WEB2.0下的渗透测试.ppt

《WEB2.0下的渗透测试.ppt》由会员分享，可在线阅读，更多相关《WEB2.0下的渗透测试.ppt（45页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、WEB2.0下的渗透测试WEB1.0下的渗透测试通过web服务器漏洞直接溢出得到 p 80通过web应用程序传统漏洞得到webshell传统漏洞是指作用于web服务端语言的漏洞如上传、sql注射、包含等。 p 80主要特点属于服务端攻击，攻击效果“直截了当”，还是目前主流的渗透测试方式，但是寻找漏洞成本越来越高，安全产品的应用使利用越来越困难！关于WEB2.0Web2.0一种相对概念,提倡的是高亲和力的交互应用，主体是用户之间用户与网站之间的互动。Web2.0的核心注重的不仅是技术，而更注重的设计思想。AJAX技术的诞生标着web进入2.0时代，也是其核心技术web2.0更注重互动的设计思想如

2、博客、wiki、sns网络等诞生Web2.0下的渗透继承了web2.0的特点：思想更重要！WEB2.0下的渗透测试攻击的目标主要的攻击方式：XSS、CSRF、第三方内容劫持、Clickjacking等。攻击方式的趋势走向攻击成功后的效果现有的认识几个渗透小故事攻击的目标与WEB1.0相比，WEB2.0渗透是针对客户端的攻击。包括网站用户，网站的管理员，网站的运维、安全人员，还包括和你一样的“渗透者”。主要的攻击方式-XSSXSS在web1.0诞生，在web2.0时代出名。1996年就有人提到了这类攻击。JeremiahGrossman说的1999年DavidRoss和GeorgiGuninsk

3、i提出“Scriptinjection”。2000年apache官方一篇文档里正式取名“CrossSiteScripting”。2005年samyworm诞生，标志着XSS进入web2.0时代，xss火了！2007年出版的XSSAttacksBook提出：“XSSistheNewBufferOverflow,JavaScriptMalwareisthenewshellcode”XSS的利用：web1.0时代：弹筐alert()+收集cookiedocument.cookieweb2.0时代：xssworm这也是目前xss的主流利用！我们思想还处于90年代！这也是广大脚本小子被bs的原因之一！X

4、SS=/=弹筐+收集cookie+wormxss本质是在于执行脚本javascript/html等，而一个javascript就足够让你黑遍这个世界！主要的攻击方式-CSRFCSRF-CrossSiteRequestForgery诞生于2000年，火于2007/2008年。得益于XSS的光芒，及几大web2.0的应用如gmail的CSRF漏洞。直译为：“跨站请求伪造”。“跨”是它的核心。*跨httpsite*攻防技术已经趋于成熟如BypassPreventingCSRF2008年对于csrf的防御*CSRFworm我在2008.01年blog提到过这个概念,2008.0980sec实现百度Hi

5、Csrf蠕虫攻击*跨协议通信Inter-ProtocolCommunicationbyWadeAlcorn2006年，让通过客户端攻击用户本地电脑其他服务变为可能。如下代码在webkit下实现了http与irc的通信：gibson=document.createElement(form);gibson.setAttribute(name,B);gibson.setAttribute(target,A);gibson.setAttribute(method,post);gibson.setAttribute(action,http:/127.0.0.1:6677);gibson.setAttri

6、bute(enctype,multipart/from-data);crashoverride=document.createElement(textarea);crashoverride.setAttribute(name,C);postdata=USERABCDnNickxxxxn;crashoverride.setAttribute(value,postdata);crashoverride.innerText=postdata;crashoverride.innerHTML=postdata;gibson.appendChild(crashoverride);document.body

7、.appendChild(gibson);gibson.submit();主要的攻击方式-CSRF从其他应用程序发起的跨站请求如wordwinrar等文件。主要的攻击方式-第三方内容劫持TheDangersofThirdPartyContent-bySanJoseOWASP-WASCAppSec20072009年开始天朝红火了一把:Dz事件（在后面讲具体提到）广告业务、网页游戏、统计服务导致第三方内容应用广泛。web应用程序里的第三方内容，比如bbs官方升级提示功能等其他应用程序里的第三方内容，如浏览器插件里的引入的jshtml等。包括JavaScript,HTML,Flash,CSS,etc

