Web應(yīng)用安全漏洞概論目錄TOC\o"1-3"\h\u8879Web應(yīng)用安全漏洞概論 1194471.1Web漏洞的概述 1286641.2Web漏洞的分類 1192241.3Web應(yīng)用漏洞的分布 3123521.4Web漏洞產(chǎn)生的原因 4310691.5Web應(yīng)用漏洞的風(fēng)險(xiǎn)評估 5245041.6滲透測試研究 595331.6.1白盒測試 5291521.6.2黑盒測試 51.1Web漏洞的概述漏洞通常是指在開發(fā)應(yīng)用程序時(shí)所遺留的缺陷被稱為漏洞，也被稱為一個(gè)應(yīng)用程序的脆弱性，漏洞與人們所常理解的BUG并不完全相同，BUG會影響應(yīng)用程序的功能和穩(wěn)定性，但并不一定構(gòu)成漏洞，但大部分的漏洞是由BUG引起的，它們并不能一概而論，漏洞大致分為應(yīng)用層面的漏洞和系統(tǒng)層面的漏洞，系統(tǒng)層面的漏洞是指人們經(jīng)常用的各種操作系統(tǒng)，如Web服務(wù)器，數(shù)據(jù)庫服務(wù)器，或者一些通信協(xié)議所存在的邏輯漏洞。應(yīng)用層面的漏洞，是指開發(fā)人員使用編程語言（C語言，JAVA，JS等）在開發(fā)程序時(shí)所留下來的漏洞，這些漏洞中大部分都來自Web安全的漏洞，攻擊者可以利用這些漏洞，盜取用戶身份信息，數(shù)據(jù)庫信息，再進(jìn)行內(nèi)網(wǎng)滲透，拿到企業(yè)中服務(wù)器的權(quán)限，通常這些漏洞包括，SQL注入，XSS擴(kuò)展腳本漏洞，CSRF漏洞等。1.2Web漏洞的分類OWASP,全稱為:openWebapplicationsecurityproject,是一個(gè)致力于解決Web安全問題的國際性全球開源網(wǎng)絡(luò)組織,該組織會定期公布一些Web應(yīng)用安全最嚴(yán)重的十種漏洞,并從業(yè)務(wù)所可能產(chǎn)生的影響及其危害程度情況進(jìn)行了排序,圖2-1為2017年發(fā)布了十大Web應(yīng)用漏洞特征圖2-1OWASPTOP10漏洞排名（１）注入攻擊：該類攻擊主要在市場上有以下幾類攻擊方式，SQL注入、HTTP數(shù)據(jù)包異常注入，緩存區(qū)溢出注入，遠(yuǎn)程代碼注入等等，這些攻擊主要是因?yàn)槭虑伴_發(fā)人員在開發(fā)應(yīng)用程序時(shí)沒有對用戶輸入的一些參數(shù)進(jìn)行檢查就直接提交給了后臺的數(shù)據(jù)庫，以至于攻擊者對其進(jìn)行利用攻破服務(wù)器，網(wǎng)絡(luò)上的攻擊者通過精心構(gòu)造的異常數(shù)據(jù)包傳入服務(wù)器中，其數(shù)據(jù)包內(nèi)包含惡意代碼，該惡意程序通過交互后被傳入后臺的數(shù)據(jù)庫后，直接執(zhí)行惡意的命令，從而達(dá)到竊取數(shù)據(jù)或者篡改數(shù)據(jù)信息的目的，該類攻擊所造成的攻擊危害級極為嚴(yán)重，甚至能夠使用APT提升攻擊權(quán)限，從而通過非法操作，獲得管理員的權(quán)限，達(dá)到控制服務(wù)器的目的，對市場的危害極大。