一��、SQL注入漏洞
SQL注入攻擊(SQL Injection)��,簡稱注入攻擊�����、SQL注入,被廣泛用于非法獲取網(wǎng)站控制權(quán)���,是發(fā)生在應(yīng)用程序的數(shù)據(jù)庫層上的安全漏洞����。在設(shè)計程序,忽略了對輸入字符串中夾帶的SQL指令的檢查�����,被數(shù)據(jù)庫誤認為是正常的SQL指令而運行���,從而使數(shù)據(jù)庫受到攻擊����,可能導(dǎo)致數(shù)據(jù)被竊取�����、更改����、刪除,以及進一步導(dǎo)致網(wǎng)站被嵌入惡意代碼�����、被植入后門程序等危害。
通常情況下���,SQL注入的位置包括:
(1)表單提交���,主要是POST請求,也包括GET請求�;
(2)URL參數(shù)提交,主要為GET請求參數(shù)����;
(3)Cookie參數(shù)提交;
(4)HTTP請求頭部的一些可修改的值�����,比如Referer��、User_Agent等����;
(5)一些邊緣的輸入點���,比如.mp3文件的一些文件信息等����。
SQL注入的危害不僅體現(xiàn)在數(shù)據(jù)庫層面上,還有可能危及承載數(shù)據(jù)庫的操作系統(tǒng)����;如果SQL注入被用來掛馬,還可能用來傳播惡意軟件等��,這些危害包括但不局限于:
(1)數(shù)據(jù)庫信息泄漏:數(shù)據(jù)庫中存放的用戶的隱私信息的泄露�����。作為數(shù)據(jù)的存儲中心���,數(shù)據(jù)庫里往往保存著各類的隱私信息��,SQL注入攻擊能導(dǎo)致這些隱私信息透明于攻擊者����。
(2)網(wǎng)頁篡改:通過操作數(shù)據(jù)庫對特定網(wǎng)頁進行篡改��。
(3)網(wǎng)站被掛馬�����,傳播惡意軟件:修改數(shù)據(jù)庫一些字段的值,嵌入網(wǎng)馬鏈接����,進行掛馬攻擊。
(4)數(shù)據(jù)庫被惡意操作:數(shù)據(jù)庫服務(wù)器被攻擊��,數(shù)據(jù)庫的系統(tǒng)管理員帳戶被篡改���。
(5)服務(wù)器被遠程控制��,被安裝后門���。經(jīng)由數(shù)據(jù)庫服務(wù)器提供的操作系統(tǒng)支持,讓黑客得以修改或控制操作系統(tǒng)����。
(6)破壞硬盤數(shù)據(jù),癱瘓全系統(tǒng)����。
解決SQL注入問題的關(guān)鍵是對所有可能來自用戶輸入的數(shù)據(jù)進行嚴格的檢查、對數(shù)據(jù)庫配置使用最小權(quán)限原則����。通常使用的方案有:
(1)所有的查詢語句都使用數(shù)據(jù)庫提供的參數(shù)化查詢接口,參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中���。當前幾乎所有的數(shù)據(jù)庫系統(tǒng)都提供了參數(shù)化SQL語句執(zhí)行接口�����,使用此接口可以非常有效的防止SQL注入攻擊����。
(2)對進入數(shù)據(jù)庫的特殊字符(’”\<>&*;等)進行轉(zhuǎn)義處理�,或編碼轉(zhuǎn)換。
(3)確認每種數(shù)據(jù)的類型����,比如數(shù)字型的數(shù)據(jù)就必須是數(shù)字,數(shù)據(jù)庫中的存儲字段必須對應(yīng)為int型�����。
(4)數(shù)據(jù)長度應(yīng)該嚴格規(guī)定�,能在一定程度上防止比較長的SQL注入語句無法正確執(zhí)行。
(5)網(wǎng)站每個數(shù)據(jù)層的編碼統(tǒng)一���,建議全部使用UTF-8編碼�����,上下層編碼不一致有可能導(dǎo)致一些過濾模型被繞過��。
(6)嚴格限制網(wǎng)站用戶的數(shù)據(jù)庫的操作權(quán)限����,給此用戶提供僅僅能夠滿足其工作的權(quán)限,從而最大限度的減少注入攻擊對數(shù)據(jù)庫的危害�。
