WEB應用程序安全培訓材料

1、Web Application Security Training內(nèi)容提要 遠程攻擊/滲透基礎 Web Application Security Issues Web 1.0和WEB 2.0應用程序攻擊手段對比 總結(jié) Web應用安全展望 相關(guān)資源北京郵電大學 信息安全中心 黃瑋漏洞利用是攻擊/滲透的核心業(yè)務邏輯缺陷程序?qū)崿F(xiàn)技術(shù)缺陷ApacheIISOracle/SQL ServerSquidTomcat / ResinWindows*nixRouterFirewall / IDS基基礎礎平平臺臺北京郵電大學 信息安全中心 黃瑋Web應用程序安全模型服務器端操作系統(tǒng)Web服務沙盒模型HTTP/H

2、TTPS文件系統(tǒng)注冊表網(wǎng)絡內(nèi)存服務器端支撐服務數(shù)據(jù)庫服務目錄服務Mail服務瀏覽器插件沙盒模型PDFFlashQuickTimeHTTP/HTTPS北京郵電大學 信息安全中心 黃瑋我們需要掌握什么 計算機網(wǎng)絡知識、網(wǎng)絡編程能力 工具論 & 方法論 自動化掃描工具的優(yōu)勢和不足o優(yōu)勢：通用性高、節(jié)省測試時間、保證測試的覆蓋率o不足：針對性不強、誤檢率通常較高、容易觸發(fā)安全設備（防火墻、IDS等）的報警 手工測試的優(yōu)勢和不足o優(yōu)勢：針對性強、準確性高、欺騙性更強o不足：檢測效率低、費時費力北京郵電大學 信息安全中心 黃瑋需要掌握的基礎知識 掌握至少一門網(wǎng)絡編程語言oC/C+/Java/C#/

3、Perl/Python 熟悉Web應用的通信基礎HTTP協(xié)議 熟悉至少一種Web應用的開發(fā)技術(shù)，了解多種Web應用的開發(fā)技術(shù)oMS系：ASP/.NEToSun系: Java Web開發(fā)技術(shù) JSP J2EE：Struts、WebWork、Spring、EJB。oLAMP：Linux+Apache+MySQL+PHPoRoR：Ruby on RailsoCGI、Perl、Python。北京郵電大學 信息安全中心 黃瑋進一步需要掌握的知識 掌握Web應用程序漏洞的分類、成因及漏洞挖掘和利用方法 熟練使用一種或多種Web應用漏洞測試工具，掌握Web應用漏洞測試的方法 熟悉至少一種數(shù)據(jù)庫oSQLSer

4、ver / MySQL / Oracle / Access / DB2 / PostgreSQLo默認用戶名口令、存儲過程、常見配置缺陷 其他常見的網(wǎng)絡服務的漏洞挖掘和利用方法oFTPoMailoP2Po流媒體服務/視頻點播、直播服務o。北京郵電大學 信息安全中心 黃瑋經(jīng)過學習應該達到的基本目標 熟練使用各種搜索引擎o不僅僅是Google 了解尋找已公開漏洞信息的方法，對常見漏洞做到了然于胸o微軟安全公告/CVE公告/各大軟件廠商的bugtraq。 可以根據(jù)漏洞檢測和利用的需要快速編寫出合格的網(wǎng)絡程序 Hack/Exploit Tools Collectiono突破服務器端沙盒模型的攻擊是最有

5、效和最直接的攻擊o其他攻擊方法一般需要比較高的構(gòu)造技巧和設計藝術(shù)，很多時候攻擊的成功都是結(jié)合社會工程學，利用被攻擊者安全意識的薄弱性北京郵電大學 信息安全中心 黃瑋建議 重點突出，全面開花oWeb應用漏洞僅僅是我們關(guān)注的一個主要方面，但不能局限在Web應用的漏洞o系統(tǒng)級漏洞和網(wǎng)絡基礎設施的漏洞很少，但一旦被成功利用，其效果是最好的！o所以大家需要儲備大量的漏洞利用腳本和工具，在遇到不同的網(wǎng)絡環(huán)境、操作系統(tǒng)、開放的服務時能夠做到有備無患 在攻與守的過程中提高實戰(zhàn)的能力o最好的學習攻擊和滲透的方法是自己搭建實驗環(huán)境，進行模擬攻擊o所以建議大家可以以小組為單位，每2組共同完成一次攻防實驗。2組分別扮

