1、Web滲透的基礎(chǔ)知識(shí)培訓(xùn),目錄,3. Web滲透帶來的危害,2. Web滲透的常用手法,1. 為什么要重視Web安全？,為什么要重視Web安全？,現(xiàn)在很多企業(yè)，政府，學(xué)校都在互聯(lián)網(wǎng)上建立自己的平臺(tái)，比如企業(yè)的進(jìn)銷存，OA系統(tǒng)還有郵件系統(tǒng)；政府的電子政務(wù)，學(xué)校有教務(wù)系統(tǒng)等。 包括現(xiàn)在很多的運(yùn)營商也是對(duì)web安全越來越重視，他們會(huì)把掃出的漏洞納入到考核扣分。而在現(xiàn)實(shí)世界中，針對(duì)網(wǎng)站的攻擊愈演愈烈，頻頻得手。,為什么要重視Web安全？,國家互聯(lián)網(wǎng)應(yīng)急中心截圖,為什么要重視Web安全？,Web攻擊趨于簡單化工具化,Web滲透的常用手法,弱口令、社會(huì)工程學(xué),第三方系統(tǒng)的漏洞,Webshell介紹,常見W

2、eb攻擊方法,Web漏洞掃描 構(gòu)造惡意輸入(SQL注入攻擊、命令注入攻擊、跨站腳本攻擊) 網(wǎng)頁爬行 暴力猜解、弱口令 社會(huì)工程學(xué) 錯(cuò)誤信息利用 根據(jù)系統(tǒng)現(xiàn)有版本尋找現(xiàn)有的攻擊代碼 利用服務(wù)器配置漏洞 文件上傳下載 邏輯缺陷 .,Sql注入原理介紹,定義： 由于程序中對(duì)用戶輸入檢查不嚴(yán)格，用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。 原因分析 其本質(zhì)是對(duì)于輸入檢查不充分，導(dǎo)致SQL語句將用戶提交的非法數(shù)據(jù)當(dāng)作語句的一部分來執(zhí)行。,SQL 注入演示（一）,管理員,程序員考慮的場景: age: 20 SELECT

3、name, age, location FROM Users WHERE age20,程序員未預(yù)料到的結(jié)果 age: 1000000 union select name, age, password from users SELECT name, age, location FROM Users WHERE age999 union select name, age, password from users,Fact： 大多數(shù)程序員都注意到了的問題，他們用來代替用戶輸入的，從而防止字符串SQL注入； 但很多人缺忽略了同樣嚴(yán)重的數(shù)字注入問題。其防范方法是檢查用戶輸入的數(shù)字是否合法。,Union暴

4、庫是常見的注入方法,Union語法要求前后兩句SQL中Select的數(shù)據(jù)項(xiàng)類型和數(shù)量一致;,999是不可能符合的條件，這樣union的結(jié)果就只剩第二句sql查詢的內(nèi)容,SQL 注入演示(一),/login.asp,管理員,管理員,程序員考慮的場景: Username: admin Password: p$w0rd SELECT COUNT(*) FROM Users WHERE username=admin and password=p$w0rd,登錄成功！,程序員未預(yù)料到的結(jié)果 Username: admin OR 1=1 - Password: 1 SELECT COUNT(*) FROM

5、 Users WHERE username=admin OR 1=1 - and password=1,SQL 注入演示（二）,/login.jsp,攻擊者,登錄成功！,是SQL字符串變量的定界符,攻擊關(guān)鍵 通過定界符成功地將攻擊者的意圖注入到SQL語句中！ 通過注釋保證SQL語句正確！,-是MS SQL的注釋符,ORACLE： 用戶名字段中輸入： or 1=1 or 1=1或是在密碼字段中輸入：1 or 1=1,SQL注入防護(hù),無論什么腳本語言：asp、.net、php還是jsp 都必須對(duì)參數(shù)進(jìn)行過濾： 數(shù)字型必須int轉(zhuǎn)換； 字符型必須過濾或者轉(zhuǎn)義單引號(hào)；,SQL注入的檢測簡單流程,Sql