(7)避免網(wǎng)站顯示SQL錯誤信息,比如類型錯誤��、字段不匹配等����,防止攻擊者利用這些錯誤信息進行一些判斷。
(8)在網(wǎng)站發(fā)布之前建議使用一些專業(yè)的SQL注入檢測工具進行檢測�����,及時修補這些SQL注入漏洞��。
Sql注入時常用的神器sqlmap使用:
二��、跨站腳本漏洞
跨站腳本攻擊(Cross-site scripting,通常簡稱為XSS)發(fā)生在客戶端��,可被用于進行竊取隱私�、釣魚欺騙���、竊取密碼���、傳播惡意代碼等攻擊。
XSS攻擊使用到的技術(shù)主要為HTML和Javascript���,也包括VBScript和ActionScript等�����。XSS攻擊對WEB服務(wù)器雖無直接危害���,但是它借助網(wǎng)站進行傳播,使網(wǎng)站的使用用戶受到攻擊�����,導(dǎo)致網(wǎng)站用戶帳號被竊取����,從而對網(wǎng)站也產(chǎn)生了較嚴重的危害���。
XSS類型包括:
(1)非持久型跨站:即反射型跨站腳本漏洞,是目前最普遍的跨站類型��??缯敬a一般存在于鏈接中,請求這樣的鏈接時�����,跨站代碼經(jīng)過服務(wù)端反射回來�����,這類跨站的代碼不存儲到服務(wù)端(比如數(shù)據(jù)庫中)��。上面章節(jié)所舉的例子就是這類情況����。
(2)持久型跨站:這是危害最直接的跨站類型,跨站代碼存儲于服務(wù)端(比如數(shù)據(jù)庫中)�。常見情況是某用戶在論壇發(fā)貼,如果論壇沒有過濾用戶輸入的Javascript代碼數(shù)據(jù)����,就會導(dǎo)致其他瀏覽此貼的用戶的瀏覽器會執(zhí)行發(fā)貼人所嵌入的Javascript代碼�����。
(3)DOM跨站(DOM XSS):是一種發(fā)生在客戶端DOM(Document Object Model文檔對象模型)中的跨站漏洞�����,很大原因是因為客戶端腳本處理邏輯導(dǎo)致的安全問題。
XSS的危害包括:
(1)釣魚欺騙:最典型的就是利用目標網(wǎng)站的反射型跨站腳本漏洞將目標網(wǎng)站重定向到釣魚網(wǎng)站����,或者注入釣魚JavaScript以監(jiān)控目標網(wǎng)站的表單輸入,甚至發(fā)起基于DHTML更高級的釣魚攻擊方式�����。
(2)網(wǎng)站掛馬:跨站時利用IFrame嵌入隱藏的惡意網(wǎng)站或者將被攻擊者定向到惡意網(wǎng)站上�,或者彈出惡意網(wǎng)站窗口等方式都可以進行掛馬攻擊。
(3)身份盜用:Cookie是用戶對于特定網(wǎng)站的身份驗證標志�,XSS可以盜取到用戶的Cookie,從而利用該Cookie盜取用戶對該網(wǎng)站的操作權(quán)限����。如果一個網(wǎng)站管理員用戶Cookie被竊取�����,將會對網(wǎng)站引發(fā)巨大的危害����。
(4)盜取網(wǎng)站用戶信息:當能夠竊取到用戶Cookie從而獲取到用戶身份使�����,攻擊者可以獲取到用戶對網(wǎng)站的操作權(quán)限����,從而查看用戶隱私信息。
(5)垃圾信息發(fā)送:比如在SNS社區(qū)中����,利用XSS漏洞借用被攻擊者的身份發(fā)送大量的垃圾信息給特定的目標群。
(6)劫持用戶Web行為:一些高級的XSS攻擊甚至可以劫持用戶的Web行為����,監(jiān)視用戶的瀏覽歷史,發(fā)送與接收的數(shù)據(jù)等等�。
(7)XSS蠕蟲:XSS 蠕蟲可以用來打廣告、刷流量�����、掛馬、惡作劇���、破壞網(wǎng)上數(shù)據(jù)�、實施DDoS攻擊等��。
常用的防止XSS技術(shù)包括:
(1)與SQL注入防護的建議一樣���,假定所有輸入都是可疑的,必須對所有輸入中的script����、iframe等字樣進行嚴格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入接口�����,也包括HTTP請求中的Cookie中的變量�,HTTP請求頭部中的變量等。
