題：CTFPostBook網(wǎng)站>刪除帖子的URL中帖子號采用不安全的加密算法測試平臺與瀏覽器：Windows10+IE11或Chrome瀏覽器測試步驟：打開國外安全奪旗比賽網(wǎng)站主頁:/ctf，如果已有賬戶直接登錄，沒有賬戶請注冊一個賬戶并登錄。登錄成功后，請進入到Postbook網(wǎng)站項目/ctf/launch/7。點擊signup鏈接注冊兩個賬戶，比如：admin/admin,abcd/bacd。用admin/admin登錄，然后創(chuàng)建2個帖子，再用abcd/abcd登錄創(chuàng)建2個帖子。觀察abcd用戶某一個刪除帖子的鏈接：XXX/index.php?page=delete.php&id=8f14e45fceea167a5a36dedd4bea2543。百度上查詢MD5加解密，然后將8f14e45fceea167a5a36dedd4bea2543。放入MD5解密里，發(fā)現(xiàn)解開是7。嘗試刪除非本人創(chuàng)建的帖子，比如刪除id是1的帖子，把1通過MD5加密，得到值為：c4ca4238a0b923820dcc509a6f75849b，然后篡改刪除的URL中的id為MD5加密后的1。期望結果：因身份權限不對，拒絕訪問。

實際結果：用戶abcd能不經(jīng)其他用戶許可，任意刪除其他用戶的數(shù)據(jù)，成功捕獲Flag。實驗CTFPostbook刪除帖子有不安全加密算法實驗CTFPostbook刪除帖子有不安全加密算法實驗CTFPostbook用戶身份Cookie有不安全加密算法缺陷標題：CTFPostBook網(wǎng)站>用戶身份Cookie有不安全的加密算法測試平臺與瀏覽器：Windows10+Firefox或Chrome瀏覽器測試步驟：打開國外安全奪旗比賽網(wǎng)站主頁:/ctf，如果已有賬戶直接登錄，沒有賬戶請注冊一個賬戶并登錄。登錄成功后，請進入到Postbook網(wǎng)站項目/ctf/launch/7。點擊signup鏈接注冊兩個賬戶，比如：admin/admin,abcd/bacd。用admin/admin登錄，然后創(chuàng)建2個帖子，再用abcd/abcd登錄創(chuàng)建2個帖子。在FireFox瀏覽器上右擊鼠標，選擇“查看元素”，觀察已登錄的Cookie值，其中id=eccbc87e4b5ce2fe28308fd9f2a7baf3。通過上一個試驗得知這個id的MD5反查是3,也就是系統(tǒng)中的第三個用戶，點擊“編輯與重發(fā)”。嘗試將cookie中的id值改成系統(tǒng)中的第1個用戶或第2個用戶，比如id=c4ca4238a0b923820dcc509a6f75849b，然后點擊“發(fā)送”。期望結果：因身份權限不對，拒絕訪問。

實際結果：發(fā)送成功后，點擊“響應”，發(fā)現(xiàn)已經(jīng)用另一個人的身份登錄，可以用另一個人身份添加/刪除/修改帖子，成功捕獲Flag。實驗CTFPostbook用戶身份Cookie有不安全加密算法實驗CTFPostbook用戶身份Cookie有不安全加密算法實驗CTFPostbook用戶身份Cookie有不安全加密算法實驗CTFPostbook用戶身份Cookie有不安全加密算法第10章暴力破解與HTTPHeader攻擊實訓要點暴力破解

HTTPHeader安全1暴力破解暴力破解（BruteForce）攻擊是指攻擊者通過系統(tǒng)地組合所有可能性（例如登錄時用到的賬戶名、密碼），嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。攻擊者會經(jīng)常使用自動化腳本組合出正確的用戶名和密碼。對防御者而言，給攻擊者留的時間越長，其組合出正確的用戶名和密碼的可能性就越大。2暴力破解分類暴力破解可分為兩種，一種是針對性的密碼爆破，另外一種是擴展性的密碼噴灑。密碼爆破：密碼爆破一般很熟悉，即針對單個賬號或用戶，用密碼字典來不斷的嘗試，直到試出正確的密碼，破解出來的時間和密碼的復雜度及長度及破解設備有一定的關系。密碼噴灑（PasswordSpraying）：密碼噴灑和密碼爆破相反，也可以叫反向密碼爆破，即用指定的一個密碼來批量的試取用戶，在信息搜集階段獲取了大量的賬號信息或者系統(tǒng)的用戶，然后以固定的一個密碼去不斷的嘗試這些用戶。3

