安全測(cè)試.ppt

跨站點(diǎn)偽造請(qǐng)求 主要內(nèi)容 安全測(cè)試簡(jiǎn)介安全測(cè)試目的安全測(cè)試面向的問(wèn)題攻擊方法總結(jié)京廣合作案列實(shí)戰(zhàn) 什么是安全測(cè)試 安全測(cè)試定義安全測(cè)試是在IT軟件產(chǎn)品的生命周期中 特別是產(chǎn)品開(kāi)發(fā)基本完成到發(fā)布階段 對(duì)產(chǎn)品進(jìn)行檢驗(yàn)以驗(yàn)證產(chǎn)品符合安全需求定義和產(chǎn)品質(zhì)量標(biāo)準(zhǔn)的過(guò)程 安全測(cè)試目的 提升IT產(chǎn)品的安全質(zhì)量盡量在發(fā)布前找到安全問(wèn)題予以修補(bǔ)降低成本度量安全 安全測(cè)試面向的問(wèn)題 一般性安全漏洞類型 SQL注入跨站點(diǎn)敏感信息跨站點(diǎn)請(qǐng)求偽造URL重定向 SQL注入 將語(yǔ)句注入到拼接的sql語(yǔ)句中 使原sql語(yǔ)句語(yǔ)義發(fā)生變化 工具掃描發(fā)現(xiàn)sql注入點(diǎn) SQL注入的解決方法 SQL注入高發(fā)位置 用于查詢檢索的功能登陸 注冊(cè)等功能展現(xiàn)數(shù)據(jù)庫(kù)信息的功能 跨站點(diǎn)腳本編制 偽造請(qǐng)求 盜取cookie 欺騙 工具掃描發(fā)現(xiàn)跨站點(diǎn)漏洞 跨站點(diǎn)解決方法 跨站點(diǎn)高發(fā)位置 需要將用戶輸入信息返回給客戶端如評(píng)論錯(cuò)誤異常時(shí)返回參數(shù)值會(huì)記錄用戶的輸入信息 并在指定位置顯示 敏感信息 錯(cuò)誤信息中包含源碼信息暴露物理路徑應(yīng)用配置信息數(shù)據(jù)庫(kù)錯(cuò)誤信息郵箱信息用戶信息 跨站點(diǎn)請(qǐng)求偽造 引誘以驗(yàn)證身份的用戶 發(fā)送不可預(yù)知的請(qǐng)求 跨站點(diǎn)請(qǐng)求偽造修改方法 URL重定向?yàn)E用 跳轉(zhuǎn)地址由客戶端傳值 對(duì)跳轉(zhuǎn)的地址進(jìn)行控制 一般性漏洞測(cè)試方法 安全掃描 安全測(cè)試掃描 IBMRationalAppScan簡(jiǎn)介 版本 8 0 0 3針對(duì)web系統(tǒng)的安全掃描工具 工具使用 新建掃描 新建一個(gè)綜合掃描 工具使用 掃描入口 在設(shè)置向?qū)е刑砑訏呙枞肟诘刂?工具使用 記錄登錄 記錄登陸入口口令 POST請(qǐng)求 常見(jiàn)問(wèn)題 除了錄制登陸請(qǐng)求外還要記錄一些輸入操作記錄時(shí)無(wú)訪問(wèn)目標(biāo)網(wǎng)站時(shí) 修改代理為不使用代理 工具使用 排除路徑 排除會(huì)影響掃描的路徑 排除注銷鏈接 避免失去會(huì)話排除較危險(xiǎn)功能如配置刪除 清空數(shù)據(jù)等 工具使用 通信代理設(shè)置 設(shè)置代理 通信代理默認(rèn)設(shè)置為 使用InternetExplorer代理設(shè)置 往往是訪問(wèn)不了測(cè)試的網(wǎng)站 一般修改為 不使用代理 工具使用 測(cè)試策略 WASC威脅分類 時(shí)間充裕時(shí)可使用所有策略時(shí)間不充裕時(shí)選用SQL注入 URL重定向?yàn)E用 跨站點(diǎn)請(qǐng)求編制 跨站點(diǎn)請(qǐng)求偽造 信息泄露分析用戶掃描結(jié)果 選用相應(yīng)的測(cè)試策略 