7月4日消息,2012年中國計算機網絡安全年會在西安舉行,廣東動易網絡科技有限公司核心產品經理吳建亮在分論壇發表了“web常見漏洞與挖掘技巧”的主題演講。
廣東動易網絡科技有限公司核心產品經理吳建亮
以下為演講實錄:
大家好,非常榮幸能夠參與這個會議,我首先自我介紹一下,我是來自于廣東動易,今天給大家講web常見漏洞與挖掘技巧,主要有三個議題,幾個比較常見的漏洞,這是產生SQL注入的主要原因是SQL語句的拼接,注入這里標志出來的是比較常見樂觀,近一個月我在烏云上提交的漏洞的注入類型,大家具體可以看一下,大家對這個漏洞還是不夠重視,或者對這個了解還不夠深入,首先一個典型案例,萬能密碼,網站萬能密碼相信大家多不陌生,但有沒有想到這萬能密碼會出現在某安全公司的內部網戰上。第一次發現時,直接是這個,報告給給官方后,光放的處理方式是直加一個防火墻料事。防植與繞過從來就是一對天地,一個通用的防火墻很難針對任何一處都做到安全。只想跟廠商說一句話九,防注餐數化難倒真的南么難,代碼過去一下。SQL注入的關鍵字,參數化查詢,過慮(白名單),編碼,繞過防注、過慮,MYSQL寬帶節,二次注入,任何輸入都是有害,容錯處理,爆錯注入,最小權限。
現在講一下XSS/CSRF,可能各位公司不太注重這個,跨戰腳本、跨戰請求偽造,造成的的危害不可少看,在某此授權檢測一團購網過程中,就是那種十月簡單的團購網站,前臺功能不多,基本都是靜態或者是偽靜態,無從入手。然后在這個網站里發布了一個這個腳本。數分鐘過后,腳本返回了某管理員的COOKIE信息,后臺路徑居然也記錄在,后面就順利了,直接欺騙進入了后臺,然后就直接可以拿到了。XSS/CSRF關鍵字,編碼,不需要支持HTML的地方編碼輸入,過慮,有危害的腳本,HTTPNELY,防范COOOKIE被盜,文件上傳的時候,會有一些問題,簡單舉一個烏云上的一些案例,大部分上傳播中都出現問題。文件上傳關鍵字,文件后綴白名單,文件名注意多注意某些解釋漏洞還要多注意APACHE版本的解釋漏洞問題。在開發中,由于比較多的情況是上傳文后綴由客戶來配置,為了防配置錯誤后臺拿Shell等情況,所以很多的時候為了安全問題,隱藏文件真實路徑,這樣即使上傳了也不行。
任意文件下漏洞,就是以讀取的方式輸入文件內容,有可能存在任意文件下載漏洞。直接傳路徑型任意文件下載案例,可以看一下這些案例。然后數據庫儲存路徑型任意文件下載的案例,這個隱藏表單,用戶可以自己改隱藏表單的用戶名。另外文件下載注意的確保操作是在制定目錄下,這里也出現兩個路徑的問題。越權的問題,越權操作一般查看。烏云越權的案例是通過修改地址中的ID越權。越權問題的關鍵字,信息ID+用戶ID,如果想了解開發中要注意的安全問題,可以下載《動易安全開發手冊》,經過對web常見的漏洞分析,可以開出來這些,白盒測試,在代碼審計方面,很多大牛也發表過很多相關的技術文章,銀行中最深刻的是那篇《高級PHP應用程序漏洞審核技術》確實能夠快速得到找到常見漏洞,不要找更深層的漏洞必須了解程序。首先這是SQL注入代表審計關鍵字,SQL注入,搜索ORDER BY、IN,深入搜索select update delete,注意SQL拼接的地方,進入的變量是否有過慮處理。這里有案例,記事狗SQL注入的。Supesite是一套擁有獨立的內容管理功能,并集成了web2.0注入的程序。從代碼可以看出存在注入,利用,提交評論,程序即爆錯,可以利用爆錯來找到想要的數據,這是常用的工具,黑盒測試工具,也就是前面所介紹的的漏洞注意的關緊字和經驗所形成的條件反映,檢查一個功能是存在安全問題,通常都是通過非正常的方式提交參數,根據返回來的信息來判斷問題是否存在,firebug是一個很好的工具,它可以直觀第編輯HTML元素,繞過客戶客的驗證等,還可以通過查詢網絡請求,看是否存在漏洞。
這是一個烏云案例,再說一個Goohle Hacker,它在百度百科的介紹,很多人問我,我的google搜索是不是還有其他技巧,其他也是和上面百科介紹的差不多,也是常用。例如我說說騰訊的,會有微博的,可以這樣搜,按照這樣的程序搜索來。說一下漏洞庫的漏洞挖掘,這個容易理解,通過對漏洞庫德國學習和了解,可以挖掘更多同類型的漏洞,像烏云的漏洞庫。這是一個烏云的案例,支付的安全,還有密碼的修改,還有運城代表執行,在這里感謝烏云為互聯網安全研究者提供一個平臺。對新興的web放火墻可行性的一個分析,我不是防火墻方面的專家,看前面的防火墻的技巧,可以查看一下這種防火墻的可行性。各位看一下這些注入的地方,發現大部分注入的點都是Agax請求,一般來說,我們了解的漏洞掃描工具都是以爬蟲式的偏列頁面的地址。然后看一下注入案例中的web防火墻,安全傳統的web防火墻,只能針對規則攔截,但他不知道這個請求是否存在漏洞,什么漏洞?所一存在判斷失誤,所以我想能不能把這兩個結合。web有時候分析,各個參數是否存在漏洞,漏洞類型是什么?如何處理,如果是數字型的注入,可以轉換,當然這只是一個猜想,新興的web防火墻也可以結合各漏洞庫,識別應用程序。我今天就講到這里,內容有點多,可能講的比較簡單,大家可以看一下那個案例,可以學到一點東西。謝謝。
(附主持人點評)
非常感謝建亮,其實他是一個開發人員,他想的比較遠,另外在這里我想多說兩句,其實對web安全的一個誤解,大家可能覺得web安全是很廉價其實這是一個誤解,現在云的概念,還有網站,電子商務網站,越來越把數據往自己那個服務器上集中,就會導致web更重要。去年有一個很大的電子商務網站,授權的一個檢測,檢測的結果讓人也很尷尬,最大的問題是他的邊界WF都看不到,有漏洞就是不安全,沒有漏洞就是安全。但是我們當時從測電子商務網站發現問題很嚴重,進去滯后發現整個內部網絡是扁平的,其實這個漏洞是很容易發現的,無論是騰訊還是支付寶,大家都有安全團隊,但是這個漏洞還是存在,這個存在就是說是一個弱點,是很難解決的,應該把這個程序改變一下。因為web表面是一個漏洞,其實他是一個安全邊界的。剛才他建在一個web安全角度看安全,下一個是阿里巴巴的吳瀚清講網站離線安全分析漫談,但是他還沒到,現在請李陸演講重要行業信息系統安全風險分析。
推薦閱讀
7月4日消息,2012年中國計算機網絡安全年會在西安舉行,北京神州綠盟科技有限公司李陸發表了題為“重要行業信息系統安全風險分析”的演講。 北京神州綠盟科技有限公司李陸 以下為演講實錄: 大家好,我是來自綠盟科技>>>詳細閱讀
本文標題:吳建亮:web常見漏洞與挖掘技巧
地址:http://www.geekbao.cn/a/11/20120705/73574.html
網友點評
精彩導讀
科技快報
品牌展示