6、語句一樣，查詢方法也一樣,Asp中SQL注入的預(yù)防,對(duì)于用戶端輸入的任意字符，包括GET提交，POST提交，Cookie提交，SERVER提交的都需要做嚴(yán)格過濾。 對(duì)于數(shù)字型參數(shù)判斷是否為數(shù)字：可用函數(shù)isNumeric來判斷，返回值為true和false。 對(duì)于字符型參數(shù)過濾單引號(hào)，使其無法閉合當(dāng)前sql語句的單引號(hào)。,Php中SQL注入的預(yù)防(一),確認(rèn)GPC開啟，若沒開啟則用addslashes 函數(shù)過濾之，如下代碼。 if (!get_magic_quotes_gpc() $lastname = addslashes($_POSTlastname); else $lastname =

7、$_POSTlastname; 對(duì)于數(shù)字型參數(shù)可使用intval 或floatval 強(qiáng)制轉(zhuǎn)換為數(shù)字型。 注意mysql的版本以及默認(rèn)字符集，Mysql4.1 字符集連接字符串: mysql_query(SET character_set_connection=$dbcharset, character_set_results=$dbcharset, character_set_client=binary;);,Jsp中SQL注入預(yù)防,采用jdbc的prepareStatement查詢數(shù)據(jù)庫，并且sql語句中不出現(xiàn)參數(shù)，如： sqlStr = “select id from info wher

8、e city=? and open=? order by id desc”; stmt = conn.prepareStatement(sqlStr); stmt.setString(1,city); stmt.setString(2,var1);,A中SQL注入預(yù)防,使用A的參數(shù)化查詢。 strSQL = SELECT * FROM Orders WHERE CustomerID = CustomerID; SqlCommand cmd = new SqlCommand(strSQL, cn);/創(chuàng)建一個(gè)sqlcommand對(duì)象。 /創(chuàng)建新參數(shù)，參數(shù)綁定 cmd.Parameters.Add

9、WithValue(CustomerID, ALFKI);,跨站腳本漏洞(XSS),定義 它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。XSS屬于被動(dòng)式的攻擊，因?yàn)槠浔粍?dòng)且不好利用，所以許多人常忽略其危害性。 分類 持久型XSS（Persistent），與非持久型XSS相反，它是指通過提交惡意數(shù)據(jù)到服務(wù)器，通過Web應(yīng)用程序輸出惡意數(shù)據(jù)輸出到頁面，持久型XSS多出現(xiàn)在Web郵箱、BBS、社區(qū)等從數(shù)據(jù)庫讀出數(shù)據(jù)的正常頁面（比如BBS的某篇帖子中可能就含有惡意代碼） 非持久型XSS（Non-persi

10、stent），即反射型,它是指那些瀏覽器每次都要在參數(shù)中提交惡意數(shù)據(jù)才能觸發(fā)的跨站腳本漏洞。,XSS本質(zhì)是在于執(zhí)行腳本javascript/html等，攻擊者的js能力越強(qiáng)攻擊效果越驚人！,持久XSS-攻擊簡介（Persistent XSS）,1. 正常服務(wù)器信息,2. 服務(wù)器存儲(chǔ)惡意代碼,3. 用戶瀏覽網(wǎng)頁,4. 服務(wù)器將惡意代碼返回給用戶,5. 客戶端瀏覽器執(zhí)行惡意代碼,攻擊者,普通用戶客戶端,Web服務(wù)器,在論壇發(fā)帖子： 免費(fèi)獲取Q幣！ 惡意代碼,重要通知,Re:沙發(fā)！,Re:地板？,Re:地下室沙發(fā),Re:地下室地板-_-!,Re：免費(fèi)獲取Q幣！ 內(nèi)容： 惡意代碼,Re:誰又發(fā)垃圾廣告

11、啦？,惡意代碼 執(zhí)行！,持久XSS攻擊實(shí)驗(yàn)(一),Step 1.以test用戶登錄培訓(xùn)論壇發(fā)表新帖子，內(nèi)容如下： alert(hello),持久XSS攻擊實(shí)驗(yàn),Step 2.以admin用戶登錄培訓(xùn)論壇瀏覽剛才那個(gè)新帖子。,學(xué)員練習(xí) 3Min,惡意代碼 執(zhí)行！,瀏覽器,瀏覽器,Outlook,正常訪問,惡意代碼隱藏在鏈接中,“reflected” 代碼,1,反射XSS-攻擊簡介（Reflected XSS）,From: 攻擊者 To: 用戶 免費(fèi)贈(zèng)送Q幣！ CLICK HERE,惡意代碼 安全上下文: 目標(biāo)站點(diǎn),普通合法會(huì)話 安全上下文: 目標(biāo)站點(diǎn),攻擊者,Web服務(wù)器,普通用戶客戶端,惡意代

