BS架构体系安全渗透测试基础课件.pptx

《BS架构体系安全渗透测试基础课件.pptx》由会员分享，可在线阅读，更多相关《BS架构体系安全渗透测试基础课件.pptx（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、B/S架构体系安全渗透测试基础质量保证部朱晟索迪教育索迪教育 ITIT成就人生成就人生内容概要前言当今世界，Internet（因特网）已经成为一个非常重要的基础平台，很多企业都将应用架设在该平台上，为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上，都在不断的完善和提高，然而在非常重要的安全性上，却没有得到足够的重视。由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据最新调查，信息安全攻击有75%都是发生在Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱，易受攻击。就公司以前WEB项目外部应用的现状：90%的网

2、站都受到过类似SQL注入等黑客的攻击。索迪教育索迪教育 ITIT成就人生成就人生管理部分内容索引B/S架构常见安全问题索迪教育索迪教育 ITIT成就人生成就人生B/S架构常见安全问题当讨论起Web应用安全，我们经常会听到这样的回答：“我们使用了防火墙”、“我们使用了网络脆弱扫描工具”、“我们使用了SSL技术”所以，“我们的应用是安全的”。现实真是如此吗？让我们一起来看一下Web应用安全的全景图。索迪教育索迪教育 ITIT成就人生成就人生为何要进行安全测试但是，即便有防病毒保护、防火墙和SSL，企业仍然不得不允许一部分的通讯经过防火墙，毕竟Web应用的目的是为用户提供服务，保护措施可以关闭不必要

3、暴露的端口，但是Web应用必须的80和443端口，是一定要开放的。可以顺利通过的这部分通讯，可能是善意的，也可能是恶意的，很难辨别。这里需要注意的是，Web应用是由软件构成的，那么，它一定会包含缺陷（bugs），这些bug就可以被恶意的用户利用，他们通过执行各种恶意的操作，或者偷窃、或者操控、或者破坏Web应用中的重要信息。只要访问可以顺利通过企业的防火墙，Web应用就毫无保留的呈现在用户面前。只有加强Web应用自身的安全，才是真正的Web应用安全解决之道。索迪教育索迪教育 ITIT成就人生成就人生风险性较高的攻击方法“跨站点脚本攻击”和“注入缺陷攻击”，是目前Web应用中比例最高的两种攻击手

4、段，还有如下八种风险性较高的攻击方法：Malicious（恶意文件执行）；InsecureDirectObjectReference（不安全的直接对象引用）；Cross-SiteRequestForgery（跨站点的请求伪造）；InformationLeakageandImproperErrorHandling（信息泄漏和不正确的错误处理）；BrokenAuthentication&SessionManagement（损坏的认证和Session管理）；InsecureCryptographicStorage（不安全的密码存储）；InsecureCommunications（不安全的通信）；Fa

5、iluretoRestrictURLAccess（未能限制URL访问）在这里，我简单介绍下这些缺陷索迪教育索迪教育 ITIT成就人生成就人生常见的Web应用攻击示例1、跨站点脚本攻击（cross-sitescrpting，简称XSS），首先来看一下跨站点脚本的利用过程，如图。索迪教育索迪教育 ITIT成就人生成就人生在上图中，恶意攻击者（这里使用Evil.org表示）通过E-mail或HTTP将某银行的网址链接发给用户（银行用表示），该链接中附加了恶意的脚本（上图步骤一）；用户访问发来的链接，进入银行网站，同时，嵌在链接中的脚本被用户的浏览器执行（上图步骤二、三）；用户在银行网站的所有操作，包

6、括用户的cookie和session信息，都被脚本收集到，并且在用户毫不知情的情况下发送给恶意攻击者（上图步骤四）；恶意攻击者使用偷来的session信息，伪装成该用户，进入银行网站，进行非法活动（上图步骤五）。因此，只要Web应用中，有可被恶意攻击者利用执行脚本的地方，都存在极大的安全隐患。黑客们如果可以让用户执行他们提供的脚本，就可以从用户正在浏览的域中偷到他的个人信息、可以完全修改用户看到的页面内容、跟踪用户在浏览器中的每一个动作，甚至利用用户浏览器的缺陷完全控制用户的机器。目前，跨站点脚本攻击是最大的安全风险。索迪教育索迪教育 ITIT成就人生成就人生检查您的站点是否处于XSS攻击保护