開(kāi)始掃描 掃描常見(jiàn)問(wèn)題 會(huì)話丟失 掃描時(shí)間較長(zhǎng) 無(wú)人看守時(shí)掃描意外終止導(dǎo)致丟失會(huì)話 可通過(guò)點(diǎn)擊任意一個(gè)漏洞 選擇瀏覽器查看 會(huì)話丟失后會(huì)要求再次登陸 在此瀏覽器下登錄即可服務(wù)器無(wú)響應(yīng) 重啟服務(wù) 查看掃描日志分析是那些請(qǐng)求導(dǎo)致服務(wù)無(wú)響應(yīng) 內(nèi)存不足 菜單中工具 選項(xiàng) 監(jiān)控內(nèi)存消耗和磁盤(pán)空間 選中該選項(xiàng)能監(jiān)控 但是不能解決問(wèn)題 可先保存結(jié)果 重啟機(jī)器后再次掃描 一般保存的文件在1G左右易出現(xiàn)該現(xiàn)象 不建議用該工具掃描大型項(xiàng)目網(wǎng)站 必要時(shí)修改策略 減少測(cè)試用例 程序內(nèi)部錯(cuò)誤 無(wú)解 掃描保存影響測(cè)試效率 菜單工具 選項(xiàng) 掃描過(guò)正中自動(dòng)保存 取消該選項(xiàng) 分析掃描結(jié)果 配合掃描工具提供的信息進(jìn)行分析 問(wèn)題信息 描述工具的測(cè)試過(guò)程咨詢 描述漏洞特點(diǎn) 內(nèi)容修訂建議 給出建議的修改方法手工測(cè)試 提供修改的請(qǐng)求 可手工發(fā)送請(qǐng)求查看測(cè)試結(jié)果測(cè)試結(jié)果有可能是誤報(bào) 可對(duì)漏洞右鍵進(jìn)行重新測(cè)試 消除誤報(bào)的漏洞有許多漏洞的掃描結(jié)果需要人工手工分析確認(rèn) 工具僅給出可能存在漏洞的警告 如基于dom的跨站點(diǎn)請(qǐng)求偽造 漏洞中多個(gè)參數(shù)時(shí)需逐一分析 避免遺漏以及誤報(bào) 掃描測(cè)試報(bào)告 工具生成報(bào)告提供給開(kāi)發(fā)的報(bào)告對(duì)外開(kāi)放的報(bào)告 掃描注意 堅(jiān)決不在在線系統(tǒng)上進(jìn)行掃描操作嚴(yán)格要求備份數(shù)據(jù)庫(kù) 系統(tǒng)對(duì)參數(shù)校驗(yàn)不嚴(yán) 導(dǎo)致系統(tǒng)腳本中出現(xiàn)死循環(huán) 從而服務(wù)崩潰 測(cè)試時(shí)考慮不周 造成用戶在線數(shù)據(jù)庫(kù)多出垃圾數(shù)據(jù) 其他工具的掃描 黑盒白盒 分析請(qǐng)求構(gòu)造 分析頁(yè)面源代碼 分析服務(wù)器響應(yīng)結(jié)果 了解漏洞特點(diǎn) 攻擊方法 分析對(duì)應(yīng)的代碼 給出合理的分析結(jié)論 手工安全測(cè)試 應(yīng)用程序內(nèi)部漏洞 繞過(guò)客戶端限制請(qǐng)求構(gòu)造越權(quán)操作篡改數(shù)據(jù)功能安全漏洞 繞過(guò)客戶端限制 通過(guò)JS html標(biāo)簽屬性等限制長(zhǎng)度 特殊字符 格式文件等限制 客戶端限制解決方法 服務(wù)端做相同限制 客戶端限制測(cè)試方法 客戶端限制高發(fā)位置 注冊(cè) 系統(tǒng)設(shè)置文件上傳 請(qǐng)求構(gòu)造越權(quán)操作 低權(quán)限用戶構(gòu)造高權(quán)限用戶請(qǐng)求 越權(quán)修改方法 對(duì)身份類別的用戶進(jìn)行嚴(yán)格的權(quán)限認(rèn)證 