(2)不僅要驗證數(shù)據(jù)的類型����,還要驗證其格式���、長度、范圍和內(nèi)容�����。
(3)不要僅僅在客戶端做數(shù)據(jù)的驗證與過濾���,關(guān)鍵的過濾步驟在服務(wù)端進行�。
(4)對輸出的數(shù)據(jù)也要檢查����,數(shù)據(jù)庫里的值有可能會在一個大網(wǎng)站的多處都有輸出,即使在輸入做了編碼等操作����,在各處的輸出點時也要進行安全檢查。
(5)在發(fā)布應(yīng)用程序之前測試所有已知的威脅�����。
反射型xss彈窗效果
在方框中輸入如上代碼�����,提交后即顯示下圖
三、弱口令漏洞
弱口令(weak password) 沒有嚴格和準確的定義��,通常認為容易被別人(他們有可能對你很了解)猜測到或被破解工具破解的口令均為弱口令�。設(shè)置密碼通常遵循以下原則:
(1)不使用空口令或系統(tǒng)缺省的口令,這些口令眾所周之����,為典型的弱口令。
(2)口令長度不小于8個字符��。
(3)口令不應(yīng)該為連續(xù)的某個字符(例如:AAAAAAAA)或重復(fù)某些字符的組合(例如:tzf.tzf.)��。
(4)口令應(yīng)該為以下四類字符的組合����,大寫字母(A-Z)�、小寫字母(a-z)、數(shù)字(0-9)和特殊字符����。每類字符至少包含一個。如果某類字符只包含一個��,那么該字符不應(yīng)為首字符或尾字符。
(5)口令中不應(yīng)包含本人�����、父母�����、子女和配偶的姓名和出生日期��、紀念日期���、登錄名�、E-mail地址等等與本人有關(guān)的信息���,以及字典中的單詞�����。
(6)口令不應(yīng)該為用數(shù)字或符號代替某些字母的單詞�����。
(7)口令應(yīng)該易記且可以快速輸入����,防止他人從你身后很容易看到你的輸入。
(8)至少90天內(nèi)更換一次口令��,防止未被發(fā)現(xiàn)的入侵者繼續(xù)使用該口令�。
弱口令漏洞利用方式對于web,通常使用字典+burp的intruder功能
字典
Burpsuite的intruder模塊
四��、HTTP報頭追蹤漏洞
HTTP/1.1(RFC2616)規(guī)范定義了HTTP TRACE方法����,主要是用于客戶端通過向Web服務(wù)器提交TRACE請求來進行測試或獲得診斷信息。當Web服務(wù)器啟用TRACE時����,提交的請求頭會在服務(wù)器響應(yīng)的內(nèi)容(Body)中完整的返回,其中HTTP頭很可能包括Session Token���、Cookies或其它認證信息�。攻擊者可以利用此漏洞來欺騙合法用戶并得到他們的私人信息�。該漏洞往往與其它方式配合來進行有效攻擊��,由于HTTP TRACE請求可以通過客戶瀏覽器腳本發(fā)起(如XMLHttpRequest)�,并可以通過DOM接口來訪問,因此很容易被攻擊者利用。
防御HTTP報頭追蹤漏洞的方法:
通常禁用HTTP TRACE方法���。
一般使用會使用wireshark或者burpsuite抓包來查看報頭信息
Burpsuite
wireshark
五�、Struts2遠程命令執(zhí)行漏洞
ApacheStruts是一款建立Java web應(yīng)用程序的開放源代碼架構(gòu)����。Apache Struts存在一個輸入過濾錯誤,如果遇到轉(zhuǎn)換錯誤可被利用注入和執(zhí)行任意Java代碼��。
網(wǎng)站存在遠程代碼執(zhí)行漏洞的大部分原因是由于網(wǎng)站采用了Apache Struts Xwork作為網(wǎng)站應(yīng)用框架��,由于該軟件存在遠程代碼執(zhí)高危漏洞�,導(dǎo)致網(wǎng)站面臨安全風險。CVE����、CNVD等處置過多次相關(guān)漏洞,如CVE-2016-3081�,CNVD-2012-13934,CNVD-2012-11590等�����。
防御方法:
此漏洞的產(chǎn)生主要根源在于網(wǎng)站管理員的安全意識薄弱�,沒有及時隨著apache官方補丁的發(fā)布�����、產(chǎn)品的更新而及時升級���,導(dǎo)致黑客們利用漏洞發(fā)布到管理員未更新之間的時間差來造成危害。