7、的方法检查站点的确安全也可以通过手工完成（硬方法），或利用自动的Web应用程序安全漏洞评估工具(如appscan)，它减轻了检查的负担。该工具爬遍站点，然后根据尝试参数、头，和路径找到的所有脚本，运行其知道的所有变化。在这两种方法中，用尽可能多的方式检查对应用程序的每个输入（所有脚本的参数、HTTP头、路径）。如果响应页面包含浏览器可以执行的Javascrpt代码，那么XSS安全漏洞就已显露出来。举例来说，首先,找到带有参数传递的URL,如登录页面,搜索页面,提交评论,发表留言页面等等。其次,在页面参数中输入如下语句(如:Javascrpt,VBscrpt,HTML,Flash)来进行测试：a

8、lert(document.cookie)最后,当用户浏览时便会弹出一个警告框，内容显示的是浏览者当前的cookie串,这就说明该网站存在XSS漏洞。试想如果我们注入的不是以上这个简单的测试代码，而是一段经常精心设计的恶意脚本，当用户浏览此帖时，cookie信息就可能成功的被攻击者获取。此时浏览者的帐号就很容易被攻击者掌控了。索迪教育索迪教育 ITIT成就人生成就人生XSS攻击示例大名鼎鼎的淘宝网也存在这样的漏洞，我们在搜索框中输入：/=!-*/()|”,和”空格”).2.屏蔽出错信息：阻止攻击者知道攻击的结果3.在服务端正式处理之前提交数据的合法性(合法性检查主要包括三项:数据类型,数据长度

9、,敏感字符的校验)进行检查等。最根本的解决手段,在确认客户端的输入合法之前,服务端拒绝进行关键性的处理操作.从测试人员的角度来讲,在程序开发前(即需求阶段),我们就应该有意识的将安全性检查应用到需求评审中,例如对一个表单需求进行检查时,我们一般检验以下几项安全性问题:1.需求中应说明表单中某一FIELD的类型,长度,以及取值范围(主要作用就是禁止输入敏感字符)2.需求中应说明如果超出表单规定的类型,长度,以及取值范围的,应用程序应给出不包含任何代码或数据库信息的错误提示.当然在执行测试的过程中,我们也需求对上述两项内容进行测试.索迪教育索迪教育 ITIT成就人生成就人生信息泄漏和不正确的错误处

10、理此漏洞利用的重点在于应用程序未能正确处理自身发生的错误此漏洞利用的重点在于应用程序未能正确处理自身发生的错误，技术重点在于某些应，技术重点在于某些应用程序出错时，会把错误信息反馈到用户端，这些错误信息通常可用于调试的目的用程序出错时，会把错误信息反馈到用户端，这些错误信息通常可用于调试的目的，从错误反馈信息中获取有用的信息，从而加以利用，突破网站安全。从错误反馈信息中获取有用的信息，从而加以利用，突破网站安全。当Web应用程序发生错误时，如果处理不得当，可能会把相关的错误信息反馈至客户浏览器。这种情况更多见于PHP+MySQL的Web应用，一些程序人员没有正确的做异常处理，当发生错误里，系统

11、向浏览器端返回了本来是用于调试目的的相关信息。这些信息往往可能含有重要的安全信息。例如：某个网站的MySQL停止了运行，而这时用户访问此网站时，发现网页提示如下信息：MySQLError:LostconnectiontoMySQLserverduringquery从这个回馈来看，用户请求的页所使用的数据库是MySQL!这无疑暴露是安全人员所不希望看到的。高明的入侵者，会尽可能的使其在页面浏览或提交时，使用不正当的数据或方法，以此期望页面产生错误回馈，从而利用这些信息完成入侵。从服务器角度，关闭调试信息回馈功能，并且善用异常处理功能，可以尽可能避免此类安全漏洞。索迪教育索迪教育 ITIT成就人生