12、碼 執(zhí)行！,反射XSS攻擊實(shí)驗(yàn)(一),Step 1.以test用戶登錄培訓(xùn)論壇發(fā)表新帖子，在瀏覽器網(wǎng)址處修改Forum_Title參數(shù)，觀察結(jié)果：,學(xué)員練習(xí) 3Min,URL中的字符通過服務(wù)器 “反射”到瀏覽器中,反射XSS攻擊實(shí)驗(yàn)(二),Step 1. 把Forum_Title修改為：alert(hello),學(xué)員練習(xí) 3Min,URL中的字符通過服務(wù)器 “反射”到瀏覽器中,惡意代碼 執(zhí)行！,XSS包括兩種類型： 持久式XSS：惡意代碼持久保存在服務(wù)器上。即Persistent。 反射式XSS：惡意代碼不保留在服務(wù)器上，而是通過其他形式實(shí)時(shí)通過服務(wù)器反射給普通用戶。 XSS漏洞可利用的標(biāo)志就

13、是“Hello!”，一旦示意代碼可以在用戶的瀏覽器中執(zhí)行，其后可實(shí)現(xiàn)的攻擊行為與來源是持久還是反射無關(guān)?？梢岳肵SS發(fā)起CSRF攻擊或盜取用戶身份。,XSS:兩種類型總結(jié),驗(yàn)證不充分之上傳漏洞介紹,導(dǎo)致該漏洞的原因在于代碼作者沒有對(duì)訪客提交的數(shù)據(jù)進(jìn)行檢驗(yàn)或者過濾不嚴(yán)，可以直接提交修改過的數(shù)據(jù)繞過擴(kuò)展名的檢驗(yàn)。,允許上傳可執(zhí)行文件 使用客戶端JS驗(yàn)證上傳文件類型 使用黑名單限制上傳文件類型 文件名/存儲(chǔ)目錄名可自定義 文件名中特殊字符處理不當(dāng),驗(yàn)證不充分之上傳漏洞實(shí)例,Public Function GetFileExt(FullPath)提取文件后綴 If FullPath Then res

14、ponse.write FullPath GetFileExt = LCase(Mid(FullPath,InStrRev(FullPath, .)+1) Else GetFileExt = End If End function 上面這段代碼是獲取上傳文件后綴 upfile.NoAllowExt = “asp;exe;htm;asa;cer;php;jsp;html;aspx;cs;vb;js;”設(shè)置上傳類型的黑名單 這是設(shè)置了不能上傳的文件類型 注：InStrRev：返回某字符串在另一個(gè)字符串中最后出現(xiàn)的位置,驗(yàn)證不充分之文件包含漏洞定義,文件包含漏洞，如果允許客戶端用戶輸入控制動(dòng)態(tài)包含在

15、服務(wù)器端的文件，會(huì)導(dǎo)致惡意代碼的執(zhí)行及敏感信息泄露，主要包括本地文件包含和遠(yuǎn)程文件包含兩種形式,驗(yàn)證不充分之文件包含漏洞演示（一）,if ($_GETpage) include $_GETpage; else include home.php;,上面這段代碼的使用格式可能是這樣的： / ,結(jié)合上面代碼，簡單說下怎么運(yùn)作的：1.提交上面這個(gè)URL，在index.php中就取得這個(gè)page的值（$_GETpage）。2.判斷$_GETpage是不是空，若不空（這里是main.php）就用include來包含這個(gè)文件。3.若$_GETpage空的話就執(zhí)行else，來includehome.php這個(gè)文件。,驗(yàn)證不充分之文件包含漏洞演示（二）,if ($_GETpage) include $_GETpage; else include home.php;,如果目標(biāo)主機(jī)的“allow_url_fopen”是激活的（默認(rèn)是激活的，沒幾個(gè)人會(huì)修改），我們就可以有更大的利用空間，我們可以指定其它URL上的一個(gè)包含PHP代碼的webshell來直接運(yùn)行 。 利用方式：