6、演紅軍和藍軍（紅軍扮演攻擊者，藍軍負責環(huán)境搭建和防守） 嚴格遵循不作惡原則o禁止在互禁止在互聯(lián)網(wǎng)環(huán)境下進行攻防實驗聯(lián)網(wǎng)環(huán)境下進行攻防實驗北京郵電大學 信息安全中心 黃瑋參考書目 信息安全實驗指導 網(wǎng)絡安全評估 黑客大曝光系列 其他網(wǎng)絡攻防類書籍 中文書主要用于掌握理論基礎，更多的知識需要在實踐中學習，要善于在實驗中總結(jié)和提高北京郵電大學 信息安全中心 黃瑋接下來。 Web Application Security ISSUESoWeb應用程序漏洞成因分類o漏洞示例和描述o一些漏洞利用的演示o漏洞的防御和解決方法 Web 1.0和WEB 2.0應用程序攻擊手段對比北京郵電大學 信息安全中心 黃瑋

7、北京郵電大學 信息安全中心 黃瑋輸入Web應用程序進入后臺平臺應用程序服務器操作系統(tǒng)網(wǎng)絡輸出Web應用程序服務模型北京郵電大學 信息安全中心 黃瑋輸入Web應用程序進入后臺平臺應用程序服務器操作系統(tǒng)網(wǎng)絡輸出輸入有關(guān)的安全問題北京郵電大學 信息安全中心 黃瑋1.未驗證的用戶輸入-示例 設計輸入o./ViewServlet?url=http:/backendhost/images/bg.gif 惡意輸入o./ViewServlet?url=http:/weblogic/consoleo./ViewServlet?url=file:/etc/passwd 通過這個簡單的應用程序可以間接實現(xiàn)文件枚舉和

8、后臺程序掃描北京郵電大學 信息安全中心 黃瑋1.未驗證的用戶輸入-描述(1) 攻擊者可以篡改HTTP request的任何一個部分ourlo請求字符串oHTTP頭oCookieso表單域o隱藏域北京郵電大學 信息安全中心 黃瑋1.未驗證的用戶輸入-描述(2) 常見的輸入篡改攻擊包括：o強制瀏覽o命令注入o跨站點腳本攻擊o緩沖區(qū)溢出攻擊o格式化字符串攻擊oSQL注入oCookie毒化o隱藏域控制 可能的原因o只在客戶端進行輸入驗證o過濾時未進行規(guī)范化 導致其他的漏洞北京郵電大學 信息安全中心 黃瑋1.未驗證的用戶輸入-描述(3)北京郵電大學 信息安全中心 黃瑋1.未驗證的用戶輸入-解決方案 所有

9、的用戶輸入需要在服務器端進行集中的統(tǒng)一驗證o請求參數(shù)oCookiesoHTTP請求頭 請求參數(shù)需要嚴格的驗證其類型o數(shù)據(jù)類型（string, integer, real, etc）o最小和最大長度o是否允許nullo參數(shù)是否是必需的o數(shù)字的取值范圍o特定模式（正則表達式） 代碼復查 不要“濫用”隱藏域o存儲在Session中或從每次請求中獲取參數(shù)值北京郵電大學 信息安全中心 黃瑋2.緩沖區(qū)溢出 一般情況下，采用J2EE架構(gòu)的Web應用程序不存在緩沖區(qū)溢出漏洞 描述o應用程序的緩沖區(qū)中存在過量的輸入數(shù)據(jù)，導致惡意代碼被執(zhí)行oJava應用程序中不存在緩沖區(qū)溢出風險？ OutOfMemoryErro

10、r 后臺應用系統(tǒng) 本地代碼 解決措施o避免使用本地代碼北京郵電大學 信息安全中心 黃瑋輸入Web應用程序進入后臺平臺應用程序服務器操作系統(tǒng)網(wǎng)絡輸出后臺相關(guān)的安全問題北京郵電大學 信息安全中心 黃瑋3.注入缺陷-示例 登錄模塊使用了如下的SQL查詢語句oselect * from users where user= + username + and password= + hashedPassword + 很容易被以下的用戶輸入破解登錄功能ousername: or 1=1opassword:任何可以通過驗證規(guī)則的密碼 拼接后形成的SQL查詢語句oselect * from users wher