越權(quán)測(cè)試方法 越權(quán)高發(fā)位置 系統(tǒng)設(shè)置頁(yè)面內(nèi)功能Post請(qǐng)求目標(biāo)地址 篡改數(shù)據(jù) 篡改關(guān)鍵參數(shù)值尤其是判斷身份的參數(shù) 篡改數(shù)據(jù)測(cè)試方法 截獲功能請(qǐng)求修改敏感參數(shù)常見(jiàn)敏感參數(shù)userid username等 篡改數(shù)據(jù)解決方法 對(duì)敏感參數(shù) 身份判斷參數(shù)采用服務(wù)端獲取 篡改數(shù)據(jù)高發(fā)位置 功能安全漏洞 功能自身驗(yàn)證不充分或自身存在安全漏洞 功能漏洞修改方法 對(duì)自身存在安全漏洞的功能加強(qiáng)權(quán)限限制對(duì)功能限制做嚴(yán)格的服務(wù)端判斷 功能漏洞測(cè)試方法 分析功能特點(diǎn) 評(píng)估功能使用與安全的沖突分析功能請(qǐng)求 了解每個(gè)請(qǐng)求的含義 功能漏洞高發(fā)位置 需編輯html代碼的功能功能實(shí)現(xiàn)需多個(gè)請(qǐng)求完成的功能 測(cè)試工具 Fiddler權(quán)限測(cè)試工具 Fiddler 截獲請(qǐng)求修改請(qǐng)求分析請(qǐng)求參數(shù) 詳細(xì)使用參考 Fiddler常用功能 啟動(dòng)即可捕獲請(qǐng)求F11設(shè)置斷點(diǎn) 截獲請(qǐng)求 使請(qǐng)求無(wú)法發(fā)送至服務(wù)器設(shè)置斷點(diǎn)后可對(duì)請(qǐng)求進(jìn)行修改 常用視圖有Inspectors下的Headers TextView WebForms以及返回信息視圖中的TextView Headers查看請(qǐng)求頭信息常用來(lái)修改cookieTextView Inspectors下的 以連續(xù)的字符串形式展現(xiàn)參數(shù) 便于構(gòu)造Get請(qǐng)求WebForms能清楚的看出參數(shù)結(jié)構(gòu) 便于篡改請(qǐng)求的參數(shù)值TextView 返回視圖下的 便于查看服務(wù)器響應(yīng)結(jié)果 權(quán)限測(cè)試工具 工具開(kāi)發(fā)目的工具開(kāi)發(fā)思路工具缺陷 權(quán)限測(cè)試工具使用 修改配置文件 url 介質(zhì)根目錄地址Path 介質(zhì)物理路徑Num 調(diào)整鏈接結(jié)構(gòu)Type 要提取的文件類型Filter 一鍵測(cè)試要過(guò)濾的鏈接請(qǐng)求 攻擊方法總結(jié) 以SQL注入的方法破壞數(shù)據(jù)庫(kù)或盜取信息以跨站點(diǎn)的方式修改頁(yè)面執(zhí)行非法操作以跨站點(diǎn)請(qǐng)求偽造的方式欺騙用戶搜集敏感信息提高攻擊成功率繞過(guò)客戶端限制上傳非法文件 提交非法請(qǐng)求等分析應(yīng)用功能越權(quán) 篡改請(qǐng)求 尋找功能漏洞等 京廣合作 廣分對(duì)客戶的測(cè)試結(jié)果做初步分析廣分提供客戶的工具掃描測(cè)試報(bào)告 產(chǎn)品版本信息等北京測(cè)試人員提供測(cè)試分析結(jié)果 案例實(shí)戰(zhàn) SQL注入跨站點(diǎn)Appscan的使用繞過(guò)客戶端限制越權(quán)操作功能安全漏洞篡改數(shù)據(jù) SQL注入實(shí)戰(zhàn) 常州國(guó)旅 