热度 14
2012-7-20 17:58
1717 次阅读|
0 个评论
【搜狐IT消息】 7月4日消息,2012年中国计算机网络安全年会在西安举行,广东动易网络科技有限公司核心产品经理吴建亮在分论坛发表了“web常见漏洞与挖掘技巧”的主题演讲。 以下为演讲实录: 大家好,非常荣幸能够参与这个会议,我首先自我介绍一下,我是来自于广东动易,今天给大家讲web常见漏洞与挖掘技巧,主要有三个议题,几个比较常见的漏洞,这是产生SQL注入的主要原因是SQL语句的拼接,注入这里标志出来的是比较常见乐观,近一个月我在乌云上提交的漏洞的注入类型,大家具体可以看一下,大家对这个漏洞还是不够重视,或者对这个了解还不够深入,首先一个典型案例,万能密码,网站万能密码相信大家多不陌生,但有没有想到这万能密码会出现在某安全公司的内部网战上。第一次发现时,直接是这个,报告给给官方后,光放的处理方式是直加一个防火墙料事。防植与绕过从来就是一对天地,一个通用的防火墙很难针对任何一处都做到安全。只想跟厂商说一句话九,防注餐数化难倒真的南么难,代码过去一下。SQL注入的关键字,参数化查询,过虑(白名单),编码,绕过防注、过虑,MYSQL宽带节,二次注入,任何输入都是有害,容错处理,爆错注入,最小权限。 现在讲一下XSS/CSRF,可能各位公司不太注重这个,跨战脚本、跨战请求伪造,造成的的危害不可少看,在某此授权检测一团购网过程中,就是那种十月简单的团购网站,前台功能不多,基本都是静态或者是伪静态,无从入手。然后在这个网站里发布了一个这个脚本。数分钟过后,脚本返回了某管理员的COOKIE信息,后台路径居然也记录在,后面就顺利了,直接欺骗进入了后台,然后就直接可以拿到了。XSS/CSRF关键字,编码,不需要支持HTML的地方编码输入,过虑,有危害的脚本,HTTPNELY,防范COOOKIE被盗,文件上传的时候,会有一些问题,简单举一个乌云上的一些案例,大部分上传播中都出现问题。文件上传关键字,文件后缀白名单,文件名注意多注意某些解释漏洞还要多注意APACHE版本的解释漏洞问题。在开发中,由于比较多的情况是上传文后缀由客户来配置,为了防配置错误后台拿Shell等情况,所以很多的时候为了安全问题,隐藏文件真实路径,这样即使上传了也不行。 任意文件下漏洞,就是以读取的方式输入文件内容,有可能存在任意文件下载漏洞。直接传路径型任意文件下载案例,可以看一下这些案例。然后数据库储存路径型任意文件下载的案例,这个隐藏表单,用户可以自己改隐藏表单的用户名。另外文件下载注意的确保操作是在制定目录下,这里也出现两个路径的问题。越权的问题,越权操作一般查看。乌云越权的案例是通过修改地址中的ID越权。越权问题的关键字,信息ID+用户ID,如果想了解开发中要注意的安全问题,可以下载《动易安全开发手册》,经过对web常见的漏洞分析,可以开出来这些,白盒测试,在代码审计方面,很多大牛也发表过很多相关的技术文章,银行中最深刻的是那篇《高级PHP应用程序漏洞审核技术》确实能够快速得到找到常见漏洞,不要找更深层的漏洞必须了解程序。首先这是SQL注入代表审计关键字,SQL注入,搜索ORDER BY、IN,深入搜索select update delete,注意SQL拼接的地方,进入的变量是否有过虑处理。这里有案例,记事狗SQL注入的。Supesite是一套拥有独立的内容管理功能,并集成了web2.0注入的程序。从代码可以看出存在注入,利用,提交评论,程序即爆错,可以利用爆错来找到想要的数据,这是常用的工具,黑盒测试工具,也就是前面所介绍的的漏洞注意的关紧字和经验所形成的条件反映,检查一个功能是存在安全问题,通常都是通过非正常的方式提交参数,根据返回来的信息来判断问题是否存在,firebug是一个很好的工具,它可以直观第编辑HTML元素,绕过客户客的验证等,还可以通过查询网络请求,看是否存在漏洞。 这是一个乌云案例,再说一个Goohle Hacker,它在百度百科的介绍,很多人问我,我的google搜索是不是还有其他技巧,其他也是和上面百科介绍的差不多,也是常用。例如我说说腾讯的,会有微博的,可以这样搜,按照这样的程序搜索来。说一下漏洞库的漏洞挖掘,这个容易理解,通过对漏洞库德国学习和了解,可以挖掘更多同类型的漏洞,像乌云的漏洞库。这是一个乌云的案例,支付的安全,还有密码的修改,还有运城代表执行,在这里感谢乌云为互联网安全研究者提供一个平台。对新兴的web放火墙可行性的一个分析,我不是防火墙方面的专家,看前面的防火墙的技巧,可以查看一下这种防火墙的可行性。各位看一下这些注入的地方,发现大部分注入的点都是Agax请求,一般来说,我们了解的漏洞扫描工具都是以爬虫式的偏列页面的地址。然后看一下注入案例中的web防火墙,安全传统的web防火墙,只能针对规则拦截,但他不知道这个请求是否存在漏洞,什么漏洞?所一存在判断失误,所以我想能不能把这两个结合。web有时候分析,各个参数是否存在漏洞,漏洞类型是什么?如何处理,如果是数字型的注入,可以转换,当然这只是一个猜想,新兴的web防火墙也可以结合各漏洞库,识别应用程序。我今天就讲到这里,内容有点多,可能讲的比较简单,大家可以看一下那个案例,可以学到一点东西。谢谢。 (附主持人点评) 非常感谢建亮,其实他是一个开发人员,他想的比较远,另外在这里我想多说两句,其实对web安全的一个误解,大家可能觉得web安全是很廉价其实这是一个误解,现在云的概念,还有网站,电子商务网站,越来越把数据往自己那个服务器上集中,就会导致web更重要。去年有一个很大的电子商务网站,授权的一个检测,检测的结果让人也很尴尬,最大的问题是他的边界WF都看不到,有漏洞就是不安全,没有漏洞就是安全。但是我们当时从测电子商务网站发现问题很严重,进去滞后发现整个内部网络是扁平的,其实这个漏洞是很容易发现的,无论是腾讯还是支付宝,大家都有安全团队,但是这个漏洞还是存在,这个存在就是说是一个弱点,是很难解决的,应该把这个程序改变一下。因为web表面是一个漏洞,其实他是一个安全边界的。刚才他建在一个web安全角度看安全,下一个是阿里巴巴的吴瀚清讲网站离线安全分析漫谈,但是他还没到,现在请李陆演讲重要行业信息系统安全风险分析。 (根据专家现场演讲整理)