6.Web应用的攻击及防御技术（上）.pptx

2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 1 Web应用安全攻防技术(上) 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 2 内容 1. Web应用程序体系结构及其安全威 胁 2. Web应用安全攻防技术概述 3. SQL注入 4. XSS跨站脚本攻击 5. 课外实践作业：SEED SQL注入攻击 实验 SEED XSS攻击实验 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 3 Web应用体系结构 o 传统C/S架构的计算B/S架构 n“痩”客户端: Browser (Web客户端) n“厚”服务器: Web服务器、Web应用程序、数据库 n通讯机制: HTTP/HTTPS 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 4 HTML静态页面和动态页面 oHTML (HyperText Markup Language)历史 n起源: 1980s, Tim Berners-Lee, ENQUIRE n1991: HTML发布，互联网进入WWW时代 n1995: HTML v2.0正式称为IETF RFC 1866标准 oHTML: 静态标记语言 nTag标签: 表格等结构标签, 超链接, 内嵌链接, 图片, n交互能力: 表单, 脚本支持动态生成页面 o动态页面 nCGI n脚本语言: ASP, JavaScript, PHP, o交互能力进一步扩展 nActiveX控件、Java Applet 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 5 Web客户端 浏览器 o 浏览器产品的商业竞争 n“第一次浏览器大战”: Netscape Loses to IE n“第二次浏览器大战”: IE VS. Firefox, Chrome, Safari, etc n“第二次浏览器大战”: 移动终端浏览器之争，Opera, Safari, o 浏览器技术的发展 n早期：简单的静态HTML页面解析与渲染 n1995 Netscape引入Javascript，客户端脚本语言 n1996 Adobe(Macromedia)引入Flash n1999 Sun：Servlet，J2ME n2005 Ajax 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 6 Web服务器与动态编程技术 o Web服务器软件 n HTTP守护进程 n 各种Web动态编程语言支持 n 主流：MSLAMP 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 7 Web应用程序 o Web应用程序Web Application n Web服务器端的业务逻辑 n 现代Web应用的核心 o Web应用程序的分层模型 n 最普遍应用：3层模型(3-tiers) n 表示层：接受Web客户端输入并显示结果 n 业务逻辑层：完成Web应用业务处理，核心， 实现技术CGI、ASP、PHP等动态脚本 n 数据层：数据库本地文件；数据库连接： ODBCOLEDBJDBC 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 8 传输协议: HTTP/HTTPS o HTTP nHTTP 1.0 (IETF RFC 1945), HTTP 1.1 (RFC 2616), 缺省TCP 80端口 n无状态、基于ASCII码明文传递的简单协议 n请求/响应模式: 请求资源标识符(URI) n无状态性、明文性、简单性、流行性易受攻击 o 状态管理Cookies 保持连接状态 o 身份认证基础认证等多种认证协议 o HTTPS n基于SSL/TLS: 提供对传输层认证(AH)和加密(ESP) nHTTPS: HTTP over TLS, 缺省TCP 443端口 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 9 Web应用安全威胁 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 10 内容 1. Web应用程序体系结构及其安全威 胁 2. Web应用安全攻防技术概述 3. SQL注入 4. XSS跨站脚本攻击 5. 