《WEB Security-WEB安全入侵与防御讲课课件.pptx》由会员分享,可在线阅读,更多相关《WEB Security-WEB安全入侵与防御讲课课件.pptx(44页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.WEB安全安全ID:Holmesian Email:SholmesianG Website:华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.接下来我们将交流接下来我们将交流l什么是WEB安全?l安全事件会带来什么危害?l最流行的WEB攻击方式有哪些?l如何抵御常见的WEB攻击?l怎样设计安全的WEB程序?华东交通大学日新网华东交通大学日新网DEC HENAN POW
2、ER STATION AUXILIARY EQUIPMENT CO.,LTD.什么是网站安全什么是网站安全华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.什么是什么是webshellwebshell就是一个asp或php木马后门
3、,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell 最大的优点就是可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,没有经验的管理员是很难看出入侵痕迹的。华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION
4、AUXILIARY EQUIPMENT CO.,LTD.WebShell华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.常见常见WEBWEB应用应用存在的漏洞存在的漏洞lSQL注入漏洞(SQL Injection)l跨站脚本漏洞
5、(XSS)l远程包含漏洞l文件上传漏洞lCookie被盗用及伪造l后门和调试漏洞l逻辑错误和配置问题l旁注攻击l监听(未加密的请求)华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.SQL Injection技术概述就攻击技术本质而言,它利用的工具是就攻击技术本质而言,它利用的工具是SQLSQL的语法,针对的是的语法,针对的是应用程序开发者编程中的漏洞,当攻击者能操作
6、数据,向应用应用程序开发者编程中的漏洞,当攻击者能操作数据,向应用程序中插入一些程序中插入一些SQLSQL语句时,语句时,SQL InjectionSQL Injection攻击就发生了。攻击就发生了。实际上,实际上,SQL InjectionSQL Injection攻击是存在于常见的多连接的应用程攻击是存在于常见的多连接的应用程序中的一种漏洞,攻击者通过在应用程序预先定义好的序中的一种漏洞,攻击者通过在应用程序预先定义好的SQLSQL语语句结尾加上额外的句结尾加上额外的SQLSQL语句元素,欺骗数据库服务器执行非授语句元素,欺骗数据库服务器执行非授权的任意查询权的任意查询,篡改和命令执行。
7、篡改和命令执行。就风险而言,就风险而言,SQL InjectionSQL Injection攻击也是位居前列,和缓冲区溢攻击也是位居前列,和缓冲区溢出漏洞相比,其优势在于能够轻易的绕过防火墙直接访问数据出漏洞相比,其优势在于能够轻易的绕过防火墙直接访问数据库,甚至能够获得数据库所在的服务器的系统权限。库,甚至能够获得数据库所在的服务器的系统权限。在在WebWeb应用漏洞中,应用漏洞中,SQL Injection SQL Injection 漏洞的风险要高过其他所漏洞的风险要高过其他所有的漏洞。有的漏洞。安全风险华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION
8、AUXILIARY EQUIPMENT CO.,LTD.经典经典的的SQL Injection漏洞漏洞dim rsadmin1=request(admin)password1=request(password)set rs=server.CreateObject(ADODB.RecordSet)rs.open select*from admin where admin=&admin1&and password=&password1&,conn,1if rs.eof and rs.bof thenresponse.writealert(用户名或密码不正确!);response.writejava
9、script:history.go(-1)response.endelsesession(admin)=rs(admin)session(password)=rs(password)session(aleave)=rs(aleave)response.redirect admin.aspend ifrs.closeset rs=nothing 华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.SQL Injection产生原因产生原因l在用户名和密码都填入 or =lSQL语句被构造成select*fro
10、m admin where admin=OR=and password=OR=lSQL语句的实际意思变为admin为空或者空等于空,password为空或者空等于空的时候整个查询语句就为真。华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.SQL Injection利用利用l发现注入点(and 1=2、and 1=1、)l判断数据库类型(判断数据库类型(ACCESSACCESS、MYSQLMYSQL、MSSQLMSSQL)l利用数据库特性获得权限(利用数据库特性获得权限(MSSQLMSSQL、Oracle
