7月4日消息,2012年中國計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)在西安舉行,廣東動(dòng)易網(wǎng)絡(luò)科技有限公司核心產(chǎn)品經(jīng)理吳建亮在分論壇發(fā)表了“web常見漏洞與挖掘技巧”的主題演講。
廣東動(dòng)易網(wǎng)絡(luò)科技有限公司核心產(chǎn)品經(jīng)理吳建亮
以下為演講實(shí)錄:
大家好,非常榮幸能夠參與這個(gè)會(huì)議,我首先自我介紹一下,我是來自于廣東動(dòng)易,今天給大家講web常見漏洞與挖掘技巧,主要有三個(gè)議題,幾個(gè)比較常見的漏洞,這是產(chǎn)生SQL注入的主要原因是SQL語句的拼接,注入這里標(biāo)志出來的是比較常見樂觀,近一個(gè)月我在烏云上提交的漏洞的注入類型,大家具體可以看一下,大家對(duì)這個(gè)漏洞還是不夠重視,或者對(duì)這個(gè)了解還不夠深入,首先一個(gè)典型案例,萬能密碼,網(wǎng)站萬能密碼相信大家多不陌生,但有沒有想到這萬能密碼會(huì)出現(xiàn)在某安全公司的內(nèi)部網(wǎng)戰(zhàn)上。第一次發(fā)現(xiàn)時(shí),直接是這個(gè),報(bào)告給給官方后,光放的處理方式是直加一個(gè)防火墻料事。防植與繞過從來就是一對(duì)天地,一個(gè)通用的防火墻很難針對(duì)任何一處都做到安全。只想跟廠商說一句話九,防注餐數(shù)化難倒真的南么難,代碼過去一下。SQL注入的關(guān)鍵字,參數(shù)化查詢,過慮(白名單),編碼,繞過防注、過慮,MYSQL寬帶節(jié),二次注入,任何輸入都是有害,容錯(cuò)處理,爆錯(cuò)注入,最小權(quán)限。
現(xiàn)在講一下XSS/CSRF,可能各位公司不太注重這個(gè),跨戰(zhàn)腳本、跨戰(zhàn)請(qǐng)求偽造,造成的的危害不可少看,在某此授權(quán)檢測一團(tuán)購網(wǎng)過程中,就是那種十月簡單的團(tuán)購網(wǎng)站,前臺(tái)功能不多,基本都是靜態(tài)或者是偽靜態(tài),無從入手。然后在這個(gè)網(wǎng)站里發(fā)布了一個(gè)這個(gè)腳本。數(shù)分鐘過后,腳本返回了某管理員的COOKIE信息,后臺(tái)路徑居然也記錄在,后面就順利了,直接欺騙進(jìn)入了后臺(tái),然后就直接可以拿到了。XSS/CSRF關(guān)鍵字,編碼,不需要支持HTML的地方編碼輸入,過慮,有危害的腳本,HTTPNELY,防范COOOKIE被盜,文件上傳的時(shí)候,會(huì)有一些問題,簡單舉一個(gè)烏云上的一些案例,大部分上傳播中都出現(xiàn)問題。文件上傳關(guān)鍵字,文件后綴白名單,文件名注意多注意某些解釋漏洞還要多注意APACHE版本的解釋漏洞問題。在開發(fā)中,由于比較多的情況是上傳文后綴由客戶來配置,為了防配置錯(cuò)誤后臺(tái)拿Shell等情況,所以很多的時(shí)候?yàn)榱税踩珕栴},隱藏文件真實(shí)路徑,這樣即使上傳了也不行。
任意文件下漏洞,就是以讀取的方式輸入文件內(nèi)容,有可能存在任意文件下載漏洞。直接傳路徑型任意文件下載案例,可以看一下這些案例。然后數(shù)據(jù)庫儲(chǔ)存路徑型任意文件下載的案例,這個(gè)隱藏表單,用戶可以自己改隱藏表單的用戶名。另外文件下載注意的確保操作是在制定目錄下,這里也出現(xiàn)兩個(gè)路徑的問題。越權(quán)的問題,越權(quán)操作一般查看。烏云越權(quán)的案例是通過修改地址中的ID越權(quán)。越權(quán)問題的關(guān)鍵字,信息ID+用戶ID,如果想了解開發(fā)中要注意的安全問題,可以下載《動(dòng)易安全開發(fā)手冊》,經(jīng)過對(duì)web常見的漏洞分析,可以開出來這些,白盒測試,在代碼審計(jì)方面,很多大牛也發(fā)表過很多相關(guān)的技術(shù)文章,銀行中最深刻的是那篇《高級(jí)PHP應(yīng)用程序漏洞審核技術(shù)》確實(shí)能夠快速得到找到常見漏洞,不要找更深層的漏洞必須了解程序。首先這是SQL注入代表審計(jì)關(guān)鍵字,SQL注入,搜索ORDER BY、IN,深入搜索select update delete,注意SQL拼接的地方,進(jìn)入的變量是否有過慮處理。這里有案例,記事狗SQL注入的。Supesite是一套擁有獨(dú)立的內(nèi)容管理功能,并集成了web2.0注入的程序。從代碼可以看出存在注入,利用,提交評(píng)論,程序即爆錯(cuò),可以利用爆錯(cuò)來找到想要的數(shù)據(jù),這是常用的工具,黑盒測試工具,也就是前面所介紹的的漏洞注意的關(guān)緊字和經(jīng)驗(yàn)所形成的條件反映,檢查一個(gè)功能是存在安全問題,通常都是通過非正常的方式提交參數(shù),根據(jù)返回來的信息來判斷問題是否存在,firebug是一個(gè)很好的工具,它可以直觀第編輯HTML元素,繞過客戶客的驗(yàn)證等,還可以通過查詢網(wǎng)絡(luò)請(qǐng)求,看是否存在漏洞。