（２）跨站腳本攻擊：該漏洞攻擊所產(chǎn)生的原因與注入攻擊利用的原理類似，造成攻擊的原因依然是應(yīng)用程序的開發(fā)人員沒有對提交的數(shù)據(jù)進(jìn)行合理性的檢查和轉(zhuǎn)義，造成數(shù)據(jù)直接在網(wǎng)站瀏覽器或者后臺中響應(yīng)了該包含有惡意代碼的數(shù)據(jù)。因而瀏覽器器頁面時(shí)，嵌入在瀏覽器的異常的非法代碼就被執(zhí)行?？缯灸_本攻擊又被稱為XSS漏洞攻擊，XSS漏洞攻擊被分為反射性，存儲型和基于DOM型三種XSS漏洞。三種XSS漏洞對應(yīng)的檢測方法不盡相同，但總體方法思路一樣，就是檢測用戶再瀏覽器上提交數(shù)據(jù)中是否含有特殊的字符。（3）遭破壞的認(rèn)證和會話管理：該漏洞是因?yàn)槟承┚W(wǎng)站在傳輸時(shí)對身份驗(yàn)證的機(jī)制不完善，或者沒有對瀏覽器的會話或者COOKIE值的來源進(jìn)行驗(yàn)證，從而攻擊者就可以利用攻擊技巧來獲取用戶訪問網(wǎng)站時(shí)的COOKIE信息和SessionID值進(jìn)而讓服務(wù)器信任攻擊者，達(dá)到提權(quán)的目的，服務(wù)器邏輯上認(rèn)為攻擊者是正在訪問的信任用戶。該漏洞一般發(fā)生在需要輸入網(wǎng)站的用戶密碼的頁面上，其防護(hù)方法最有效的是使用token技術(shù)嵌入在瀏覽器種，使用token技術(shù)隨機(jī)加密，使得攻擊者獲取的值與服務(wù)器中的隨機(jī)值對應(yīng)的不一致，來保證服務(wù)器的驗(yàn)證機(jī)制。（4）不安全的對象直接引用：該漏洞是網(wǎng)站已經(jīng)對用戶授權(quán)信任，但一般得到權(quán)限比較低，攻擊者可以利用網(wǎng)站允許用戶向服務(wù)器傳入?yún)?shù)的特性，通過手段把惡意代碼嵌入?yún)?shù)中進(jìn)行提權(quán)，以獲取到其原先沒有的高級權(quán)限。（5）跨站請求偽造：它是指讓瀏覽器向一個(gè)易受攻擊的Web應(yīng)用程序發(fā)送請求，以達(dá)到攻擊者所需要的操作。其目的是利用了用戶對網(wǎng)站的信任，使用攻擊技巧誘導(dǎo)用戶區(qū)點(diǎn)擊曾經(jīng)瀏覽過的網(wǎng)頁，進(jìn)而直接獲取用戶的權(quán)限。（6）不安全的配置：不安全的配置一般會發(fā)生在七層協(xié)議的每一層中，對各層網(wǎng)絡(luò)設(shè)備的配置不當(dāng)，都會導(dǎo)致漏洞的出現(xiàn)，不管多么完善的防護(hù)漏洞體系，人員的操作不當(dāng)都會直接導(dǎo)致攻擊者輕而易舉地攻破內(nèi)網(wǎng)環(huán)境，所以對于人員的培訓(xùn)和人員管理需要有一個(gè)明確的應(yīng)急方案處理文件和明文規(guī)定的人員管理制度。（7）不安全的加密存儲：該漏洞是因?yàn)闆]有對協(xié)議等進(jìn)行加密，如HTTP協(xié)議就是明文傳輸，只要攻擊者抓取到瀏覽器和服務(wù)器交互的數(shù)據(jù)包就可以盜取里面的用戶信息。（8）限制URL訪問失?。涸撀┒词侵笇δ承┚W(wǎng)站的站點(diǎn)廢棄之后，運(yùn)維人員就對其站點(diǎn)沒有進(jìn)行保護(hù)，攻擊者通常會使用一些滲透工具對網(wǎng)站的旁站進(jìn)行掃描，進(jìn)而找到廢棄的網(wǎng)站，從該失效的網(wǎng)站中直接獲取信息，進(jìn)而攻破主站。