8、.主要的攻击方式-第三方内容劫持又一个个“引狼入室”的悲剧故事。劫持第三方内容的方法：*域名劫持如百度事件：直接攻击域名注册商*会话劫持：如arp会话劫持（zxarps.exe）、交换机会话劫持（SSClone）*直接攻取第三方内容服务器权限。“恩，很黄很暴力！”目前基本没有安全防御意识。“你的安全被别人做了主了!”主要的攻击方式-ClickjackingClickjacking-点击劫持*byJeremiahGrossmanandRobertHansenin2008，立刻红火！*WEB2.0安全进入“美工黑客”时代！*安全防御者的恶梦，一个新的httpheader诞生：X-Frame-Opt

9、ions衍生出的其他UI劫持如：Tapjacking“触摸劫持”攻击方式的趋势走向攻击方式越来越“猥琐”，没有最“猥琐”只有更“猥琐”。新的攻击方式从诞生到红火时间越来越短。攻击成功后的效果从上面的攻击方式来看，它们有一个共同的目标：“劫持你的浏览器”。“哪里有浏览器哪里就有攻击！”“劫持你的浏览器”的效果就是你的“身份被劫持”所以攻击目标的“身份”决定了“渗透思想”攻击成功后的效果劫取你的隐私网站的普通用户如常见的取得你ID、密码、cookie、联系等劫取你的权限网站管理人员如网站的后台，进一步通过后台得到网站的权限等劫取你的系统所有用户如利用浏览器的漏洞，或者通过跨协议利用你系统上其他服务

10、的漏洞得到你的系统权限，或者取得本地系统上文件的读写能力等劫取你的“内网”公司成员，这个又因在内网的身份不同而不同，如分开发测试员、运维人员、内部网络管理人员、安全测试人员等等。如通过攻击程序员的开发环境，直接取得内网系统的权限目前对于WEB2.0渗透测试的认识Web2.0渗透=xss=弹筐+收集cookie+wormWeb2.0渗透=Mailxssoffice等软件0day钓鱼Web2.0渗透=Xssshell、Beef、Anehta这些xss攻击平台工具。看了下面的几个故事，或许有所改变几个渗透小故事【黑遍全世界】-谈谈“Dz事件”【螳螂捕蝉】-谈谈“渗透者自身的安全”【本地web开发测试

11、环境的安全隐患】【来自“漏洞库”的漏洞】【是谁想动了我的奶酪?】【黑遍全世界】之“Dz事件”名词解释：“Dz事件”是指2009年1月8日一大批的Discuz!论坛的首页被篡改为“Hackedbyring04h,justforfun!”的事件。官方通告：“本次安全问题系由域名劫持造成，Discuz!各版本软件代码在安全上并无问题”事件的根本原因是“第三方内容劫持”，这里“第三方内容”具体是指“后台升级提示系统”引入位于http:/上的javascript代码Discuz!_5.5.0_SC_GBKuploadadminglobal.func.php：echo;从官方通告来看ring04h正是通过

12、攻击http:/这个域名来达到劫持这个js的目的！被劫持后的http:/ No.1【来自“漏洞库”的漏洞】该故事发生在今年的5月由80vul发起的SOBB项目,在部分的漏洞公告里，我们预留了一个攻击接口，目的是为了探测各大网络媒体转贴触发的xss漏洞。不过一不小心直接跨进了某著名网络安全公司的内网的“漏洞库”:后续的攻击？【是谁想动了我的奶酪?】80vul建立以来，有没有人想黑我们呢？于是我们布置了一个简单的“网”：Content-Type:text/htmlServer:Microsoft-IIS/7.0X-Powered-By:PHP/5.2.12,Date:Sun,28Nov201011

13、:21:26GMTContent-Length:5993【是谁想动了我的奶酪?】用标签加载img.php后，用onload事件加载javascript文件anti.php这样设计的目的：只有img.php和anti.php两个文件都加载时，才说明有“鱼”进网。防止别人单一提交的尝试。新时代的防御加强培训一个永恒的主题,SDL的前提和精髓本次探讨的主题是“攻击方式”，而不是“漏洞类型”，也就是说“攻击方式”面向的不仅仅是程序开发员！新时代的防御保护好你本地和内网开发测试环境及相关的web应用服务。1.与公司内部网络隔离。2.在开发测试的同时，不允许连接外网。3.加强本地测试环境的安全设置，对开源的应用程序运行前进行大概的审查：如查找“http”对于开发应该加强对第三方内容的审查和控制，特别是可以执行js的调用。必要时可以进行监控，如监控phpwind升级提示的js如有改变，则通知审查。客户端的防御才是王道。攻击越来越猥琐，防不胜防！同志还需努力!谢谢大家！有问题您呼我