HTTPHeader安全現(xiàn)代的網(wǎng)絡瀏覽器提供了很多的安全功能，旨在保護瀏覽器用戶免受各種各樣的威脅，如安裝在他們設備上的惡意軟件、監(jiān)聽他們網(wǎng)絡流量的黑客以及惡意的釣魚網(wǎng)站。HTTP安全標頭是網(wǎng)站安全的基本組成部分。部署這些安全標頭有助于保護您的網(wǎng)站免受XSS、代碼注入、Clickjacking的侵擾。當用戶通過瀏覽器訪問站點時，服務器使用HTTP響應頭進行響應。這些Header告訴瀏覽器如何與站點通信。它們包含了網(wǎng)站的Metadata，可以利用這些信息概括整個通信并提高安全性。4

HTTPHeader安全常見設置一：阻止網(wǎng)站被嵌套，X-Frame-Options二：跨站XSS防護，X-XSS-Protection三：強制使用HHPS傳輸（HTTPStrictTransportSecurity：HSTS）四：安全策略（ContentSecurityPolicy：CSP）五：禁用瀏覽器的Content-Type猜測行為，X-Content-Type-Options六：Cookie安全，Set-Cookie七：增加隱私保護，Referrer-Policy八：防止中間人攻擊（HTTPSPublic-Key-Pins：HPKP）九：緩存安全，no-cache十：跨域安全，X-Permitted-Cross-Domain-Policies實驗Testfire網(wǎng)站登錄頁面有暴力破解風險缺陷標題：testfire網(wǎng)站>登錄頁面有暴力破解風險測試平臺與瀏覽器：Windows10+Firefox或IE11瀏覽器測試步驟：

打開國外網(wǎng)站,點擊“SignIn”進入登錄頁面。查看登錄頁面有沒有防暴力破解賬戶與密碼的設計。期望結果：登錄頁面，應該有圖形驗證碼或其他防止被暴力破解設計。

實際結果：登錄頁面，沒有圖形驗證碼等防暴力破解設計，用BrupSuite工具可以進行暴力破解，根據(jù)響應的時間不同，可以得到2個可用的賬戶與密碼，分別是admin/admin,jsmith/demo1234.實驗Testfire網(wǎng)站登錄頁面有暴力破解風險實驗Testfire網(wǎng)站登錄頁面有暴力破解風險實驗Testfire網(wǎng)站Cookies沒HttpOnly缺陷標題：testfire網(wǎng)站部分Cookies沒有設置成HttpOnly測試平臺與瀏覽器：Windows10+Chrome或Firefox瀏覽器測試步驟：打開testfire網(wǎng)站，。用ZAP工具查看網(wǎng)站Cookies設置（當然在Windows系統(tǒng)中，按鍵盤上的F12功能鍵，進入開發(fā)者模式，瀏覽器里也能看到Cookie設置）。期望結果：所有Cookies正確設置。

實際結果：部分Cookies沒有設置成HttpOnly實驗Testfire網(wǎng)站Cookies沒HttpOnly實驗Testphp網(wǎng)站密碼未加密傳輸缺陷標題：網(wǎng)站/登陸時密碼未加密傳輸

測試平臺與瀏覽器：Windows10+IE11或Chrome45.0瀏覽器測試步驟：打開網(wǎng)站:/。點擊Signup鏈接。用戶名和密碼分別輸入test。按鍵盤上的“F12”功能鍵，打開瀏覽器開發(fā)者工具，選擇“Network”網(wǎng)絡項。點擊登陸按鈕。查看開發(fā)者工具中的密碼加密情況。期望結果：應該使用HTTPS安全傳輸用戶名與密碼。

實際結果：使用HTTP連接傳輸，密碼未加密。實驗Testphp網(wǎng)站密碼未加密傳輸實驗Testphp網(wǎng)站密碼未加密傳輸?shù)?1章HTTP參數(shù)污染-篡改