（9）無效的傳輸層保護(hù)：該漏洞是傳輸層對數(shù)據(jù)保護(hù)不足導(dǎo)致的，其原因是傳輸層的協(xié)議沒有進(jìn)行加密保護(hù)，HTTP現(xiàn)階段的保護(hù)機(jī)制是使用SSL/TLS加密協(xié)議對Web傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)。（10）未驗(yàn)證的重定向和轉(zhuǎn)發(fā)：用戶有時(shí)訪問應(yīng)用程序會被Web應(yīng)用重定向到其他或者指定的頁面上，攻擊者就可以利用該特性，讓用戶訪問的網(wǎng)站重定向到自己所搭建的網(wǎng)站環(huán)境中，這樣就可以直接竊取用戶的數(shù)據(jù)，網(wǎng)絡(luò)中的一些熟悉的攻擊就是利用了該特性，如網(wǎng)頁釣魚等。1.3Web應(yīng)用漏洞的分布圖2-2Web漏洞的扇形分布圖Web應(yīng)用漏洞隨著發(fā)展多種多樣，但其危害程度，占比，傳播速度都不一樣，有些漏洞對網(wǎng)絡(luò)的破壞程度很小，但傳播速度卻很廣泛，其對社會的危害性也足以造成動蕩，從圖2-2分析可以看出注入漏洞，XSS漏洞占比最大，也因此后續(xù)的研究也將從這幾方面進(jìn)行研究以及作為測試的對象。1.4Web漏洞產(chǎn)生的原因Web應(yīng)用漏洞的產(chǎn)生原因主要有以下幾點(diǎn)原因：(1)應(yīng)用開發(fā)人員程序開發(fā)時(shí)沒有對用戶的輸入進(jìn)行驗(yàn)證：由于當(dāng)前相當(dāng)多的開發(fā)人員缺乏程序方面的安全意識，導(dǎo)致開發(fā)的后臺程序往往會把用戶的輸入數(shù)據(jù)當(dāng)作可信的數(shù)據(jù)進(jìn)行執(zhí)行，往往攻擊者提交數(shù)據(jù)中存在惡意代碼時(shí)程序直接不進(jìn)行任何驗(yàn)證就把數(shù)據(jù)中的惡意代碼進(jìn)行了執(zhí)行操作，這也就導(dǎo)致了市面上的應(yīng)用程序有相當(dāng)大的脆弱性。目前市場上的一些通用漏洞，如SQL注入，XSS就是Web應(yīng)用程序的開發(fā)人員沒有寫入一些安全過濾的機(jī)制，導(dǎo)致服務(wù)器直接信任了用戶傳入的數(shù)據(jù)造成漏洞的產(chǎn)生，這種錯(cuò)誤會造成攻擊者利用了用戶傳入的參數(shù)進(jìn)行操作，在參數(shù)中寫入一些SQL語句，JS語句等，被服務(wù)器當(dāng)作語句執(zhí)行了，在參數(shù)中輸入可以被服務(wù)器執(zhí)行的SQL語句就被稱為SQL注入漏洞，輸入JS等可以執(zhí)行的語句就被稱為XSS跨站腳本漏洞。(2)身份權(quán)限錯(cuò)誤；Web應(yīng)用程序針對用戶的權(quán)限沒有做權(quán)限的細(xì)粒話，導(dǎo)致用戶得到的權(quán)限與其本身應(yīng)得到的權(quán)限不對應(yīng)，攻擊者可以直接利用命令等操作把權(quán)限提升到管理員的權(quán)限，甚至是超級管理員權(quán)限，從而破壞內(nèi)網(wǎng)環(huán)境。