修復(fù)此類漏洞���,只需到Apache官網(wǎng)升級Apache Struts到最新版本:http://struts.apache.org
圖例:
使用poc驗證是否存在該漏洞�����,嘗試執(zhí)行系統(tǒng)命令ifconfig
結(jié)果如圖���,漏洞確實存在。后續(xù)可以利用漏洞執(zhí)行其他命令
六���、框架釣魚漏洞(框架注入漏洞)
框架注入攻擊是針對Internet Explorer 5�、Internet Explorer 6�、與 Internet Explorer 7攻擊的一種。這種攻擊導(dǎo)致InternetExplorer不檢查結(jié)果框架的目的網(wǎng)站�,因而允許任意代碼像Javascript或者VBScript跨框架存取。這種攻擊也發(fā)生在代碼透過多框架注入�,肇因于腳本并不確認來自多框架的輸入。這種其他形式的框架注入會影響所有的不確認不受信任輸入的各廠商瀏覽器和腳本����。
防御框架釣魚漏洞:
如果應(yīng)用程序不要求不同的框架互相通信,就可以通過完全刪除框架名稱���、使用匿名框架防止框架注入����。但是�,因為應(yīng)用程序通常都要求框架之間相互通信,因此這種方法并不可行���。因此��,通常使用命名框架��,但在每個會話中使用不同的框架����,并且使用無法預(yù)測的名稱���。一種可行的方法是在每個基本的框架名稱后附加用戶的會話令牌�,如main_display。
這里給出一段代碼
把下面的這段HTML代碼另存為一個html文件���,然后用低版本ie瀏覽器打開�。
<html> <head> <title>IE
Cross Frame Scripting Restriction Bypass Example</title> <script> var keylog=''; document.onkeypress = function () {
k = window.event.keyCode;
window.status = keylog += String.fromCharCode(k) + '[' + k +']';
} </script> </head> <frameset onload="this.focus();" onblur="this.focus();" cols="100%"> <frame src="http://www.baidu.com/" scrolling="auto"> </frameset> </html>
大家仔細看看會是什么效果�����,嘿嘿
七���、文件上傳漏洞
文件上傳漏洞通常由于網(wǎng)頁代碼中的文件上傳路徑變量過濾不嚴造成的���,如果文件上傳功能實現(xiàn)代碼沒有嚴格限制用戶上傳的文件后綴以及文件類型,攻擊者可通過 Web 訪問的目錄上傳任意文件���,包括網(wǎng)站后門文件(webshell)�,進而遠程控制網(wǎng)站服務(wù)器����。
說的通俗些,就是一句話���、掛小馬����,連菜刀~~(我是不是說多了~),經(jīng)常做羞羞的事的小白白們一定熟悉<?PHP @eval($_POST[heetian]);?>吧���,嘿嘿
防御文件上傳漏洞
在開發(fā)網(wǎng)站及應(yīng)用程序過程中,需嚴格限制和校驗上傳的文件�,禁止上傳惡意代碼的文件。同時限制相關(guān)目錄的執(zhí)行權(quán)限�,防范webshell攻擊。
圖例:
菜刀界面
八�、應(yīng)用程序測試腳本泄露
由于測試腳本對提交的參數(shù)數(shù)據(jù)缺少充分過濾,遠程攻擊者可以利用該漏洞以WEB進程權(quán)限在系統(tǒng)上查看任意文件內(nèi)容�����。
防御應(yīng)用程序測試腳本泄露:
防御此類漏洞通常需嚴格過濾提交的數(shù)據(jù)����,有效檢測攻擊。
圖例:
最常用的方法就是先通過如上所示先查看網(wǎng)站robots.txt的內(nèi)容方便進行后續(xù)的滲透測試����。