11、e user=admin or 1=1 and password=secret北京郵電大學 信息安全中心 黃瑋3.注入缺陷-描述 在任何存在解釋器的地方都可能存在o腳本語言，例如Perl，Python和JavaScriptoShell腳本語言（執(zhí)行系統(tǒng)應用程序）o通過系統(tǒng)調(diào)用訪問操作系統(tǒng)o數(shù)據(jù)庫系統(tǒng)：SQL注入o目錄遍歷（e.g. ././etc/passwd） 典型缺陷oRuntime.exec()o拼接字符串的SQLo文件輸入和輸出流操作北京郵電大學 信息安全中心 黃瑋3.注入缺陷-解決方案 在任何時候避免直接使用外部的解釋器，而使用編程語言提供的API庫o避免使用Runtime.exec

12、()，通過JavaMail API來發(fā)郵件 在將數(shù)據(jù)發(fā)送給后臺程序時對數(shù)據(jù)進行編碼oSQL語句中的單引號oLDAP語句中的逗號，括號等 更好的解決辦法：使用JDBC驅(qū)動的PreparedStatements（以Java為例） 以受限制的系統(tǒng)權(quán)限運行Web應用程序 所有的外部調(diào)用的輸出、返回代碼值和錯誤代碼值都需要檢查北京郵電大學 信息安全中心 黃瑋輸入Web應用程序進入后臺平臺應用程序服務器操作系統(tǒng)網(wǎng)絡輸出輸出相關(guān)的安全問題北京郵電大學 信息安全中心 黃瑋4.跨站點腳本(XSS)-示例 Web應用程序直接將請求中的參數(shù)“回顯”在用戶的瀏覽器中 URL中請求參數(shù)的回顯o正常的URL: http:

13、//victim.jsp?kind=simpleo被注入JS代碼后的URL:/victim.jsp?kind=simple name=kindalert(test)body%20onload=alert(IbmIsNotPerfect);location.replace(http:/);%20 x=en_USo截圖北京郵電大學 信息安全中心 黃瑋4.著名公司的XSS漏洞 TOMoXSS演示代碼http:/ 信息安全中心 黃瑋4.著名公司的XSS漏洞 SogouoXSS演示代碼http:/ 信息安全中心 黃瑋4.跨站點腳本(XSS)-描述攻擊者

14、將惡意腳本代碼發(fā)送到終端用戶的瀏覽器oWeb應用程序的輸出直接回顯到用戶的瀏覽器而未經(jīng)過檢查o瀏覽器信任Web應用程序的代碼 惡意腳本可以o訪問cookie，會話令牌，或其他通過用戶瀏覽器獲得的敏感信息o重寫HTML頁面2種基本策略o持久化的（可自動觸發(fā)），例如惡意代碼存儲到數(shù)據(jù)庫中，通過論壇發(fā)帖，訪客留言等o反射型（誘騙點擊型），例如錯誤消息，搜索引擎危害示例o會話劫持o釣魚攻擊oDDoS攻擊o遠程信息獲取，如端口掃描、用戶瀏覽歷史信息枚舉北京郵電大學 信息安全中心 黃瑋4.跨站點腳本(XSS)-解決方案 輸入校驗 編碼所有的展現(xiàn)層輸出（HTMLEncode或JSTL的c:out、Strut

15、s的標簽等） 對輸入進行長度限制或截短 如果你的應用程序需要顯示用戶提交HTML內(nèi)容，你應該過濾標簽，。，要確保用戶不能提交惡意腳本代碼 上面的辦法是遠遠不夠的，可以參考MySpace的Samy蠕蟲的攻擊代碼>(())##&北京郵電大學 信息安全中心 黃瑋5.不恰當?shù)腻e誤處理-示例 錯誤的用戶名 錯誤的用戶口令北京郵電大學 信息安全中心 黃瑋5.不恰當?shù)腻e誤處理-描述 程序的錯誤消息會暴露程序的一些實現(xiàn)細節(jié) 示例o堆棧調(diào)試信息，數(shù)據(jù)庫錯誤消息，錯誤代碼oJSP編譯錯誤信息包含物理路徑信息o不一致的錯誤消息（例如拒絕訪