12、成就人生不安全的直接对象引用不安全的直接对象引用漏洞利用的重点是不安全的直接对象引用漏洞利用的重点是web开发中，应用代码访问文件时没受到权开发中，应用代码访问文件时没受到权限控制，技术重点在于利用有漏洞的限控制，技术重点在于利用有漏洞的web程序读取文件系统资料。程序读取文件系统资料。本文主要介绍不安全的直接对象引用漏洞的过程而不是技术细节。本文主要介绍不安全的直接对象引用漏洞的过程而不是技术细节。以以PHP为例，看为例，看以下这个场景：以下这个场景：$filea=$_GET;echo“下载此链接;如果恶意用户对之加以利用，就可能可以使用如下方式下载用户主机上其他的文件解决此问题的方法是必须

13、控制web应用程序对文件的访问。索迪教育索迪教育 ITIT成就人生成就人生跨站请求伪造跨站请求伪造漏洞利用的重点攻击者了解受害者所在的站点，在于攻击者需要精心构跨站请求伪造漏洞利用的重点攻击者了解受害者所在的站点，在于攻击者需要精心构造可以完成目标装点数据修改的造可以完成目标装点数据修改的URL，攻击者的目标站点具有持久化授权，攻击者的目标站点具有持久化授权cookie或者或者受害者具有当前会话受害者具有当前会话cookie，并且目标站点没有对用户在网站行为的第二授权。，并且目标站点没有对用户在网站行为的第二授权。我们假定三个角色：攻击者、用户、网上银行、一个论坛。攻击的流程主要分以下几个步骤

14、：1、用户连入网上银行操作，该网上银行使用持久化授权cookie，只要用户不清除cookies，任何时候连入网上银行时，该银行网站都认为该用户是有效的；2、攻击者在论坛上发表图片，内嵌有GET或POST方法的URL并指向该网上银行，如果该URL由一个银行的合法用户发出，则该URL会使用户帐户被修改；3、用户浏览此论坛并点击该图片，攻击者预设的URL被由用户发往银行站点，因该用户未清除cookie，该请求有效，用户帐户在用户并不知情的前提下被成功修改。我们注意到，这个过程很象跨站脚本攻击，但实际上，是完全不同的。跨站脚本攻击需要在客户端写入恶意代码，以搜集cookie等信息，而跨站请求伪造则根本

15、不需要向用户端写入任何东西，直接利用银行授权的持久认证和用户未清理的cookie。索迪教育索迪教育 ITIT成就人生成就人生这里的问题在于，论坛用户不能上传js脚本，于是直接利用URL来诱骗用户，以致于完成数据操作。由此可见，该攻击的重点在于要知道目标站点和目标用户，并且该受害站点没有使用更多的授权认证。对于web站点，将持久化的授权方法（例如cookie）切换为瞬时的授权方法（在每个form中提供隐藏field），这将帮助网站防止这些攻击。一种类似的方式是在form中包含秘密信息、用户指定的代号作为cookie之外的验证。索迪教育索迪教育 ITIT成就人生成就人生未能限制URL访问由于各页面

16、以及由于各页面以及web访问规则控制不严格，导致不具有权限的用户可以直接访问相关访问规则控制不严格，导致不具有权限的用户可以直接访问相关的的URL资源。资源。这种漏洞比较浅，常见的问题多见于程序在访问控制方面控制不够严格。比较突出的问题是：开发人员在开发过程中假设用户是友善而可信的。由于使用计算机的人也许并不是真正的用户，因此，权限控制也在很大范围上带来了问题。此问题比较浅显，应该通过严格的设计和测试予以避免：没有登录或注销登录后，直接输入登录后才能查看到的页面网址（含跳转页面），能直接打开页面；注销后，点击浏览器上的后退，可以进行操作；正常登录后，输入没有权限查看的页面网址，可以打开页面；索