跨站點(diǎn)漏洞實(shí)戰(zhàn) WCM發(fā)短消息在短消息中html代碼中添加如下代碼從而竊取cookiewindow location Appscan的使用 掃描入口 http 192 168 137 21 8089 wcm app login jsp 繞過(guò)客戶端限制 WCM注冊(cè)http localhost 8080 wcm person password reset dowith jsp userid 1 OldPassword 12345678 newpassword 123 越權(quán)操作 IDS后臺(tái)設(shè)置頁(yè)面訪問(wèn)http localhost 8080 ids admin sys navigation jsp 功能安全漏洞 EKP修改密碼功能修改密碼的請(qǐng)求如下 http localhost 8081 ekp KMSV65 client user validate password jsp UserId 1 Password trsadminhttp localhost 8081 ekp KMSV65 client user user modify password dowith jsp trandom 0 522060417190103 UserId 1 newPassword 12345678 PasswordLev 1 篡改數(shù)據(jù) WCM修改個(gè)人信息http localhost 8080 wcm person reginfo edit dowith jsp UserId 1 ObjectXML WCMOBJ CSRF是Web應(yīng)用程序的一種常見(jiàn)漏洞 其攻擊特性是危害性大但非常隱蔽 尤其是在大量Web2 0技術(shù)的應(yīng)用背景下 攻擊者完全可以在用戶毫無(wú)察覺(jué)的情況下發(fā)起CSRF攻擊 目錄 CONTENTS 跨站點(diǎn)偽造請(qǐng)求 檢測(cè)CSRF漏洞 XSS與CSRF CSRF漏洞預(yù)防 01 02 03 04 LOGO 跨站點(diǎn)偽造請(qǐng)求 01 跨站點(diǎn)偽造請(qǐng)求 LOGO 具體來(lái)說(shuō) 攻擊者盜用了你的身份 以你的名義發(fā)送惡意請(qǐng)求 對(duì)服務(wù)器來(lái)說(shuō)這個(gè)請(qǐng)求是完全合法的 但是卻完成了攻擊者所期望的一個(gè)操作 比如以你的名義發(fā)送郵件 發(fā)消息 盜取你的賬號(hào) 添加系統(tǒng)管理員 甚至于購(gòu)買商品 虛擬貨幣轉(zhuǎn)賬等 CSRF Cross SiteRequestForgery 跨站點(diǎn)偽造請(qǐng)求 是一種網(wǎng)絡(luò)攻擊方式 該攻擊可以在受害者毫不知情的情況下以受害者名義偽造請(qǐng)求發(fā)送給受攻擊站點(diǎn) 從而在未授權(quán)的情況下執(zhí)行在權(quán)限保護(hù)之下的操作 具有很大的危害性 第二步 第三步 第四步 第五步 第一步 用戶C打開(kāi)瀏覽器 訪問(wèn)受信任網(wǎng)站A 輸入用戶名和密碼請(qǐng)求登錄網(wǎng)站A 在用戶信息通過(guò)驗(yàn)證后 網(wǎng)站A產(chǎn)生Cookie信息并返回給瀏覽器 此時(shí)用戶登錄網(wǎng)站A成功 可以正常發(fā)送請(qǐng)求到網(wǎng)站A 用戶未退出網(wǎng)站A之前 在同一瀏覽器中 打開(kāi)一個(gè)TAB頁(yè)訪問(wèn)網(wǎng)站B 網(wǎng)站B接收到用戶請(qǐng)求后 