web產(chǎn)品安全典型案例與測(cè)試實(shí)戰(zhàn)分享

Web產(chǎn)品安全典型案例與測(cè)試實(shí)戰(zhàn)分享測(cè)試技術(shù)部李曉南安徽科大訊飛信息科技股份有限公司

AnHuiUSTCiFlyTekCO.,LTD.常見安全漏洞安全測(cè)試流程123典型案例頭疼的非法文件上傳

泛濫的服務(wù)配置錯(cuò)誤SDL&成功案例

五種安全漏洞知識(shí)介紹

現(xiàn)有安全測(cè)試流程介紹主要內(nèi)容常見安全漏洞安全測(cè)試流程123典型案例

頭疼的非法文件上傳泛濫的服務(wù)配置錯(cuò)誤

SDL&成功案例

五種安全漏洞知識(shí)介紹

現(xiàn)有安全測(cè)試流程介紹主要內(nèi)容問題描述又有任務(wù)了！又被掛馬了??！那就先掃掃馬兒吧！?。】吹竭@個(gè)郵件你會(huì)想到什么？問題描述原因分析果然——“萬馬奔騰”原因分析原因分析你是那么壞原因分析城堡結(jié)構(gòu)圖：發(fā)生時(shí)間點(diǎn)：2012年5月可能進(jìn)城方式：SQL注入、文件上傳但是，木馬是怎么進(jìn)城的呢？原因分析尋找日志（無果）代碼掃描SQL注入（無果）尋找系統(tǒng)上傳點(diǎn)（無果）于是乎~原因分析原因分析但這僅僅是——猜想~忽然間~原因分析運(yùn)維人員定期對(duì)現(xiàn)網(wǎng)服務(wù)器進(jìn)行木馬掃描開發(fā)人員對(duì)代碼掃描中的安全隱患進(jìn)行修復(fù)項(xiàng)目組在應(yīng)用程序發(fā)布前進(jìn)行一輪安全性測(cè)試——結(jié)合《安全上線指標(biāo)》臨時(shí)解決方案問題描述該來的還是來了-陜西普通話站點(diǎn)又出問題了類似系統(tǒng)類似問題但這次沒有木馬問題描述前車之鑒——源頭一定要堵上源頭沒有堵上關(guān)鍵點(diǎn)沒有考慮全面沒有進(jìn)行系統(tǒng)化測(cè)試原因分析解決方案不離不棄——GoogleHacking解決方案解決方案峰回路轉(zhuǎn)解決方案【安全漏洞預(yù)警2013-11-26】暢言教育網(wǎng)存在高危安全漏洞，用戶可上傳木馬至服務(wù)器【安全漏洞預(yù)警2013-12-23】國(guó)家普通話水平測(cè)試信息管理系統(tǒng)“”存在任意文件上傳漏洞，導(dǎo)致服務(wù)器可被掛馬【安全漏洞預(yù)警2014-01-02】安徽省工商聯(lián)統(tǒng)一會(huì)員數(shù)據(jù)庫(kù)服務(wù)器可被掛馬（也會(huì)影響到聯(lián)商在線）【安全漏洞預(yù)警2014-03-24】訊飛研究院的個(gè)性化語(yǔ)音社區(qū)存在上傳掛馬漏洞安全測(cè)試小組現(xiàn)網(wǎng)產(chǎn)品人工滲透結(jié)果2014073003：語(yǔ)音云官網(wǎng)存在文件上傳漏洞，可導(dǎo)致服務(wù)器被控制安全測(cè)試小組現(xiàn)網(wǎng)產(chǎn)品人工滲透結(jié)果2014081412：存在另一處文件上傳漏洞，可導(dǎo)致服務(wù)器被控制及網(wǎng)頁(yè)被篡改世界很大，我的眼里都是你世界很小，我的眼里只有你現(xiàn)狀站點(diǎn)入口一定要全部清楚站點(diǎn)一定不要遺漏安全測(cè)試文件上傳一定要嚴(yán)格控制客戶端、服務(wù)端均校驗(yàn)上傳文件的后綴名隨機(jī)重命名上傳的文件上傳目錄不開啟執(zhí)行權(quán)限建議網(wǎng)站備份你有嗎？問題描述目錄瀏覽你有嗎？問題描述Struts2、Discuz、Siteserver、ThinkSNS。。。你有嗎？問題描述安全測(cè)試小組現(xiàn)網(wǎng)產(chǎn)品人工滲透結(jié)果2014072301：訊飛官網(wǎng)存在服務(wù)器任意文件下載漏洞安全測(cè)試小組現(xiàn)網(wǎng)產(chǎn)品人工滲透結(jié)果2014080606：教育評(píng)價(jià)系統(tǒng)網(wǎng)站備份文件可下載安全測(cè)試小組現(xiàn)網(wǎng)產(chǎn)品人工滲透結(jié)果2014081108：教育評(píng)價(jià)系統(tǒng)網(wǎng)站存在目錄瀏覽漏洞安全測(cè)試小組現(xiàn)網(wǎng)產(chǎn)品人工滲透結(jié)果2014081310：語(yǔ)音云開放平臺(tái)Linux系統(tǒng)密碼文件曝露及程序物理目錄曝露安全測(cè)試小組現(xiàn)網(wǎng)產(chǎn)品人工滲透結(jié)果2014081411：語(yǔ)音云開放平臺(tái)SSO認(rèn)證存在默認(rèn)配置風(fēng)險(xiǎn)及敏感性信息曝露安全測