(3)異常處理機(jī)制不完善：Web應(yīng)用沒有針對用戶在瀏覽器輸入的信息所產(chǎn)生的報(bào)錯(cuò)信息進(jìn)行屏蔽，對異常的信息模塊設(shè)計(jì)不謹(jǐn)慎的話，攻擊者往往會進(jìn)行惡意操作導(dǎo)致網(wǎng)頁出現(xiàn)錯(cuò)誤，在未進(jìn)行處理的情況下，瀏覽器往往會直接給出錯(cuò)誤信息，信息中包括一些數(shù)據(jù)庫版本，攻擊者直接利用已知的漏洞輕易的攻破服務(wù)器，拿到服務(wù)器權(quán)限。(4)人員管理的錯(cuò)誤：目前企業(yè)中的漏洞有一大部分是人員的疏忽大意或者進(jìn)行配置不當(dāng)導(dǎo)致的，攻擊者往往會利用人的心里環(huán)境結(jié)合社會工程學(xué)輕松的滲透到安全防護(hù)體系中，突破比較完善的內(nèi)網(wǎng)環(huán)境，從而直接攻破某網(wǎng)絡(luò)或者某企業(yè)的網(wǎng)絡(luò)，導(dǎo)致業(yè)務(wù)的持續(xù)中斷。1.5Web應(yīng)用漏洞的風(fēng)險(xiǎn)評估漏洞的攻擊觸發(fā)方式各不相同，造成的攻擊危害也不同，所造成的破壞從對業(yè)務(wù)的無損害到嚴(yán)重?fù)p害在到業(yè)務(wù)的中斷等，各家廠商對漏洞危害分類不同，但大體分類思路一樣，其基本是針對與漏洞的綜合分析，對攻擊的方式，漏洞的通用性，檢測難易程度，對社會產(chǎn)生的危害等進(jìn)行綜合的評估，從而被分為低危漏洞，中危漏洞，高危漏洞。漏洞評估的目的是給出其企業(yè)中的潛在威脅，企業(yè)系統(tǒng)中各級子系統(tǒng)的脆弱性和弱點(diǎn)的列表。評估信息通常是通過設(shè)備的評估，訪談管理員，以及網(wǎng)絡(luò)漏洞的掃描等手段進(jìn)行獲取。漏洞評估也分為兩種評估方式，即技術(shù)的漏洞評估和非技術(shù)的漏洞評估，技術(shù)漏洞的評估在第一章已經(jīng)概述過，非技術(shù)的漏洞評估主要指從機(jī)房等重要地設(shè)施的物理位置，人為的身份安全控制，系統(tǒng)的開發(fā)和維護(hù)，應(yīng)急方案的處理等進(jìn)行評估。1.6滲透測試研究1.6.1白盒測試白盒測試又被稱為結(jié)構(gòu)測試，白盒即為被測試的軟件程序，一般白盒測試是利用靜態(tài)分析等方法對代碼的結(jié)構(gòu)，路徑，邏輯上分析是否存在漏洞。白盒測試一般會在一個(gè)應(yīng)用程序快要交付的階段進(jìn)行測試，這種測試很少直接運(yùn)用到Web漏洞的探測上，根其原因是白盒測試包含應(yīng)用層，數(shù)據(jù)交互層，以及貫穿整個(gè)程序的路徑，光路徑就是一個(gè)量級的操作，Web的應(yīng)用環(huán)境也極為的復(fù)雜，這樣的測試耗費(fèi)人力，和資源。1.6.2黑盒測試黑盒測試與白盒測試對比，白盒測試是對于測試的目標(biāo)信息是完全掌握的，但黑盒測試則是在完全不知道其程序的架構(gòu)等信息下進(jìn)行測試，模擬黑客在經(jīng)過合法性的授權(quán)的情況下對一個(gè)應(yīng)用程序或者平臺進(jìn)行滲透攻擊，從而得出該系統(tǒng)中存在的漏洞，分析其的脆弱性。黑盒測試不用像白盒測試一樣考慮其他的因素，如應(yīng)用的運(yùn)行環(huán)境，代碼等，其可以直接進(jìn)行程序的代碼審計(jì)，進(jìn)而分析得出漏洞，其是在完全沒有代碼的環(huán)境下進(jìn)行滲透測試，所以需要經(jīng)過前期的信息收集進(jìn)行收集系統(tǒng)