16、問或沒有找到）o錯誤導致的服務器宕機（DoS） 用戶錯誤輸入回顯到頁面時沒有進行過濾或轉(zhuǎn)義導致的XSS攻擊北京郵電大學 信息安全中心 黃瑋5.不恰當?shù)腻e誤處理-解決方案 定義一套清晰和一致的錯誤處理機制o簡明扼要的易于用戶理解的錯誤消息（例如，不同的錯誤消息對應一個錯誤代碼id）o為系統(tǒng)管理員記錄重要信息（關(guān)聯(lián)錯誤代碼id）o不要暴露出任何對攻擊者有用的信息（程序的調(diào)試信息和異常時堆棧信息等） 當需要顯示用戶的錯誤輸入時，一定要編碼（過濾或轉(zhuǎn)義）用戶的錯誤輸入 部署產(chǎn)品之前要預編譯JSP代碼 修改默認的錯誤頁面（404，401等） 執(zhí)行代碼復查北京郵電大學 信息安全中心 黃瑋輸入Web應用程序

17、進入后臺平臺應用程序服務器操作系統(tǒng)網(wǎng)絡輸出Web應用程序設計實現(xiàn)的安全問題北京郵電大學 信息安全中心 黃瑋6.脆弱的訪問控制-示例 文檔/軟件的下載鏈接地址保護o/docs/1.doco/docs/download.do?id=1 Web應用程序的后臺管理入口地址o/admino/console/login 后臺操作未執(zhí)行用戶身份認證o/users/deleteUser.do?userid=001o/us

18、ers/addUser.do?userid=001北京郵電大學 信息安全中心 黃瑋6.脆弱的訪問控制-描述 內(nèi)容或程序功能未能有效的保護以限制只允許合法用戶的訪問 典型案例o不安全的ido強制瀏覽（直接在瀏覽器的地址欄中輸入URL）o目錄遍歷o文件訪問權(quán)限o客戶端緩存 可能的原因o認證只發(fā)生在用戶登錄時o僅對URL進行鑒權(quán)，而不是對內(nèi)容進行鑒權(quán)o未采取集中式的授權(quán)管理，而是分散授權(quán)管理北京郵電大學 信息安全中心 黃瑋6.脆弱的訪問控制-解決方案 對每個需要保護的請求進行檢查，不僅是在用戶第一次請求時進行檢查 避免使用自己開發(fā)的訪問控制，而是使用J2EE提供的CMS或者其他的一些安全框架，如Ac

19、egio采用聲明式而非硬編碼的訪問控制o集中化訪問控制而非分散訪問控制 注意：J2EE容器默認允許所有URL的訪問 （可選）擴展基于實例的訪問控制 防止客戶端緩存重要內(nèi)容：設置HTTP請求頭和meta標簽 在服務器端使用操作系統(tǒng)提供的訪問控制保護文件的未經(jīng)授權(quán)的訪問北京郵電大學 信息安全中心 黃瑋7.脆弱認證和會話管理-示例 未采用Session cookie，而是在URL中編碼已通過認證的用戶名和密碼ohttps:/host/admin/list.jsp?password=0c6ccf51b817885e&username=11335984ea80882d 上面的這個URL很容易被一

20、次XSS攻擊截獲到北京郵電大學 信息安全中心 黃瑋7.脆弱認證和會話管理-描述 脆弱的認證和會話管理 典型案例o簡單易猜解的用戶名和用戶口令o存在缺陷的身份管理功能，例如密碼修改功能，忘記密碼和賬戶更新功能o主動會話劫持，假冒已通過身份認證的合法用戶 HTTP協(xié)議是無狀態(tài)協(xié)議，因而沒有標準的會話管理o使用jsessionid的URL重寫o（Session） cookies北京郵電大學 信息安全中心 黃瑋7.脆弱認證和會話管理-解決方案 使用強認證機制o密碼策略（密碼強度，使用/更改/存儲控制）o安全傳輸（SSL）o小心實現(xiàn)“找回密碼”功能o移除默認用戶 Session機制需要注意的問題oSes

