Web漏洞原理及检测v3研讨.ppt

XSS的解决方案 如果允许用户输入富文本，比如发表Qqzone的日志，这个时候又该怎么保证安全呢？ XSS注入变形多样化 img src=javascript:alert()（普通的攻击） img src=javasc ript:alert()（tab分隔） IMG SRC=“jav#x09;ascript:alert(10);”（tab实体分隔） IMG SRC=“jav#x0A;ascript:alert(11);”（回车实体分隔） IMG SRC=#106;#97;#118;#97;#115;#99;#114;#105;#112;#116;#58;#97;#108;#101;#114;#116;#40;#39;15#39;#41; （全部是实体） …………（关于这个攻击代码的变化还有很多……是的，很多） XSS漏洞的测试 XSS Cheat Sheet /xss.html 目录 常见Web漏洞介绍 SQL XSS CSRF 跳转 信息泄漏 … … CSRF漏洞 Cross-Site Request Forgery，跨站请求伪造，指通过HTML、JS或者flash等载体控制浏览器使用当前会话向Web程序发送请求的攻击方式 CSRF漏洞 安全解决方案 验证码： 让用户手工输入验证码 Referer：验证HTTP请求来源 Form token：在表单中增加随机token 目录 常见Web漏洞介绍 SQL XSS CSRF 跳转 信息泄漏 … … 跳转漏洞 跳转解决方案 在跳转之前一定要验证跳转的目标地址是否为合法站点，如果不是则不进行跳转，而是到错误页面或者指定的页面 目录 常见Web漏洞介绍 SQL XSS CSRF 跳转 测试页面 信息泄漏 … … 测试页面 主要包含以下几个方面 测试文件 Bak文件 .svn/entries 解决方案 不要将测试无关的文件同步到外网 目录 常见Web漏洞介绍 XSS CSRF 跳转 测试页面 信息泄漏 … … 信息泄漏 针对恶意用户的请求，server端返回了过多的错误详情 解决方案： 不要将错误的信息回显给用户，而改用统一的出错信息，比如“系统繁忙，请稍后再试” 目录 常见Web漏洞介绍 CSRF 跳转 测试页面 信息泄漏 目录遍历 … … 目录遍历 解决方案： 修改webserver的配置 目录 常见Web漏洞介绍 跳转 测试页面 信息泄漏 目录遍历 后台 … … 管理后台 用户密码存在弱口令 管理后台直接放在外网 * 课程主要从目前web类安全漏洞的角度触发，有针对性的讲解xss、sql、跳转等等web漏洞原理，并介绍防范方法和解决方案 * 1、首先看一个万能密码的例子 2、从例子的现象引出PHP源码 3、根据源码的例子分别给出正常的情况下构造出的sql语句以及sql注入时构造出的sql语句 ‘ or ‘1’=‘1 * 在上面将完原理后，这里抛出3种常见的漏洞情况 可以分别提问每种方式的绕过形式 * 原理及变形讲解完后讲下api的实际解决方案 体现出来主要的两点思路 1、封装 2、校验 1)封装客户端提交信息。?(2)替换或删除敏感字符/字符串 比如’ “ –等。?(3)屏蔽出错信息。 (4)在服务端正式处理之前对提交数据的合法性进行检查等 mysql_real_escape_string() c++ magic_quotes_gpc = On 可以有效的防御字符类的注入，但是无法防御整数的 * 截图演示详细的xss过程 1.第一次正常访问有xss的cgi 展示出输入 源代码中的显示 以及用户看到的 2、贴出源代码 3、那当我输入hello.jimascriptalert()/script 呢 4、先贴出源代码，看大家能发现什么问题，再揭晓答案 * 1、首先拿之前的非持久的xss为例，有问题的地方体现在 两个标签上，如果我把这两个标签过滤后会怎么样呢？ 2、显示成正确的结果来 3、引出我们解决问题的方案 安全api的函数 * 1、首先抛出富文本过滤的问题，看下大家的想法 2、展现出xss的多样性 3、展现出安全中心的解决方案 4、如果你要运行用户输入富文本，但是又不知道如何过滤时，用api把 * 如果你是测试人员 或者 你对xss有浓厚的兴趣，这里是个不错的地方 * Cross-Site Request Forgery，CSRF 用户登录Web ? 黑客控制站点 ? 发送HTTP请求到Web程序 XSS漏洞会产生CSRF，但是没有XSS，同样可能存在CSRF漏洞 可以参考录像 * 把缺点去掉了，可以提问缺点 业界成熟的CSRF解决方案 验