與緩存溢出攻擊實訓要點

HTTP參數(shù)污染

HTTP參數(shù)篡改緩存溢出攻擊1HTTP參數(shù)污染HTTP參數(shù)污染（HTTPParameterPollution：HPP）：是指操縱網(wǎng)站如何處理在HTTP請求期間接收的參數(shù)。當易受攻擊的網(wǎng)站對URL參數(shù)進行注入時，會發(fā)生此漏洞，從而導致意外行為。攻擊者通過在HTTP請求中插入特定的參數(shù)來發(fā)起攻擊。如果Web應用中存在這樣的漏洞，就可能被攻擊者利用來進行客戶端或者服務器端的攻擊。/search?q=italy&q=china/search?p=italy&p=china2HTTP參數(shù)篡改HTTP參數(shù)篡改（HTTPParameterTampering）：其實質(zhì)是屬于中間人攻擊的一種，參數(shù)篡改是Web安全中很典型的一種安全風險，攻擊者通過中間人或代理技術截獲WebURL，并對URL中的參數(shù)進行篡改從而達到攻擊效果。3緩存溢出攻擊緩存溢出（Bufferoverflow:BOF），也稱為緩沖區(qū)溢出，是指在存在緩存溢出安全漏洞的計算機中，攻擊者可以用超出常規(guī)長度的字符數(shù)來填滿一個域，通常是內(nèi)存區(qū)地址。在某些情況下，這些過量的字符能夠作為“可執(zhí)行”代碼來運行。從而使得攻擊者可以不受安全措施的約束來控制被攻擊的計算機。實驗Oricity網(wǎng)站URL篡改暴露代碼細節(jié)缺陷標題：城市空間網(wǎng)站>話題詳情頁更改URL后，暴露代碼細節(jié)測試平臺與瀏覽器：Windows10+Chrome瀏覽器測試步驟：打開城市空間官網(wǎng)。打開任一話題。修改URL，在eventId后面添加“；”，點擊“轉(zhuǎn)到”。期望結果：提示URL錯誤。

實際結果：直接顯示SQL錯誤。實驗Oricity網(wǎng)站URL篡改暴露代碼細節(jié)實驗CTFPostbook網(wǎng)站查看帖子id可以參數(shù)污染缺陷標題：CTFPostBook網(wǎng)站>用戶A登錄后，查看帖子URL中的id可以參數(shù)污染測試平臺與瀏覽器：Windows10+IE11或Chrome瀏覽器測試步驟：打開國外安全奪旗比賽網(wǎng)站主頁:/ctf，如果已有賬戶直接登錄，沒有賬戶請注冊一個賬戶并登錄。登錄成功后，請進入到Postbook網(wǎng)站項目/ctf/launch/7。點擊signup鏈接注冊兩個賬戶，比如：admin/admin,abcd/bacd。用admin/admin登錄，然后創(chuàng)建2個帖子，再用abcd/abcd登錄創(chuàng)建2個帖子。觀察abcd用戶查看帖子的鏈接：XXX/index.php?page=view.php&id=7。對上面查看帖子URL中的id進行參數(shù)污染，手動在URL后面加上&id=2,XXX/index.php?page=view.php&id=7&id=2。期望結果：因身份權限不對，拒絕訪問。

實際結果：用戶abcd能不經(jīng)其他用戶許可，任意查看其他用戶設置成Private的隱私數(shù)據(jù)，成功捕獲Flag。實驗CTFPostbook網(wǎng)站查看帖子id可以參數(shù)污染實驗CTFPostbook網(wǎng)站查看帖子id可以參數(shù)污染實驗CTFCody'sFirstBlog網(wǎng)站admin篡改繞行漏洞缺陷標題：CTFCody'sFirstBlog>有admin繞行漏洞測試平臺與瀏覽器：Windows10+Firefox或IE11瀏覽器測試步驟：

打開國外安全奪旗比賽網(wǎng)站主頁：/ctf，如果已有賬戶直接登錄，沒有賬戶請注冊一個賬戶并登錄。登錄成功后，請進入到Cody'sFirstBlog網(wǎng)站項目。/ctf/launch/6，在出現(xiàn)的頁面右擊鼠標選擇“查看網(wǎng)頁源代碼（ViewPageSource）”，出現(xiàn)如圖11-4所示。在源代碼第19行，發(fā)現(xiàn)一個管理員入口鏈接的注釋：?page=admin.auth.inc，在當前頁面URL上補上這個后繼URL。嘗試將URL中admin.auth.inc中的auth.刪除，變成admin.inc，再運行URL。期望結果：