21、sion cookie必須是“安全”的oSession id必須是“不可預測”的 盡量使用應用程序服務器提供的安全機制，而不是實現(xiàn)自己的安全機制北京郵電大學 信息安全中心 黃瑋輸入Web應用程序進入后臺平臺應用程序服務器操作系統(tǒng)網(wǎng)絡輸出基礎平臺的安全問題北京郵電大學 信息安全中心 黃瑋8.不安全的存儲-示例 日常備份策略o程序的備份采用可擦寫的設備，如移動硬盤、U盤等o使用UltraEdit等編輯器編輯文件后未刪除編輯器自動生成的.bak備份文件，導致源代碼泄露 數(shù)據(jù)未加密存儲o用戶口令等機密數(shù)據(jù)以明文形式存儲在數(shù)據(jù)庫中北京郵電大學 信息安全中心 黃瑋8.不安全的存儲-描述 敏感/重要的數(shù)據(jù)應

22、該采取安全的存儲方式 典型案例o沒有加密存儲關(guān)鍵數(shù)據(jù)o密鑰、證書和密碼等采用了不安全的存儲介質(zhì)o弱隨機數(shù)字發(fā)生器o弱加密算法o未采用安全的密鑰交換機制北京郵電大學 信息安全中心 黃瑋8.不安全的存儲-解決方案 僅存儲那些必須存儲的數(shù)據(jù)o要求用戶每次重新輸入o存儲Hash值，而不是加密值 不允許對后臺應用程序的直接訪問o數(shù)據(jù)庫訪問o文件系統(tǒng)訪問 不要在Web應用程序服務器所在的根目錄存儲重要文件 不要使用自己的加密算法，而是使用JCE（Java Cryptography Extension）北京郵電大學 信息安全中心 黃瑋9.不安全的配置管理-描述 Web應用程序的運行環(huán)境包括o應用程序服務器（

23、如Tomcat、WebSphere和WebLogic等）和Web服務器（如IIS、Apache等）o后臺系統(tǒng)（數(shù)據(jù)庫服務器、目錄服務器、郵件服務器等）o操作系統(tǒng)和基礎網(wǎng)絡架構(gòu) 最常見的配置漏洞o未及時更新安全補丁（操作系統(tǒng)、應用程序等）o不必要的默認、備份、示例文件o開放具有管理權(quán)限的服務o默認的用戶賬戶和默認口令o配置不當?shù)腟SL證書 開發(fā)者和管理者（部署人員）之間缺乏溝通北京郵電大學 信息安全中心 黃瑋9.不安全的配置管理-解決方案 為每一個服務器配置創(chuàng)建一個安全基準o配置所有的安全機制（補丁更新策略、訪問控制策略、密碼策略等）o關(guān)閉所有不使用的服務o創(chuàng)建用戶角色、權(quán)限和賬戶，包括禁用所有

24、默認賬戶或修改默認口令o日志和警告系統(tǒng) （半）自動化配置過程o使用項目批量構(gòu)建工具（如Ant）和Ghost 保持更新o保持Web應用程序的運行環(huán)境的安全補丁的更新o更新安全配置基準o定期執(zhí)行內(nèi)部和外部的漏洞掃描工具北京郵電大學 信息安全中心 黃瑋10.拒絕服務攻擊-示例 應用程序從后臺的內(nèi)容管理系統(tǒng)獲取了大量的信息 一次前臺的請求導致了對后臺數(shù)據(jù)庫的多次操作請求北京郵電大學 信息安全中心 黃瑋10.拒絕服務攻擊-描述Web應用程序非常容易遭受拒絕服務攻擊，這是由于Web應用程序本身無法區(qū)分正常的請求通信和惡意的通信數(shù)據(jù)容易產(chǎn)生大量的攻擊負載典型案例o有限的資源特別容易成為DoS攻擊的目標 帶寬

25、 數(shù)據(jù)庫連接 磁盤容量 CPU資源 內(nèi)存 線程o特定于用戶的DoS 用戶并發(fā)訪問控制鎖 用戶密碼更改o未處理的程序異常北京郵電大學 信息安全中心 黃瑋10.拒絕服務攻擊-解決方案 避免可能會導致資源密集性消耗的請求oCPU：頻繁的請求，JDBC連接o內(nèi)存或磁盤容量：大數(shù)據(jù)量的POST和過量的HttpSession數(shù)據(jù)o匿名用戶訪問的限制 在大負載的情況下測試應用程序的性能 利用緩存服務器或限制數(shù)據(jù)庫連接 小心使用“鎖”機制北京郵電大學 信息安全中心 黃瑋輸入Web應用程序進入后臺平臺應用程序服務器操作系統(tǒng)網(wǎng)絡輸出又是輸入相關(guān)的問題北京郵電大學 信息安全中心 黃瑋11.跨站點請求偽造-示例 利用