课外实践作业：SEED SQL注入攻击 实验 SEED XSS攻击实验 Web应用攻击路线图 o Web应用信息收集 o 攻击Web服务器软件 o 攻击Web应用程序 o 攻击Web数据内容 o 本地攻击 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 11 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 12 Web应用的信息收集 o 针对目标Web应用服务的信息收集 n服务器域名、IP地址、内网虚拟IP地址 nWeb服务器端口、其他开放服务 nWeb站点类型与版本 nWeb应用程序类型与版本 nWeb服务器Web应用程序中存在的安全漏洞 o 课程3回顾：网络信息收集技术 nWhoisDNS查询、Web搜索、端口扫描：发现目标Web 站点 n类型探查技术：识别Web站点OS、服务器类型版本 n漏洞扫描技术：Web站点与服务器软件已知漏洞 n服务查点技术：Web服务器软件的“旗标” Web应用程序的探测和漏洞发现 o 手工审查Web应用程序结构与源代码 o 自动下载与镜像Web站点页面 o 使用Google Hacking技术审查与探测 Web应用程序 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 13 手工审查Web应用程序结构与源 代码 o 静态和动态生成的页面 n查看源代码 n隐藏信息：表单隐藏字段、注释隐藏信息 n动态页面：脚本编程语言，页面命名规则，以及参数名称、类 型与含义 o 目录结构 n页面存储结构 n目录文件枚举不安全配置 o 辅助性文件 nCSS级联样式表、XML样式表、Javascript文件、 include文件 n数据库字段结构、目录路径、输入参数以及数据库连接字符串 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 14 手工审查Web应用程序结构与源 代码（2） o 输入表单 n提交数据方法：GET还是POST n表单处理行为：哪个脚本？ n输入字段名称、最大长度限制、隐藏字段、自动完成标记、口 令字段 o 查询参数字符串 n复用以假冒其他用户、获取受限的数据、运行任意的系统命令 ，或者执行其他应用程序开发者所不希望看到的动作 n提供了Web应用程序内部工作的信息: 数据表字段名称，会 话标识符、用户名或口令字段 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 15 通过黑客游戏提升手工分析能力 o 网页解密类黑客游戏 o NotPron解密游戏： http:/deathball.net/notpron/levelone.ht m，共132关。 o 路路解密破解游戏（中文）- 综合类。 o 中安网培黑客游戏 （中文）- 网页过关类： http:/game.enet.org.cn/。 o Monyer系列（黑客游戏）， http:/monyer.com/game/game1/。 o sqybi 的解谜游戏 （中文）- 网页过关类： http:/sqybi.com/game/。 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 16 自动下载与镜像Web站点页面 o 在线手工审查 - 自动下载镜像，离线审 查 o Linux系统自动下载与镜像工具 n Lynxwget n Libcurl o Windows系统 n TeleportOffline Explorer n 迅雷Flashget 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 17 使用Google Hacking技术审 查与探测Web应用程序 o Google已经帮我们下载并分析了几乎所有 公开页面 n Googlebot n Google Search Engine o Google Hacking n Google的高级搜索与挖掘技巧 n 在大范围内搜索存有漏洞的Web应用程序 n 符合特定条件的敏感信息内容 n 在被Google检索的目标站点中搜索特定信息 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 18 Google Hacking DataBase o GHDB Project n Johnny Long, since 2004 n Google Hacking for Penetration Testers n 2010/11, exploit-db网站重新启动GHDB o GHDB规模 n 14类 n 1,100多条查询搜索条件 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 19 Google Hacking DataBase 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 20 Google Hacking工具 2014年8月31 日 21 能够自动进行Google Hacking搜索的SiteDigger免费软件 Web应用程序安全评估与漏洞探测 o 深入的安全评估与漏洞探测 n 透彻理解目标应用程序的体系结构和设计思路 n 找出可能存在的薄弱环节 n 总结出针对这个Web应用程序的详细攻击步骤 o Web应用程序的主要攻击点 n 身份验证 n 会话管理 n 数据库操作 n 输入数据合法/合理性检查 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 22 Web应用安全辅助分析工具 o浏览器插件 n实时地查看和修改传递给Web服务器的数据 nTamperDataLive HTTP Header o免费工具集 nWeb服务器与客户端之间的代理方式运行 oFiddler，WebScarab，Burp Suite，Paros Proxy和SPIKE Proxy n结合爬虫的评估与漏洞探测工具 oWhisker与Libwhisker Nikto N-Stealth