11、Oracle)l构造语句猜解表名、字段名、敏感内容构造语句猜解表名、字段名、敏感内容l查找后台登陆地址、使用得到的密码成功登陆查找后台登陆地址、使用得到的密码成功登陆华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.SQL Injection实例实例l and 1=1l and 1=2l and exists(select*from admin where 1=1 and len(password)=13 and id=(Select max(id)From admin where id in(selec
12、t top 1 id from admin Order by id)l and exists(select*from admin where 1=1 and asc(mid(cstr(password),1,1)between 30 and 80 and id=(Select max(id)From admin where id in(select top 1 id from admin Order by id)62839-23922=38917|3141 华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD
13、.PHPPHP SQL Injection SQL Injectionl判断是否存在注入,加;and 1=1;and 1=2 l判断版本 and ord(mid(version(),1,1)51/*返回正常说明是4.0以上版本,可以用union查询l利用order by 暴字段,在网址后加 order by 10/*如果返回正常说明字段大于10l再利用union来查询准确字段,如:and 1=2 union select 1,2,3,./*直到返回正常,说明猜到准确字段数。如过滤了空格可以用/*/代替。l判断数据库连接帐号有没有写权限,and(select count(*)from mysql
14、.user)0/*如果结果返回错误,那我们只能猜解管理员帐号和密码了。华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.修补修补SQL Injection漏洞漏洞l在服务端正式处理之前对提交数据的合法性进行检查;l封装客户端提交信息;l替换或删除敏感字符/字符串;()l屏蔽出错信息。华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.一个通用防注入的函数一个通用防注入的函数Dim Tc_Post,Tc_Get,Tc_I
15、n,Tc_Inf,Tc_Xh定义需要过滤的字串Tc_In=|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|or|char|declare Tc_Inf=split(Tc_In,|)处理post数据If Request.Form ThenFor Each Tc_Post In Request.FormFor Tc_Xh=0 To Ubound(Tc_Inf)If Instr(LCase(Request.Form(Tc_Post),Tc_Inf(Tc_Xh)0 ThenResponse.Write alert
16、(请不要在参数中包含非法字符尝试注入!);处理get数据If Request.QueryString ThenFor Each Tc_Get In Request.QueryStringFor Tc_Xh=0 To Ubound(Tc_Inf)If Instr(LCase(Request.QueryString(Tc_Get),Tc_Inf(Tc_Xh)0 ThenResponse.Write alert(请不要在参数中包含非法字符尝试注入!);华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.跨站脚本攻
17、击跨站脚本攻击Cross site scripting 简称 XSSl原理:由于WEB应用程序没有对用户的输入和输出进行严格的过滤和转换,就导致在返回页面中可能嵌入恶意代码。l数据流程:恶意用户的Html输入web程序进入数据库web程序用户浏览器80%网站存在跨站漏洞网站存在跨站漏洞,包括许多大型知名网站包括许多大型知名网站!华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.XSS的危害的危害l挂马插入恶意的脚本内容,运行病毒、木马。l钓鱼篡改网页内容,骗取账号、密码等诈骗行为。l劫持会话读取会话COO
18、KIE,传送给第三方劫持身份。lXSS Worm使用AJAX技术,做几何趋势的增长传播。华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.XSS实例实例1(document.cookie)%3E%3C%22/x/39/y/10/华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.XSS实例实例2华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT C