26、站點已驗證通過的用戶會話（無需獲取用戶的登錄憑證）o/addFriend.do?friend= 當一個已經(jīng)登錄的用戶打開一個包含有XSS攻擊代碼的頁面（或者通過一個隱藏的iframe），并且該XSS代碼執(zhí)行上述的URL請求，則該用戶就會執(zhí)行addFriend這個操作 結(jié)果：用戶在不知情的情況下添加了攻擊者作為自己的好友 教育人博客CSRF漏洞演示北京郵電大學 信息安全中心 黃瑋11.跨站點請求偽造-描述 從名稱上來看類似跨站點攻擊，但實質(zhì)上完全不同：oXSS是濫用用戶對Web站點的信任oCSRF是濫用Web站點對其授權(quán)用戶的信任 偽裝成來自受

27、信任站點的合法用戶o有時也被稱為會話劫持攻擊 典型案例o誘騙用戶訪問一個圖片源標記為惡意請求鏈接的頁面，從而觸發(fā)一個異步的惡意遠程調(diào)用o接受受信任并且通過驗證的用戶的輸入但并不檢查數(shù)據(jù)的來源地址北京郵電大學 信息安全中心 黃瑋11.跨站點請求偽造-解決方案 使用GET方法進行查詢操作o方便用戶加入收藏夾o可以通過電子郵件的方式發(fā)送鏈接地址給其他用戶 使用POST方法進行更新操作o不能被用戶加入收藏夾或通過電子郵件告知o不能被隨意的重新提交o增加XSS攻擊的難度 一些框架支持這些差異oStruts默認不區(qū)分GET和POST請求oSpring Web MVC支持該特性：SimpleFormCont

28、roller，WebContentInterceptor 在鏈接中使用時間戳和加密（防止簡單重放） 在關(guān)鍵應用處使用一次性口令（圖片驗證碼等）北京郵電大學 信息安全中心 黃瑋擴展內(nèi)容 獨立于特定開發(fā)語言的漏洞oPHP - RFI (Remote File Inclusion) 關(guān)于網(wǎng)頁木馬o必須利用瀏覽器沙盒模型的漏洞 Web 2.0安全o不僅是AJAXo一切只是剛剛開始。北京郵電大學 信息安全中心 黃瑋北京郵電大學 信息安全中心 黃瑋發(fā)現(xiàn)、枚舉和參數(shù)控制Web 1.0Web 2.0應用程序和應用服務器平臺指紋識別AJAX框架指紋識別（通過包含的.js文件）應用程序功能探索通過分析框架腳本，發(fā)

29、掘應用程序支持的方法確定“程序調(diào)用”的方法和標準框架指紋定義的“程序調(diào)用”方法Fuzz表單元素Fuzz（AJAX）方法控制隱藏域和GET參數(shù)控制對本地JS代理的調(diào)用控制上傳數(shù)據(jù)調(diào)用北京郵電大學 信息安全中心 黃瑋XSSWeb 1.0Web 2.0注入腳本到HTML文本注入腳本到JavaScript流注入腳本到HTML標記的屬性將腳本注入到即將寫入DOM中的XML或JSON樣式表腳本代碼注入破壞動態(tài)腳本節(jié)點的數(shù)組北京郵電大學 信息安全中心 黃瑋注入攻擊Web 1.0Web 2.0攻擊后臺數(shù)據(jù)查詢類協(xié)議 SQL LDAP XPATH/XQuery攻擊后臺數(shù)據(jù)查詢類協(xié)議 SQL LDAP XPATH/XQuery攻擊下行對象的序列化（在某種程度上類似XSS） JSON JavaScript Arrays北京郵電大學 信息安全中心 黃瑋CSRFWeb 1.0Web 2.0瀏覽器安全模型允許跨域的GET和POST請求 在某些情形下讀取響應更多的雙向通信方法兩種