n黑客渗透测试工具：NBSI、HDSI、Domain o 商业Web应用安全评估系统和漏洞扫描器 nIBMAppscan、HP WebInspect、WVS、极光、 Jsky 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 23 攻击Web服务器软件 o 流行的Web服务器软件 n MS：Win200x ServerIISMS SQL ASPASP.NET n LAMP: LinuxApacheMySQLPHP o 针对Web服务器网络服务的远程渗透攻击 n IISMS SQL：红色代码、尼姆达和SQL Slammer n 已知漏洞渗透代码来源：Metasploit、Exploit- db、Packetstorm、SecurityFoucs 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 24 Web服务器平台中的安全漏洞 o 数据驱动的远程代码执行安全漏洞 n缓冲区溢出 nIIS HTR数据块编码堆溢出漏洞攻击 nMicrosoft IIS ASP远程代码执行漏洞(MS08-006) o 服务器功能扩展模块漏洞 nIIS软件中被红色代码所利用的IIS检索服务缓冲区溢出漏洞 nWebDAV模块Translate:f漏洞 nApache扩展组件模块漏洞，如Tomcat、OpenSSL、 mod_rewrite、mod_mylo、mod_gzip、 mod_isapi、mod_jk 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 25 Web服务器平台中的安全漏洞 o 数据驱动的远程代码执行安全漏洞 n缓冲区溢出 nIIS HTR数据块编码堆溢出漏洞攻击 nMicrosoft IIS ASP远程代码执行漏洞(MS08-006) o 服务器功能扩展模块漏洞 nIIS软件中被红色代码所利用的IIS检索服务缓冲区溢出漏洞 nWebDAV模块Translate:f漏洞 nApache扩展组件模块漏洞，如Tomcat、OpenSSL、 mod_rewrite、mod_mylo、mod_gzip、 mod_isapi、mod_jk 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 26 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 27 Web服务器平台中的安全漏洞(2) o样本文件 nWeb应用服务器包含的样板脚本和代码示例存在漏洞 n案例: IIS4中的showcode.asp存在目录便利漏洞 ohttp:/SERVER/msadc/Samples/SELECTOR/showcode.a sp?source=/boot.ini o源代码泄露 n能够查看到没有防护措施Web服务器上的应用程序源码 n案例: IIS上的“+.htr”漏洞 ohttp:/SERVER/global.asa+.htr o资源解析攻击 n资源解析: 把同一资源的不同表示形式解析为它的标准化名称 的过程. oC:text.txt = text.txt = computerC$text.txt n案例: IIS中的“ASP:$DATA”漏洞 ohttp:/SERVER/scripts/file.asp:$DATA: 查看源码 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 28 攻击Web应用程序 o Web应用程序的不安全性 nWeb应用程序编码质量和测试均有限: 安全最薄弱环节 nWeb应用的复杂性和灵活性进一步恶化了其安全性 o Web应用程序安全威胁类型 nWASC(Web Application Security Consortium) n针对认证机制的攻击 n针对授权机制的攻击 n客户端攻击 n命令执行攻击 n信息暴露 n逻辑攻击 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 29 Web应用程序安全漏洞类型列表 OWASP Top ten 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 30 攻击Web数据内容 o 安全敏感信息泄露 o 网站内容篡改 o 不良信息内容上传 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 31 敏感信息泄漏 o 敏感信息类型 n GF、BM等科研敏感信息 n 教师、学生个人隐私信息 n 网络安全敏感信息 o 通常的信息泄漏途径和方式 n 未关闭Web服务器的目录遍历，不经意泄漏 n Upload、Incoming等目录中转文件时泄漏 n 缺乏安全意识，在公开的文档中包含个人隐私信息 n 在公开的个人简历、职称晋升材料、课题申请书等 包含科研敏感信息 32 高校网站泄漏科研敏感信息实例 33 网页内容篡改 o 2008年9月：北大/清华网站被黑，假冒校 长发文 34 网页篡改站点列表 35 /30 网页篡改站点列表(2) 36 /60 不良信息内容上传威胁 o 网站面临的不良信息内容威胁 n 网站被攻陷后可能成为不良信息的存储和中转仓库 n 提供用户交互的论坛/博客等网站可能涉及用户上传 不良信息 37 /30 不良信息内容上传-违法内容 38 /60