返回一些攻擊性代碼 并發(fā)出一個(gè)請(qǐng)求要求訪問(wèn)第三方站點(diǎn)A 瀏覽器在接收到這些攻擊性代碼后 根據(jù)網(wǎng)站B的請(qǐng)求 在用戶不知情的情況下攜帶Cookie信息 向網(wǎng)站A發(fā)出請(qǐng)求 網(wǎng)站A并不知道該請(qǐng)求其實(shí)是由B發(fā)起的 所以會(huì)根據(jù)用戶C的Cookie信息以C的權(quán)限處理該請(qǐng)求 導(dǎo)致來(lái)自網(wǎng)站B的惡意代碼被執(zhí)行 跨站點(diǎn)偽造請(qǐng)求 LOGO 跨站點(diǎn)偽造請(qǐng)求 LOGO CSRF站外類型的漏洞本質(zhì)上就是傳統(tǒng)意義上的外部提交數(shù)據(jù)問(wèn)題 攻擊者事先預(yù)測(cè)并設(shè)置請(qǐng)求的參數(shù) 在站外的Web頁(yè)面里編寫(xiě)腳本偽造文件請(qǐng)求 或者和自動(dòng)提交的表單一起使用來(lái)實(shí)現(xiàn)GET POST請(qǐng)求 當(dāng)用戶在會(huì)話狀態(tài)下點(diǎn)擊鏈接訪問(wèn)站外Web頁(yè)面 客戶端就被強(qiáng)迫發(fā)起請(qǐng)求 站外 CSRF站內(nèi)類型的漏洞在一定程度上是由于程序員濫用REQUEST類變量造成的 程序除支持接收POST請(qǐng)求傳遞的參數(shù)外也支持接收GET請(qǐng)求傳遞的參數(shù)一般攻擊者只要把預(yù)測(cè)的請(qǐng)求參數(shù)放在站內(nèi)一個(gè)貼子或者留言的圖片鏈接里 受害者瀏覽了這樣的頁(yè)面就會(huì)被強(qiáng)迫發(fā)起這些請(qǐng)求 站內(nèi) CSRF攻擊分類 Axous是一款網(wǎng)上商店應(yīng)用軟件 Axous1 1 1以及更低版本在實(shí)現(xiàn)上存在一個(gè)CSRF漏洞 遠(yuǎn)程攻擊者可以通過(guò)構(gòu)造特制的網(wǎng)頁(yè) 誘使該軟件管理員訪問(wèn) 成功利用此漏洞的攻擊者可以添加系統(tǒng)管理員 利用此漏洞主要包含以下三個(gè)過(guò)程 1 攻擊者構(gòu)造惡意網(wǎng)頁(yè) 在實(shí)施攻擊前 攻擊者需要構(gòu)造一個(gè)與正常添加管理員用戶基本一樣的網(wǎng)頁(yè) 在該惡意網(wǎng)頁(yè)中對(duì)必要的參數(shù)項(xiàng)進(jìn)行賦值 并將該網(wǎng)頁(yè)的action指向正常添加管理員用戶時(shí)訪問(wèn)的URL 核心代碼如圖所示 2 攻擊者利用社會(huì)工程學(xué)誘使Axous系統(tǒng)管理員訪問(wèn)其構(gòu)造的惡意網(wǎng)頁(yè) 3 執(zhí)行惡意代碼 當(dāng)系統(tǒng)管理員訪問(wèn)惡意網(wǎng)頁(yè)時(shí) 惡意代碼在管理員不知情的情況下以系統(tǒng)管理員的合法權(quán)限被執(zhí)行 攻擊者偽造的管理員賬戶添加成功 跨站點(diǎn)偽造請(qǐng)求 LOGO XSS與CSRF 02 第四季度 第三季度 XSS全稱 CrossSiteScripting 跨站腳本攻擊 是Web程序中最常見(jiàn)的漏洞 指攻擊者在網(wǎng)頁(yè)中嵌入客戶端腳本 例如JavaScript 當(dāng)用戶瀏覽此網(wǎng)頁(yè)時(shí) 腳本就會(huì)在用戶的瀏覽器上執(zhí)行 從而達(dá)到攻擊者的目的 