(cè)試小組現(xiàn)網(wǎng)產(chǎn)品人工滲透結(jié)果2014082014：開心熊寶存在目錄瀏覽漏洞導(dǎo)致相關(guān)Webservice泄露【安全漏洞預(yù)警2013-11-18】科大訊飛招聘官網(wǎng)因使用SiteserverCMS3.4.3架構(gòu)，導(dǎo)致存在嚴(yán)重注入漏洞【安全測(cè)試團(tuán)隊(duì)漏洞公告】SiteserverCMS中后臺(tái)找回密碼功能模塊存在嚴(yán)重校驗(yàn)漏洞安全測(cè)試團(tuán)隊(duì)漏洞公告2013-11-1：apache+mod_cgid+php存在嚴(yán)重攻擊漏洞安全測(cè)試團(tuán)隊(duì)漏洞公告2013-11-18：SiteserverCMS3.6.3以下版本存在嚴(yán)重注入漏洞及XSS類漏洞【安全漏洞預(yù)警2014-03-24】智元網(wǎng)站后臺(tái)編輯器eWebEditor登錄密碼已經(jīng)曝露，請(qǐng)盡快修改【安全漏洞預(yù)警2014-03-24】智能語(yǔ)音分析系統(tǒng)因使用JBOSS的后臺(tái)，且配置不完善導(dǎo)致出現(xiàn)遠(yuǎn)程部署掛馬漏洞滿滿都是你?。?！問題描述占比>80%問題描述修復(fù)困難嗎？開發(fā)人員安全意識(shí)薄弱，代碼拷貝，組件濫用，沒有安全編碼規(guī)范，導(dǎo)致產(chǎn)品存在安全隱患運(yùn)維人員缺乏基礎(chǔ)安全配置導(dǎo)致安全問題，臨時(shí)版本隨意上線、系統(tǒng)和相關(guān)組件沒有定期更新，導(dǎo)致產(chǎn)品出現(xiàn)安全問題架構(gòu)設(shè)計(jì)時(shí)未充分考慮安全需求，架構(gòu)采取不安全的外部開源代碼、插件、CMS、論壇系統(tǒng)等，導(dǎo)致了產(chǎn)品存在安全缺陷Why？NO，其實(shí)你比我懂原因分析怎么辦？安全培訓(xùn)安全配置安全編碼上線標(biāo)準(zhǔn)安全評(píng)審安全測(cè)試解決方案解決方案解決方案解決方案-接口人組織負(fù)責(zé)人職責(zé)架構(gòu)團(tuán)隊(duì)張建華、王亞飛架構(gòu)設(shè)計(jì)充分考慮安全需求，安全技術(shù)組人員參與安全架構(gòu)設(shè)計(jì)。開發(fā)團(tuán)隊(duì)吳畏負(fù)責(zé)在部門內(nèi)推廣安全編碼規(guī)范，跟進(jìn)安全問題修復(fù)，保障安全問題修復(fù)率和修復(fù)時(shí)間。測(cè)試團(tuán)隊(duì)沈丹推廣安全測(cè)試流程和測(cè)試用例，落實(shí)安全測(cè)試。運(yùn)維團(tuán)隊(duì)劉永波、劉俊杰落實(shí)業(yè)務(wù)安全標(biāo)準(zhǔn)和業(yè)務(wù)上線安全流程。安全技術(shù)組曾暉提供全面的安全指導(dǎo)、核心產(chǎn)品安全檢測(cè)、產(chǎn)品安全巡檢。領(lǐng)導(dǎo)支持嚴(yán)峻、鐘錕、鄭乾明監(jiān)督指導(dǎo)各項(xiàng)安全工作落實(shí)情況。解決方案-接口人解決方案-成功案例時(shí)間7月20日8月15日業(yè)務(wù)站點(diǎn)數(shù)量173173完成掃描數(shù)量60173漏洞數(shù)量18204已修復(fù)漏洞數(shù)量4200站點(diǎn)關(guān)閉22項(xiàng)目組忽略22巡檢完成進(jìn)度30%100%漏洞修復(fù)進(jìn)度44%100%人工滲透情況8月11日業(yè)務(wù)站點(diǎn)數(shù)量12計(jì)劃完成人工滲透數(shù)量5漏洞數(shù)量4已修復(fù)漏洞數(shù)量3項(xiàng)目組忽略1人工滲透進(jìn)度20%漏洞修復(fù)進(jìn)度100%應(yīng)急響應(yīng)情況7月1日安全事件數(shù)量2漏洞修復(fù)進(jìn)度100%成功案例擴(kuò)大安全巡檢范圍加強(qiáng)人工滲透力度完善安全測(cè)試實(shí)驗(yàn)室補(bǔ)充安全測(cè)試接口人后期計(jì)劃請(qǐng)批評(píng)指正！謝批評(píng)指正！謝謝聆聽歡迎交流！謝謝聆聽歡迎交流！交流時(shí)間我們身邊的安全問題CSDN京東數(shù)據(jù)庫(kù)泄露酒店開房信息泄露。。。。我們身邊的安全問題我們身邊的安全問題網(wǎng)站打不開了網(wǎng)站首頁(yè)上多了一則小廣告網(wǎng)站被掛木馬了我的賬號(hào)密碼怎么失效了后臺(tái)管理系統(tǒng)被入侵了內(nèi)網(wǎng)被滲透了~~什么是Web安全呢Web安全分類常見安全漏洞安全測(cè)試流程123典型案例

