SANGFOR NGAF V7度渠道高级认证培训02 常见攻击测试 2.ppt

深圳市南山区学苑大道1001号南山智园A1栋 market@ 关于OWASP top 10 project，可参考 /index.php/OWASP_Top_Ten_Project 关于OWASP，可参考 百度百科 /view/1866159.htm Wiki百科 /wiki/OWASP * SQL注入攻击是由于web应用程序开发中，没有对用户输入数据的合法性进行判断，攻击者可以通过互联网的输入区域（如URL、表单等），利用某些特殊结构的SQL语句插入SQL的特殊字符和指令，提交一段数据库查询代码，操纵并获得本不为用户所知的数据。 跨站脚本攻击（XSS)是由于web开发者在编写应用程序时没有对用户提交的语句和变量中进行过滤或限制，攻击者通过web页面向数据库或HTML页面提交恶意的html代码，当用户打开有恶意代码的连接或页面时，恶意代码会自动执行，从而到达攻击的目的。 网页木马实际上是一个经过黑客精心设计的HTML网页。当用户访问该页面时，嵌入该网页中的脚本利用浏览器漏洞，让浏览器自动下载黑客放置在网络上的木马并运行这个1木马。 网站扫描是对web站点扫描，对web站点的结构、漏洞进行扫描。 Webshell是web入侵的一种脚本工具，通常情况下，是一个ASP、PHP或者JSP程序页面，也叫做网站后门木马，在入侵一个网站后，常常将这些木马放置在服务器web目录中，与正常网页混在一起。通过webshell，长期操纵和控制受害者网站。 跨站请求伪造（CSRF）通过伪装来自受信任用户的请求来利用受信任的网站。 系统命令注入 操纵系统命令攻击是攻击者提交特殊字符或者操作系统命令，web程序程序没有检测或者绕过web应用程序过滤，把用户提交的请求作为指令进行解析，导致操作系统命令执行。 文件包含漏洞攻击是针对PHP站点特有的一种恶意攻击。当PHP中变量过滤不严，没有判断参数是本地的还是远程主机上的时，我们就可以指定远程主机上的文件作为参数来提交给变量执行，而如果提交的这个文件中存在恶意代码甚至干脆就是一个PHP木马的话，文件中心的代码或PHP木马就会以web权限被成功执行。 目录遍历漏洞就是通过浏览器向web服务器任意目录附加“../”,或者是在有特殊意义的目录附件“../”，或者是附加“../”的一些变形，编码，访问web服务器根目录之外的目录。 信息泄漏漏洞是由于web服务器配置或者本身存在安全漏洞，导致一些系统文件或者配置文件直接暴露在互联网中，泄漏web服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息等。 * 预备知识： 了解各种常见数据库，例如MSSQL mysql oracal等的安装及数据库语法操作。 了解动态页面asp php等与数据库的交互过程。 * 以上分类摘自百度百科 /view/2161269.htm 本地利用漏洞，这种漏洞存在于页面中客户端脚本自身 反射式漏洞，这种漏洞和类型A有些类似，不同的是Web客户端使用Server端脚本生成页面为用户提供数据时，如果未经验证的用户数据被包含在页面中而未经HTML实体编码，客户端代码便能够注入到动态页面中。 存储式漏洞，该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞，骇客将攻击脚本上传到Web服务器上，使得所有访问该页面的用户都面临信息泄漏的可能，其中也包括了Web服务器的管理员。 * 常规的入侵渗透步骤一般如下： 信息搜集分析，此步骤包括初期的目标选取，例如通过google hack技术大范围查找针对性漏洞的网站，在目标确定情况下对攻击目标收集网站基本信息，寻找攻击点，通过该阶段，可以对网站有一个基本的认识，为后面发起攻击做好准备。 攻击实施阶段，依据此前搜集到的信息情况，针对性的发起攻击。 对于NGAF测试人员，则一般可以略过目标选取，在该阶段为提高测试成功率，可以依靠售前人员以及测试前与客户服务器管理员沟通，获取必要的网站信息，例如网站架构，服务器采用什么操作系统、数据库、网页编写语言以及以上对象使用的版本号信息。后续可依赖以上信息，搜索对应的版本存在的漏洞进行相应攻击。除了对版本漏洞攻击外，也可以针对网页代码编写过程中存在的漏洞进行扫描分析，需要依赖一些常规的扫描工具，例如啊D等。 * 利用以上信息。可以检索现有漏洞进行探测攻击，例如乐语系统存在的xss漏洞。 /bugs/wooyun-2012-016486 IIS6.0可能存在的漏洞 /appdir/Microsoft+IIS * 详细情况参见IBM官网介绍： /developerworks/cn/downloads/r/appscan/ * * 敏感文件后缀： .mdb .conf .inc .htaccess .csproj .vbproj