比如獲取用戶的Cookie 導(dǎo)航到惡意網(wǎng)站 攜帶木馬等 XSS與CSRF LOGO CSRF XSS 攻擊者發(fā)現(xiàn)CSRF漏洞 構(gòu)造代碼 發(fā)送給受害人 受害人打開(kāi) 受害人執(zhí)行代碼 完成攻擊 攻擊者發(fā)現(xiàn)XSS漏洞 構(gòu)造代碼 發(fā)送給受害人 受害人打開(kāi) 攻擊者獲取受害人的cookie 完成攻擊 A B XSS與CSRF LOGO 檢測(cè)CSRF漏洞 03 請(qǐng)輸入您的文字對(duì)目標(biāo)進(jìn)行說(shuō)明請(qǐng)輸入您的文字對(duì)目標(biāo)進(jìn)行說(shuō)明請(qǐng)輸入您的文字對(duì)目標(biāo)進(jìn)行說(shuō)明 檢測(cè)CSRF漏洞是一項(xiàng)比較繁瑣的工作 最簡(jiǎn)單的方法就是抓取一個(gè)正常請(qǐng)求的數(shù)據(jù)包 以CSRFTester工具為例 CSRF漏洞檢測(cè)工具的測(cè)試原理如下 使用CSRFTester進(jìn)行測(cè)試時(shí) 首先需要抓取我們?cè)跒g覽器中訪問(wèn)過(guò)的所有鏈接以及所有的表單等信息 然后通過(guò)在CSRFTester中修改相應(yīng)的表單等信息 重新提交 這相當(dāng)于一次偽造客戶端請(qǐng)求 如果修改后的測(cè)試請(qǐng)求成功被網(wǎng)站服務(wù)器接受 則說(shuō)明存在CSRF漏洞 檢測(cè)CSRF漏洞 LOGO 將代理 1 2014 2014 檢測(cè)CSRF漏洞 LOGO 舉個(gè)例子來(lái)說(shuō)吧 受害者的網(wǎng)址是 攻擊者的網(wǎng)址是 攻擊者想要在某個(gè)網(wǎng)站 網(wǎng)站是某個(gè)開(kāi)源CMS 添加上另一個(gè)管理員 但是這個(gè)網(wǎng)站并沒(méi)有XSS漏洞 怎么辦呢 這時(shí)攻擊者發(fā)現(xiàn)了這個(gè)開(kāi)源CMS后臺(tái)添加管理員時(shí)并沒(méi)有加入驗(yàn)證碼或則token 只需要輸入要添加的管理員賬號(hào)和密碼點(diǎn)擊確定就可以添加管理員賬戶了 這時(shí)和我一樣聰明的攻擊者在自己的服務(wù)器上建立了一個(gè)html文件 假設(shè)地址是 OWASPCSRFTester 檢測(cè)CSRF漏洞 LOGO 運(yùn)行run bat如圖所示 首先將首先將瀏覽器的代理服務(wù)器的端口設(shè)為 8008 打開(kāi)云測(cè)試平臺(tái)http 192 168 0 199 8080 testing back findUser action pageNum 1 登錄系統(tǒng)后 添加用戶 檢測(cè)CSRF漏洞 LOGO 運(yùn)行OWASPCSRFTester 點(diǎn)擊StopRecording 輸入賬號(hào)信息 點(diǎn)擊提交 軟件就會(huì)開(kāi)始抓包了 檢測(cè)CSRF漏洞 LOGO Forms 創(chuàng)建一個(gè)iframe框架 高寬為0 用戶不可見(jiàn) 可POST GET 創(chuàng)建一個(gè)IMG標(biāo)簽 只能GET 創(chuàng)建一個(gè)AJAX請(qǐng)求 可POST GET 創(chuàng)建一個(gè)form表單 內(nèi)容為hidden 隱藏 用戶不可見(jiàn) 可POST GET iFrame IMG XHR 檢測(cè)CSRF漏洞