頭疼的非法文件上傳

泛濫的服務(wù)配置錯(cuò)誤SDL&成功案例

五種安全漏洞知識(shí)介紹

現(xiàn)有安全測(cè)試流程介紹主要內(nèi)容IIIIIIIVSQL注入XSS漏洞目錄遍歷漏洞常見安全漏洞V文件上傳漏洞CSRF漏洞常見安全漏洞IIIIIISQL注入XSS漏洞目錄遍歷漏洞常見安全漏洞V文件上傳漏洞CSRF漏洞IV常見安全漏洞一個(gè)簡(jiǎn)單拓?fù)鋱D客戶端數(shù)據(jù)庫(kù)腳本引擎用戶想要查看newsid為91的新聞?wù)埱蠓祷?index.php?newsid=91請(qǐng)求返回獲取參數(shù)newsid的值為91，動(dòng)態(tài)構(gòu)造SQL語(yǔ)句：

Select*fromNEWSwherenewsid=91，向數(shù)據(jù)庫(kù)發(fā)起查詢請(qǐng)求在NEWS表中查詢newsid為91的所有記錄返回查詢到的所有記錄處理返回的所有記錄，如過濾和編碼特殊字符等，生成靜態(tài)網(wǎng)頁(yè)并返回給客戶端將網(wǎng)站返回的網(wǎng)頁(yè)展示給用戶動(dòng)態(tài)網(wǎng)頁(yè)如何生成？示例演示:9:8080/DVWA/vulnerabilities/sqli/思考提問:SQL注入漏洞的成因是什么?數(shù)據(jù)與代碼未嚴(yán)格分離；用戶提交的參數(shù)數(shù)據(jù)未做充分檢查過濾即被代入到SQL命令中，改變了原有SQL命令的“語(yǔ)義”，且成功被數(shù)據(jù)庫(kù)執(zhí)行。SQL注入漏洞的成因:SQL注入式怎樣形成的？漏洞描述很多應(yīng)用程序都使用數(shù)據(jù)庫(kù)來存儲(chǔ)信息。SQL命令就是前端應(yīng)用程序和后端數(shù)據(jù)庫(kù)之間的接口。攻擊者可利用應(yīng)用程序根據(jù)提交的數(shù)據(jù)動(dòng)態(tài)生成SQL命令的特性，在URL、表單域，或者其他的輸入域中輸入自己的SQL命令，改變SQL命令的操作，將被修改的SQL命令注入到后端數(shù)據(jù)庫(kù)引擎執(zhí)行。Stringquery="SELECTidFROMuser_tableWHERE"+"username='"+username+"'AND"+"password='"+password+"'";攻擊者可以注入其他的查詢語(yǔ)句，例如把username設(shè)為：’OR1=1;DROPTABLEuser_data;--這個(gè)查詢將變?yōu)椋篠ELECTidFROMuser_tableWHEREusername=''OR1=1;DROPTABLEuser_table;--'ANDpassword='x';它相當(dāng)于：SELECTidFROMuser_tableWHEREusername=''OR1=1;DROPTABLEuser_table;這個(gè)語(yǔ)句將執(zhí)行句法上完全正確的SELECT語(yǔ)句，并利用SQLDROP命令清空user_table。