九、私有IP地址泄露漏洞
IP地址是網(wǎng)絡(luò)用戶的重要標示����,是攻擊者進行攻擊前需要了解的����。獲取的方法較多�,攻擊者也會因不同的網(wǎng)絡(luò)情況采取不同的方法,如:在局域網(wǎng)內(nèi)使用Ping指令����,Ping對方在網(wǎng)絡(luò)中的名稱而獲得IP;在Internet上使用IP版的QQ直接顯示����。最有效的辦法是截獲并分析對方的網(wǎng)絡(luò)數(shù)據(jù)包。攻擊者可以找到并直接通過軟件解析截獲后的數(shù)據(jù)包的IP包頭信息�����,再根據(jù)這些信息了解具體的IP���。
針對最有效的“數(shù)據(jù)包分析方法”而言���,就可以安裝能夠自動去掉發(fā)送數(shù)據(jù)包包頭IP信息的一些軟件。不過使用這些軟件有些缺點,譬如:耗費資源嚴重�,降低計算機性能;訪問一些論壇或者網(wǎng)站時會受影響��;不適合網(wǎng)吧用戶使用等等?���,F(xiàn)在的個人用戶采用最普及隱藏IP的方法應(yīng)該是使用代理,由于使用代理服務(wù)器后���,“轉(zhuǎn)址服務(wù)”會對發(fā)送出去的數(shù)據(jù)包有所修改,致使“數(shù)據(jù)包分析”的方法失效�����。一些容易泄漏用戶IP的網(wǎng)絡(luò)軟件(QQ��、MSN���、IE等)都支持使用代理方式連接Internet�����,特別是QQ使用“ezProxy”等代理軟件連接后�����,IP版的QQ都無法顯示該IP地址���。雖然代理可以有效地隱藏用戶IP��,但攻擊者亦可以繞過代理��,查找到對方的真實IP地址��,用戶在何種情況下使用何種方法隱藏IP����,也要因情況而論�����。
防御私有IP地址泄露漏洞:
其實沒有完全有效的方法��,不然警察叔叔怎么會找到網(wǎng)絡(luò)犯罪分子呢�����。不嫌麻煩的話可以嘗試Tor洋蔥網(wǎng)絡(luò)(不管什么顏色的帽子們都必知必會哦)��,前些時間的wannacry勒索軟件作者至今沒被找到就是因為用了tor+基于區(qū)塊鏈技術(shù)的比特幣。
暗網(wǎng)導(dǎo)航
十��、未加密登錄請求
由于Web配置不安全�����,登陸請求把諸如用戶名和密碼等敏感字段未加密進行傳輸����,攻擊者可以竊聽網(wǎng)絡(luò)以劫獲這些敏感信息。這種漏洞在高校網(wǎng)站��、政府網(wǎng)站都很常見�����。
防御未加密登錄請求
進行例如SSH等的加密后再傳輸�����。
圖例:
可以看到紅線畫起來的部分即用戶名和密碼均以明文方式傳輸
十一�、敏感信息泄露漏洞
SQL注入���、XSS�、目錄遍歷、弱口令等均可導(dǎo)致敏感信息泄露���,攻擊者可以通過漏洞獲得敏感信息��。
防御方法:前面均已提到�����,回顧下��。
防御sql注入:
關(guān)鍵是對所有可能來自用戶輸入的數(shù)據(jù)進行嚴格的檢查����、對數(shù)據(jù)庫配置使用最小權(quán)限原則
防御xss:
嚴格過濾輸入輸出數(shù)據(jù)包括進行強類型檢查�,前端后端(客戶端、服務(wù)端)檢驗都不可缺少
防御目錄遍歷:
最有效的辦法就是權(quán)限控制��,謹慎處理傳向文件系統(tǒng)API的參數(shù)���。主要方法有:
1��、 凈化數(shù)據(jù):對用戶傳過來的文件名參數(shù)進行硬編碼或統(tǒng)一編碼���,對文件類型進行白名單控制��,對包含惡意字符或者空字符的參數(shù)進行拒絕����。
2�、web應(yīng)用程序可以使用chrooted環(huán)境包含被訪問的web目錄,或者使用絕對路徑+參數(shù)來訪問文件目錄���,時
2��、 使其即使越權(quán)也在訪問目錄之內(nèi)��。www目錄就是一個chroot應(yīng)用���。
防御弱口令:
這個問題根源在于人。所以最好的方法就是:
1���、設(shè)置密碼時不要圖一時的方便而設(shè)置簡單的密碼
2、防止密碼泄露的泄露
3�����、及時更換臨時密碼
某站目錄遍歷漏洞