WEB2.0的渗透测试.pptVIP

WEB2.0下的渗透测试 5up3rh3i@ WEB1.0下的渗透测试 通过web服务器漏洞直接溢出得到cmdshell iis60day.bin –t –p 80 通过web应用程序传统漏洞得到webshell 传统漏洞是指作用于web服务端语言的漏洞如上传、sql注射、包含等。 phpwind0day.php –t –p 80 主要特点 属于服务端攻击，攻击效果“直截了当”，还是目前主流的渗透测试方式，但是寻找漏洞成本越来越高，安全产品的应用使利用越来越困难！ 关于WEB 2.0 Web2.0一种相对概念,提倡的是高亲和力的交互应用，主体是用户之间用户与网站之间的互动。 Web2.0的核心注重的不仅是技术，而更注重的设计思想。 AJAX技术的诞生标着web进入2.0时代，也是其核心技术 web2.0更注重互动的设计思想 如博客、wiki、sns网络等诞生 Web2.0下的渗透继承了web2.0的特点：思想更重要！ WEB2.0下的渗透测试 攻击的目标 主要的攻击方式：XSS、CSRF、第三方内容劫持、Clickjacking等。 攻击方式的趋势走向 攻击成功后的效果 现有的认识 几个渗透小故事 攻击的目标 与WEB1.0相比，WEB2.0渗透是针对客户端的攻击。 包括网站用户，网站的管理员，网站的运维、安全人员，还包括和你一样的“渗透者”。 主要的攻击方式--XSS XSS在web1.0诞生，在web2.0时代出名。 1996年就有人提到了这类攻击。[Jeremiah Grossman说的] 1999年David Ross和Georgi Guninski提出“Script injection”。 2000年apache官方一篇文档里正式取名“Cross Site Scripting”。 2005年samy worm诞生，标志着XSS进入web2.0时代，xss火了！！ 2007年出版的《XSS Attacks Book》提出：“XSS is the New Buffer Overflow, JavaScript Malware is the new shell code” XSS的利用： web1.0时代：弹筐[alert ]+收集cookie[document.cookie] web2.0时代：xss worm 这也是目前xss的主流利用！我们思想还处于90年代！这也是广大脚本小子被bs的原因之一！ XSS / 弹筐+收集cookie+worm xss本质是在于执行脚本[javascript/html等]，而一个javascript就足够让你黑遍这个世界！ 主要的攻击方式--CSRF CSRF---Cross Site Request Forgery 诞生于2000年，火于2007/2008年。 得益于XSS的光芒，及几大web2.0的应用 如gmail的CSRF漏洞。 直译为：“跨站请求伪造”。“跨”是它的核心。 * 跨http site ** 攻防技术已经趋于成熟如《Bypass Preventing CSRF》2008年 对于csrf的防御 ** CSRF worm 我在2008.01年blog提到过这个概念,2008.09 80sec实现 《百度Hi Csrf蠕虫攻击》 * 跨协议通信《Inter-Protocol Communication》—by Wade Alcorn 2006年，让通过客户端攻击用户本地电脑其他服务变为可能。如下代码在webkit下实现了http与irc的通信： 主要的攻击方式--CSRF 从其他应用程序发起的跨站请求如word winrar等文件。 主要的攻击方式--第三方内容劫持 《The Dangers of Third Party Content》---by SanJose OWASP-WASCAppSec2007 2009年开始天朝红火了一把:《Dz事件》（在后面讲具体提到） 广告业务、网页游戏、统计服务导致第三方内容应用广泛。 web应用程序里的第三方内容，比如bbs官方升级提示功能等 其他应用程序里的第三方内容，如浏览器插件里的引入的js html等。 包括JavaScript, HTML, Flash, CSS, etc. 主要的攻击方式--第三方内容劫持 又一个个“引狼入室”的悲剧故事。 劫持第三方内容的方法： *域名劫持如百度事件：直接攻击域名注册商 *会话劫持：如arp会话劫持（zxarps.exe ）、交换机会话劫持（SSClone） *直接攻取第三方内容服务器权限。 “恩，很黄很暴力！” 目前基本没有安全防御意识。 “你的安全被别人做了主了!” 主要的攻击方式-- Clickjackin