17、迪教育索迪教育 ITIT成就人生成就人生不安全的密码存储对于对于Web应用程序来说，妥善的保存密码，用户名，以及其它与身份验证有关的信息应用程序来说，妥善的保存密码，用户名，以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密是非常有效的方式，但是一些企业会采用那是非常重要的工作。对这些信息进行加密是非常有效的方式，但是一些企业会采用那些未经实践验证的加密解决方案，其中就可能存在漏洞。些未经实践验证的加密解决方案，其中就可能存在漏洞。关于此类信息的不安全因素有以下几点：1、传输未加密的敏感数据2、使用了自造的加密算法3、持续使用过时的加密算法4、坚固的密钥,却存放在没有任何保护的存

18、储中针对这些，以下是一些安全建议：1、使用一个足够强壮的密码2、经常过滤日志文件中和“密码”或“password”有关的字眼3.清除mysql可能包含password的地方4.永远不要以明文存储密码。索迪教育索迪教育 ITIT成就人生成就人生损坏的认证和session管理失效的账户及线程管理涉及到很多内容。实际上，它包含了与用户验证有关的全部内失效的账户及线程管理涉及到很多内容。实际上，它包含了与用户验证有关的全部内容以及与活动线程管理有关的全部内容。严重的时候，账户和线程管理的漏洞会导致容以及与活动线程管理有关的全部内容。严重的时候，账户和线程管理的漏洞会导致用户和管理员出现接入问题。而且线

19、程劫持攻击也会更频繁的出现，导致系统中的敏用户和管理员出现接入问题。而且线程劫持攻击也会更频繁的出现，导致系统中的敏感数据丢失。感数据丢失。此类问题一般都伴随着认证功能出现，比如退出登录，密码管理，超时，密码记忆，保密问题，账户升级等。以下是提供的针对账户和线程管理漏洞的建议：不要在一个未加密的页面中开始登录过程。在验证成功后应该更新线程号，或者修改线程的特权等级。确保每个页面都有退出登录链接。采用超时机制强行退出一些长时间没有操作的线程。超时长度根据所设计的敏感内容而定。密码恢复或重置应该采用强健的确认问题。诸如父母的姓名这类问题非常容易获取不要将线程ID或者身份凭证部分或全部加入URL或者

20、日志中。一般来说，身份验证和线程安全对于Web应用的安全来说至关重要。一个Web应用程序就算再强壮，如果在线程管理和密码管理方面存在漏洞，那么就很容易成为黑客攻击的牺牲品。1、有时候读书是一种巧妙地避开思考的方法。4月-234月-23Tuesday,April 25,20232、阅读一切好书如同和过去最杰出的人谈话。12:19:3312:19:3312:194/25/2023 12:19:33 PM3、越是没有本领的就越加自命不凡。4月-2312:19:3312:19Apr-2325-Apr-234、越是无能的人，越喜欢挑剔别人的错儿。12:19:3312:19:3312:19Tuesday,

21、April 25,20235、知人者智，自知者明。胜人者有力，自胜者强。4月-234月-2312:19:3312:19:33April 25,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。25四月202312:19:33下午12:19:334月-237、最具挑战性的挑战莫过于提升自我。四月2312:19下午4月-2312:19April 25,20238、业余生活要有意义，不要越轨。2023/4/2512:19:3312:19:3325 April 20239、一个人即使已登上顶峰，也仍要自强不息。12:19:33下午12:19下午12:19:334月-2310、你要做多大的事情

22、，就该承受多大的压力。4/25/2023 12:19:33 PM12:19:3325-4月-2311、自己要先看得起自己，别人才会看得起你。4/25/2023 12:19 PM4/25/2023 12:19 PM4月-234月-2312、这一秒不放弃，下一秒就会有希望。25-Apr-2325 April 20234月-2313、无论才能知识多么卓著，如果缺乏热情，则无异纸上画饼充饥，无补于事。Tuesday,April 25,202325-Apr-234月-2314、我只是自己不放过自己而已，现在我不会再逼自己眷恋了。4月-2312:19:3325 April 202312:19谢谢大家谢谢大家