19、O.,LTD.跨站蠕虫流程图劫持会话记录会话模拟登录发送xss给好友删除个人信息华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.XSS的防御之道的防御之道永远不要相信客户端提交的任何数据!1、服务器端永远不使用未验证的客户端数据。GET、POST、Cookies、URL、HTTP Header、IP2、服务器永远不对外展示任何未验证的客户端数据。华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.远程文件包含漏洞远程
20、文件包含漏洞在这种情形下攻击者能操纵不只是文件名,还能控制所包含的资源。由于PHP默认不只可以包含文件,还可以包含下面的资源(由配置文件中的allow_url_fopen所控制):华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.远程文件包含实例远程文件包含实例phpwind较高版本论坛中存在一个严重的漏洞,成功利用该漏洞可以远程执行任意php代码pw_ajax.php中的 elseif($action=pcdelimg)InitGP(array(fieldname,pctype);InitGP(arra
21、y(tid,id),2);if(!$tid|!$id|!$fieldname|!$pctype)echo fail;$id=(int)$id;if($pctype=topic)$tablename=GetTopcitable($id);elseif($pctype=postcate)$tablename=GetPcatetable($id);$path=$db-get_value(SELECT$fieldname FROM$tablename WHERE tid=.pwEscape($tid);fieldname未经任何有效的过滤(全局的一些其他的比较搞笑看起来不错的过滤对这里不起任何安全上的
22、意义,只是对漏洞利用带来了一些难度),利用该注射可以获取任何数据库里的数据。华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.Register_Globals很久很久以前,PHP程序员通过“register globals”(全局变量注册)机制读取用户提供的数据。在这种情形下,所有提交给一个脚本的参数都以一个与参数同名的变量的形式出现。例如,URL:script.php?foo=bar 会创建一个值为bar的变量$foo。输出:bar使用未初始化的变量几乎就意味着安全漏洞!华东交通大学日新网华东交通大学日
23、新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.文件上传漏洞文件上传漏洞l仅本地仅本地javascriptjavascript安全控制检测文件格式类型安全控制检测文件格式类型l程序通过 的值来判断用户上传的文件类型l空字节绕过Content-type判断lWin 2k3文件名解析漏洞:当文件名为x.asp;x.jpg时,IIS会以ASP格式解析,x.php;x.jpg会以PHP解析。l早期版本php的uploaded_file函数存在安全问题,遇到二进制0 x00就会认为数据结束了:1.php.jpg -1.php.jpg:1.php
24、0 x00.jpg -1.phpl上传后缀为.jpg的网页文件,IE会当作正常的网页一样解析。华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.空字节绕过上传空字节绕过上传?phpif($_FILESuserfiletype!=image/gif)echo Sorry,we only allow uploading GIF images;exit;Content-Disposition:form-data;name=userfile;shell.phpContent-Type:image/gif华东交通大
25、学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.文件上传漏洞防止文件上传漏洞防止l上传目录禁止php执行权限lphp程序目录禁止www用户写入权限l文件目录权限最小化原则l图片上传之后用php中的gd库判断一下l强制图片后缀名华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.Cookies问题问题l明文cookiel加密串替换 例如:某系统cookie信息如下 user=!#$;ugroup=#$%$l登陆test得到的co
26、okiesentname=unsearch;enid=p0i7L60T8L6LLl0i7;enid=p0i7L60T8L6LLl0i7;企业ID username=p0T677L7kTLaMM080l0;hpeid=p0i7L60T8L6LLl0i7;einfo=C2IsSyY6E3V-LoVa2z43Zp6DYx6Cpxe_1xfdYyfcBmgczyfNOy4_HCU-Y0ic1-fcP0eCl;qta=200 华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.Cookies利用利用l直接访问本应受限
27、的URL要确保在每个请求中都要包含会话表示,授权检查是每个应用程序的责任,而不仅仅是登陆程序的l伪造Cookies,伪装身份l在用户名和密码中输入 1 or 1=1 的语句来绕过程序的检查l利用密码保护来修改密码(社会工程学)华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.验证码问题验证码问题华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.配置不当导致的问题配置不当导致的问题lApache、IIS、Nginx等W
