标签: 读取方式

    【搜狐IT消息】 7月4日消息，2012年中国计算机网络安全年会在西安举行，广东动易网络科技有限公司核心产品经理吴建亮在分论坛发表了“web常见漏洞与挖掘技巧”的主题演讲。     以下为演讲实录： 　　大家好，非常荣幸能够参与这个会议，我首先自我介绍一下，我是来自于广东动易，今天给大家讲web常见漏洞与挖掘技巧，主要有三个议题，几个比较常见的漏洞，这是产生SQL注入的主要原因是SQL语句的拼接，注入这里标志出来的是比较常见乐观，近一个月我在乌云上提交的漏洞的注入类型，大家具体可以看一下，大家对这个漏洞还是不够重视，或者对这个了解还不够深入，首先一个典型案例，万能密码，网站万能密码相信大家多不陌生，但有没有想到这万能密码会出现在某安全公司的内部网战上。第一次发现时，直接是这个，报告给给官方后，光放的处理方式是直加一个防火墙料事。防植与绕过从来就是一对天地，一个通用的防火墙很难针对任何一处都做到安全。只想跟厂商说一句话九，防注餐数化难倒真的南么难，代码过去一下。SQL注入的关键字，参数化查询，过虑（白名单），编码，绕过防注、过虑，MYSQL宽带节，二次注入，任何输入都是有害，容错处理，爆错注入，最小权限。 　　现在讲一下XSS/CSRF，可能各位公司不太注重这个，跨战脚本、跨战请求伪造，造成的的危害不可少看，在某此授权检测一团购网过程中，就是那种十月简单的团购网站，前台功能不多，基本都是静态或者是伪静态，无从入手。然后在这个网站里发布了一个这个脚本。数分钟过后，脚本返回了某管理员的COOKIE信息，后台路径居然也记录在，后面就顺利了，直接欺骗进入了后台，然后就直接可以拿到了。XSS/CSRF关键字，编码，不需要支持HTML的地方编码输入，过虑，有危害的脚本，HTTPNELY，防范COOOKIE被盗，文件上传的时候，会有一些问题，简单举一个乌云上的一些案例，大部分上传播中都出现问题。文件上传关键字，文件后缀白名单，文件名注意多注意某些解释漏洞还要多注意APACHE版本的解释漏洞问题。在开发中，由于比较多的情况是上传文后缀由客户来配置，为了防配置错误后台拿Shell等情况，所以很多的时候为了安全问题，隐藏文件真实路径，这样即使上传了也不行。 　　任意文件下漏洞，就是以读取的方式输入文件内容，有可能存在任意文件下载漏洞。直接传路径型任意文件下载案例，可以看一下这些案例。然后数据库储存路径型任意文件下载的案例，这个隐藏表单，用户可以自己改隐藏表单的用户名。另外文件下载注意的确保操作是在制定目录下，这里也出现两个路径的问题。越权的问题，越权操作一般查看。乌云越权的案例是通过修改地址中的ID越权。越权问题的关键字，信息ID+用户ID，如果想了解开发中要注意的安全问题，可以下载《动易安全开发手册》，经过对web常见的漏洞分析，可以开出来这些，白盒测试，在代码审计方面，很多大牛也发表过很多相关的技术文章，银行中最深刻的是那篇《高级PHP应用程序漏洞审核技术》确实能够快速得到找到常见漏洞，不要找更深层的漏洞必须了解程序。首先这是SQL注入代表审计关键字，SQL注入，搜索ORDER BY、IN，深入搜索select update delete，注意SQL拼接的地方，进入的变量是否有过虑处理。这里有案例，记事狗SQL注入的。Supesite是一套拥有独立的内容管理功能，并集成了web2.0注入的程序。从代码可以看出存在注入，利用，提交评论，程序即爆错，可以利用爆错来找到想要的数据，这是常用的工具，黑盒测试工具，也就是前面所介绍的的漏洞注意的关紧字和经验所形成的条件反映，检查一个功能是存在安全问题，通常都是通过非正常的方式提交参数，根据返回来的信息来判断问题是否存在，firebug是一个很好的工具，它可以直观第编辑HTML元素，绕过客户客的验证等，还可以通过查询网络请求，看是否存在漏洞。 　　这是一个乌云案例，再说一个Goohle Hacker，它在百度百科的介绍，很多人问我，我的google搜索是不是还有其他技巧，其他也是和上面百科介绍的差不多，也是常用。例如我说说腾讯的，会有微博的，可以这样搜，按照这样的程序搜索来。说一下漏洞库的漏洞挖掘，这个容易理解，通过对漏洞库德国学习和了解，可以挖掘更多同类型的漏洞，像乌云的漏洞库。这是一个乌云的案例，支付的安全，还有密码的修改，还有运城代表执行，在这里感谢乌云为互联网安全研究者提供一个平台。对新兴的web放火墙可行性的一个分析，我不是防火墙方面的专家，看前面的防火墙的技巧，可以查看一下这种防火墙的可行性。各位看一下这些注入的地方，发现大部分注入的点都是Agax请求，一般来说，我们了解的漏洞扫描工具都是以爬虫式的偏列页面的地址。然后看一下注入案例中的web防火墙，安全传统的web防火墙，只能针对规则拦截，但他不知道这个请求是否存在漏洞，什么漏洞？所一存在判断失误，所以我想能不能把这两个结合。web有时候分析，各个参数是否存在漏洞，漏洞类型是什么？如何处理，如果是数字型的注入，可以转换，当然这只是一个猜想，新兴的web防火墙也可以结合各漏洞库，识别应用程序。我今天就讲到这里，内容有点多，可能讲的比较简单，大家可以看一下那个案例，可以学到一点东西。谢谢。     （附主持人点评）     非常感谢建亮，其实他是一个开发人员，他想的比较远，另外在这里我想多说两句，其实对web安全的一个误解，大家可能觉得web安全是很廉价其实这是一个误解，现在云的概念，还有网站，电子商务网站，越来越把数据往自己那个服务器上集中，就会导致web更重要。去年有一个很大的电子商务网站，授权的一个检测，检测的结果让人也很尴尬，最大的问题是他的边界WF都看不到，有漏洞就是不安全，没有漏洞就是安全。但是我们当时从测电子商务网站发现问题很严重，进去滞后发现整个内部网络是扁平的，其实这个漏洞是很容易发现的，无论是腾讯还是支付宝，大家都有安全团队，但是这个漏洞还是存在，这个存在就是说是一个弱点，是很难解决的，应该把这个程序改变一下。因为web表面是一个漏洞，其实他是一个安全边界的。刚才他建在一个web安全角度看安全，下一个是阿里巴巴的吴瀚清讲网站离线安全分析漫谈，但是他还没到，现在请李陆演讲重要行业信息系统安全风险分析。 （根据专家现场演讲整理）