這是一個(gè)烏云案例,再說一個(gè)Goohle Hacker,它在百度百科的介紹,很多人問我,我的google搜索是不是還有其他技巧,其他也是和上面百科介紹的差不多,也是常用。例如我說說騰訊的,會(huì)有微博的,可以這樣搜,按照這樣的程序搜索來。說一下漏洞庫的漏洞挖掘,這個(gè)容易理解,通過對(duì)漏洞庫德國學(xué)習(xí)和了解,可以挖掘更多同類型的漏洞,像烏云的漏洞庫。這是一個(gè)烏云的案例,支付的安全,還有密碼的修改,還有運(yùn)城代表執(zhí)行,在這里感謝烏云為互聯(lián)網(wǎng)安全研究者提供一個(gè)平臺(tái)。對(duì)新興的web放火墻可行性的一個(gè)分析,我不是防火墻方面的專家,看前面的防火墻的技巧,可以查看一下這種防火墻的可行性。各位看一下這些注入的地方,發(fā)現(xiàn)大部分注入的點(diǎn)都是Agax請(qǐng)求,一般來說,我們了解的漏洞掃描工具都是以爬蟲式的偏列頁面的地址。然后看一下注入案例中的web防火墻,安全傳統(tǒng)的web防火墻,只能針對(duì)規(guī)則攔截,但他不知道這個(gè)請(qǐng)求是否存在漏洞,什么漏洞?所一存在判斷失誤,所以我想能不能把這兩個(gè)結(jié)合。web有時(shí)候分析,各個(gè)參數(shù)是否存在漏洞,漏洞類型是什么?如何處理,如果是數(shù)字型的注入,可以轉(zhuǎn)換,當(dāng)然這只是一個(gè)猜想,新興的web防火墻也可以結(jié)合各漏洞庫,識(shí)別應(yīng)用程序。我今天就講到這里,內(nèi)容有點(diǎn)多,可能講的比較簡單,大家可以看一下那個(gè)案例,可以學(xué)到一點(diǎn)東西。謝謝。
(附主持人點(diǎn)評(píng))
非常感謝建亮,其實(shí)他是一個(gè)開發(fā)人員,他想的比較遠(yuǎn),另外在這里我想多說兩句,其實(shí)對(duì)web安全的一個(gè)誤解,大家可能覺得web安全是很廉價(jià)其實(shí)這是一個(gè)誤解,現(xiàn)在云的概念,還有網(wǎng)站,電子商務(wù)網(wǎng)站,越來越把數(shù)據(jù)往自己那個(gè)服務(wù)器上集中,就會(huì)導(dǎo)致web更重要。去年有一個(gè)很大的電子商務(wù)網(wǎng)站,授權(quán)的一個(gè)檢測,檢測的結(jié)果讓人也很尷尬,最大的問題是他的邊界WF都看不到,有漏洞就是不安全,沒有漏洞就是安全。但是我們當(dāng)時(shí)從測電子商務(wù)網(wǎng)站發(fā)現(xiàn)問題很嚴(yán)重,進(jìn)去滯后發(fā)現(xiàn)整個(gè)內(nèi)部網(wǎng)絡(luò)是扁平的,其實(shí)這個(gè)漏洞是很容易發(fā)現(xiàn)的,無論是騰訊還是支付寶,大家都有安全團(tuán)隊(duì),但是這個(gè)漏洞還是存在,這個(gè)存在就是說是一個(gè)弱點(diǎn),是很難解決的,應(yīng)該把這個(gè)程序改變一下。因?yàn)閣eb表面是一個(gè)漏洞,其實(shí)他是一個(gè)安全邊界的。剛才他建在一個(gè)web安全角度看安全,下一個(gè)是阿里巴巴的吳瀚清講網(wǎng)站離線安全分析漫談,但是他還沒到,現(xiàn)在請(qǐng)李陸演講重要行業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)分析。
推薦閱讀
綠盟科技李陸:重要行業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)分析
7月4日消息,2012年中國計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)在西安舉行,北京神州綠盟科技有限公司李陸發(fā)表了題為“重要行業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)分析”的演講。 北京神州綠盟科技有限公司李陸 以下為演講實(shí)錄: 大家好,我是來自綠盟科技>>>詳細(xì)閱讀
本文標(biāo)題:吳建亮:web常見漏洞與挖掘技巧
地址:http://www.brh9h.cn/a/11/20120705/73574.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示