28、EB服务配置不当l管理页面META信息设置不当被Google抓取lMYSQL、MSSQL等数据库服务设置不当导致被远程抓取l数据库查询连接未及时释放导致的资源死锁问题 sbwait状态华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.Google HackinglGoogle Hacking是一种利用搜索引擎获取web应用程序弱点和敏感信息的手段。lGoogle Hacking 是一种以合法的方式获取非法或未授权信息的手段lGoogle Hacking 是所有利用搜索引擎进行攻击的一个典型华东交通大学日新
29、网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.l基本搜索B+把把googlegoogle可能忽略的字列如查询范围可能忽略的字列如查询范围 B-把某个字忽略把某个字忽略B 同意词同意词B.单一的通配符单一的通配符B*通配符,可代表多个字母通配符,可代表多个字母B精确查询精确查询l高级搜索Bintext intext 把网页中的正文内容中的某个字符做为搜索条件把网页中的正文内容中的某个字符做为搜索条件 Bintitle intitle 搜索网页标题中某个字符做为搜索条件搜索网页标题中某个字符做为搜索条件 Bcache c
30、ache 搜索搜索googlegoogle里关于某些内容的缓存里关于某些内容的缓存Biletype iletype 搜索指定类型的文件(重要参数)搜索指定类型的文件(重要参数)Binurl inurl 搜索我们指定的字符是否存在于搜索我们指定的字符是否存在于URLURL中中Bsite site 搜索指定的网站或者域名搜索指定的网站或者域名华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.GoogleGoogle HackingHacking实例实例.cn 华东交通大学日新网华东交通大学日新网DEC HEN
31、AN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.GoogleGoogle HackingHacking实例实例2 2filetype:mdb Standard Jet DB“该站已经被入侵,HYTOP.MDB 是个木马打包源代码后的生成文件华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.探嗅明文信息探嗅明文信息l在局域网内通过ARP或sniffer等方式抓取用户的敏感请求信息。lArp:非静态路由局域网lSniffer:通过HUB组成的局域网华东交通大学日新网华
32、东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.如何设计安全的如何设计安全的WEB程序程序l像黑客一样思考l用户提交的每一个数据都不可信任lCookie、Hidden字段、URL中不包含任何敏感信息l敏感信息提交时加密、服务器端输入验证l恰当的错误捕获机制、清晰的逻辑判断、最小的使用权限华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIARY EQUIPMENT CO.,LTD.华东交通大学日新网华东交通大学日新网DEC HENAN POWER STATION AUXILIAR
33、Y EQUIPMENT CO.,LTD.1、有时候读书是一种巧妙地避开思考的方法。3月-233月-23Wednesday,March 29,20232、阅读一切好书如同和过去最杰出的人谈话。16:32:5516:32:5516:323/29/2023 4:32:55 PM3、越是没有本领的就越加自命不凡。3月-2316:32:5516:32Mar-2329-Mar-234、越是无能的人,越喜欢挑剔别人的错儿。16:32:5516:32:5516:32Wednesday,March 29,20235、知人者智,自知者明。胜人者有力,自胜者强。3月-233月-2316:32:5516:32:55M
34、arch 29,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。29 三月 20234:32:55 下午16:32:553月-237、最具挑战性的挑战莫过于提升自我。三月 234:32 下午3月-2316:32March 29,20238、业余生活要有意义,不要越轨。2023/3/29 16:32:5516:32:5529 March 20239、一个人即使已登上顶峰,也仍要自强不息。4:32:55 下午4:32 下午16:32:553月-2310、你要做多大的事情,就该承受多大的压力。3/29/2023 4:32:55 PM16:32:5529-3月-2311、自己要先看得起自己,别人才会看得起你。3/29/2023 4:32 PM3/29/2023 4:32 PM3月-233月-2312、这一秒不放弃,下一秒就会有希望。29-Mar-2329 March 20233月-2313、无论才能知识多么卓著,如果缺乏热情,则无异纸上画饼充饥,无补于事。Wednesday,March 29,202329-Mar-233月-2314、我只是自己不放过自己而已,现在我不会再逼自己眷恋了。3月-2316:32:5529 March 202316:32谢谢大家谢谢大家