记事狗SQL注入.ppt

白盒测试 常用工具 1、源代码阅读/搜索工具 2、WEB测试环境 由于开发.net的关系，个人习惯Vs2010 在代码审计方面，很多大牛也发表过很多相关的技术文章，印象中最深刻是那篇《高级PHP应用程序漏洞审核技术》确实能够快速得找到常见漏洞，不过要找更深层的漏洞，必须了解程序的整体架构，每一个小地方都有可能引起安全问题。 由于时间关系，下面主要分享一下，SQL注入审计常用方法 SQL注入代码审计关键字 SQL注入 1、搜索 order by、in(、like 2、深入搜索 select update delete 3、注意SQL拼接的地方，进入的变量是否有过滤处理（如果应用程序有统一的变量处理，也可以逆向查找能绕过的变量，如编码的地方： 关键decode、 stripcslashes等 ） 乌云案例 /bugs/wooyun-2011-01725 DiscuzX1.5 有权限SQL注入BUG /bugs/wooyun-2011-02330 Discuz! X2 SQL注射漏洞 案例1、记事狗SQL注入 记事狗微博系统是一套创新的互动社区系统，其以微博为核心，兼有轻博、SNS和BBS 特点，既可用来独立建站也可通过Ucenter与已有网站无缝整合，通过微博评论模块、 关注转发机制打通全站的信息流、关系流，可大幅度提高网站用户活跃度和参与度， 是新时代网站运营不可或缺的系统。 同样，搜 索 select ，注意SQL拼接的地方 modules\ajax\member.mod.php 由于记事狗也加上IDS，但显然，默认规则是比较弱，依然可以盲注 ajax.php?mod=membercode=selprovince=1 and ascii(substr((select password from mysql.user limit 0,1),1,1))60 案例2、supesite 6.x-7.0 注入 SupeSite是一套拥有独立的内容管理(CMS)功能，并集成了Web2.0社区个人门户系统X-Space ，拥有强大的聚合功能的社区门户系统。 SupeSite可以实现对站内的论坛(Discuz!)、 个人空间(X-Space)信息进行内容聚合。任何站长，都可以通过SupeSite， 轻松构建一个面向Web2.0的社区门户。 搜索UPDATE ，注意进入SQL的参数 viewcomment.php 注意参数 rates ,直接的SQL语句拼接。 从代码可以看出存在注入，利用： 打开一篇资讯评论的地方 /index.php?action-viewcomment-itemid-1-php-1 提交评论，程序即暴错，可以利用暴错注入来获取想要的数据。 黑盒测试 常用工具 1、浏览器 (Firefox) 2、FireBUG+Firecookie 3、Google 黑盒测试也是前面所介绍的漏洞注意的关键字和经验所形成的条件反应。 检查一个功能是否存在安全问题，通常都是通过非正常方式提交非法参数，根据返回的信息来判断问题是否存在。如注入的地方常常提交“ ‘ ”。 fireBug是一个很好的工具，可以直观地编辑HTML元素，绕过客户客的验证等，还可以通过查询网络请求，看是否存在Ajax的请求，经验告诉我们，Ajax比较容易出现漏洞。 乌云案例： /bugs/wooyun-2012-08178 腾讯某频道root注入 案例中就是修改日志时，发现存在ajax请求，再修改请求中的参数，发现了注入的存在。 Google Hacker 再说一下Google Hacker Google Hacker在百度百科的介绍 /view/433742.htm 很多人问我，我的google搜索是不是还有其它技巧，其实也是和上面百科介绍的差不多，也是常 用 site: inurl:admin filetype:php intitle:管理 如搜上传 site: inurl:upload / site: intitle:上传 等 不过还有一点百科好像没有提到，就是当有很多结果时，我想排除一部分搜索结果。 可以用 “ - ” * 像搜索： site: filetype:php 会有很多微博的，我想排除这些结果。 可以这样搜: site: filetype:php -t. 出来的结果就没有了微博的内容了。 基于漏洞库的漏洞挖掘 这个容易理解，通过对漏洞库的学习和了解，可以挖掘更多同类型的漏洞，像乌云的漏洞库。 乌云案例： /tags/支付安全 乌云案例： /search.php?q=密码修改 还有 ThinkPHP 远程代码执行 Struts2 框架远程命令执