原理SQL注入大型互聯(lián)網(wǎng)分站中：百度、騰訊、新浪、聯(lián)通、電信管理系統(tǒng)后臺(tái)登陸：政府網(wǎng)站、企業(yè)網(wǎng)站Id查詢請(qǐng)求：論壇帖子、商品、文章現(xiàn)狀手工方法利用工具：Havij、Pangolin、SqlmapSQL注入修改或控制操作系統(tǒng)例如xp_cmdshell"netstopiisadmin“可停止服務(wù)器的IIS服務(wù)泄露數(shù)據(jù)表中數(shù)據(jù)個(gè)人用戶名、密碼，賬戶等信息SQL數(shù)據(jù)結(jié)構(gòu)被黑客探知例如SELECT*FROMsys.tables“Update工資SetMoney=Money*”.$_GET[‘努力’];網(wǎng)頁(yè)中加入惡意鏈接，放置木馬等取得系統(tǒng)較高權(quán)限后破壞硬盤數(shù)據(jù)，系統(tǒng)癱瘓例如xp_cmdshell"FORMATC:"SQL注入危害系統(tǒng)管理賬號(hào)被篡改攻擊數(shù)據(jù)庫(kù)服務(wù)器，ALTERLOGINsaWITHPASSWORD='xxxxxx'SQL注入?yún)?shù)化查詢語(yǔ)句轉(zhuǎn)義過濾特殊字符（’”\<>&*;等）固定每種數(shù)據(jù)的類型（id:int）限制輸入數(shù)據(jù)的長(zhǎng)度網(wǎng)站每層編碼統(tǒng)一（UTF-8編碼）避免網(wǎng)站顯示SQL錯(cuò)誤信息網(wǎng)站發(fā)布前進(jìn)行漏洞檢測(cè)SQL注入IIIIIIIVSQL注入XSS漏洞目錄遍歷漏洞常見安全漏洞V文件上傳漏洞CSRF漏洞常見安全漏洞示例演示

9:8080/DVWA/index.phpXSS漏洞描述

跨站腳本攻擊（Cross-sitescripting，通常簡(jiǎn)稱為XSS）它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。如獲取用戶Cookie信息XSS漏洞XSS漏洞類型反射型（Non-persistent）通過GET、POST、Referer等參數(shù)未加處理直接輸出到頁(yè)面執(zhí)行。最為常見的，攻擊者主要利用此類型通過email、熱度非常大的論壇、或者有針對(duì)性的某一用戶發(fā)送一個(gè)隱藏性的鏈接，讓受害者進(jìn)行點(diǎn)擊觸發(fā)。存儲(chǔ)型（

Persistent）由攻擊者輸入惡意數(shù)據(jù)保存在數(shù)據(jù)庫(kù)，再由服務(wù)器腳本程序從數(shù)據(jù)庫(kù)中讀取數(shù)據(jù)，然后顯示在公共顯示的固定頁(yè)面上，那么所有瀏覽該頁(yè)面的用戶都會(huì)被攻擊。攻擊性非常大，危險(xiǎn)也非常大。論壇評(píng)論，發(fā)表日志等場(chǎng)景DOM型（

DOM-based）由Javascript腳本動(dòng)態(tài)創(chuàng)建、輸出到頁(yè)面造成的。較難發(fā)現(xiàn)，危險(xiǎn)也非常大，常出現(xiàn)在查看大圖，點(diǎn)擊播放音樂，自動(dòng)播放音樂等場(chǎng)景

XSS漏洞手工方法：XSS用例填入輸入框，查看對(duì)應(yīng)的字符是否執(zhí)行或相關(guān)字符如"'\/&<>是否已被過濾安全性測(cè)試手冊(cè)->Web技術(shù)安全用例XSS漏洞利用工具：Appscan、WVS、Firefox插件（Httpfox、Hackbar、TamperData等）XSS盲打平臺(tái)

反射型XSS存儲(chǔ)型XSSXSSFil