《安全性测试之续》PPT幻灯片

《《安全性测试之续》PPT幻灯片》由会员分享，可在线阅读，更多相关《《安全性测试之续》PPT幻灯片（46页珍藏版）》请在金锄头文库上搜索。

1、安全性测试之续,By-jacob 小胖胖_要减肥(新浪围脖),1,网站安全性问题一直是一个大家所需要重视，但有时候缺总是感觉缺乏这种资源或是这个范围太广而无法全部覆盖到把，但一旦被人利用就会造成很多不利影响。所以这个问题最好从源头开始杜绝，而不是靠后期测试人员或者使用者发现再去修复，想到这个周末便对都是开发童鞋的oschina进行了一次友情测试，并得到了不错的效果。 首先认证钓鱼这个问题是由于一个引用网络图片问题而导致的，这个实在影响太大，包括qq，百度，人人，163邮箱，qq邮箱等著名网站。 那么为什么一个引用网络图片会导致这个认证钓鱼呢，因为http认证的关系，好了，下面具体看图把。,2,

2、测试淘宝论坛，欺骗窗口弹出,3,测试支付宝论坛，欺骗窗口弹出,4,测试网易邮箱，欺骗窗口弹出,5,测试新浪邮箱，欺骗窗口弹出,6,前面一段时间作为wooyun的一员，一直致力于网络安全，发现各类网站及邮箱都会有一个高危漏洞，即认证钓鱼，包括淘宝论坛，支付宝论坛，百度贴吧，qq空间，163邮箱，qq邮箱等网站， 当用户打开页面的时候会引发了一个http认证，如果用户不注意就会输入用户名密码进去，因为基于对网站的信任，这个时候黑客就会受到用户输入的用户名和密码，即可登录该网站，危害很大，特别是邮箱 那么我就以163邮箱为例演示下这个过程吧 首先我先写一封邮件 以qq邮箱为例子，发送到163邮箱，引

3、用网络图片，地址为http:/*/authtest.php?id=*&info=http%3A%2F%2F#.jpg,7,8,点击发送，然后到163邮箱查看收到内容，并打开邮件看到,9,这个时候不注意的用户就会看到提示登录的弹框，很可能输入用户名密码，那么我输入下看看，结果输入的用户名密码发到了我所对应的地址,10,首先，我先找个能够引用网络图片的地方，其实不引用也可以，只要插如img src=“即可,11,之后刷新看效果吧，因为指定的图片地址引用了一个http认证,12,这个时候重新打开页面就会触发一个钓鱼认证，没有警惕性的用户发现是要连接关于访问网站的，就输入了该网站的用户名和密码，点击确

4、定以后其实这个密码就发给我了，因为这个钓鱼认证是我搞的，好了看看效果把。,13,看来我已经收到有人输如的oschina的用户名和密码了,14,看了真的有人中招了，好了那么登陆发发消息看看 这个就是我使用刚才收到的用户名密码所发的一条信息，因为之前没有测试就联系红薯了，只是他找周公去了，所以发一条消息再下 。 至此测试成功，之后就有程序猿发现了这个情况并发帖，看来程序猿的警惕性还是很高的，不过也说明他们也对安全性的知识比较缺乏，并不知道这是一个认证钓鱼。,15,16,就此测试结束，第二天联系红薯把事情讲清楚后，红薯特地在首页搞了一个置顶贴，看来他也认识到了问题的严重性，毕竟他的网站至少还是可以的

5、,17,帖子内容,18,这样基本就在oschina普及了这个安全性方面的知识，我的目的也达到了，个人认为从程序猿抓起才是最好的方式把。之后也在qq空间和百度贴吧做相应测试也收到了用户名密码,19,至此，大家应该对认证钓鱼这个有所认识，网站安全性问题一直层出不穷，这个不但给黑客有了图利的机会，更给用户很多不安定因素，造成对网站的不信任。很多东西涉及范围太广我们也无法全部覆盖到，只能一点点积累。 比如xss这个问题，最简单的当然使用白名单，但很多时候是无法避免一些比如onload的标签的，那么就只能过滤，这个时候问题就会层出不穷，大家有兴趣可以看一下腾讯围脖10+的xss 腾讯/page/1腾讯/

6、page/1 所以开发童鞋很多时候自己也要把问题考虑全面啊，测试童鞋很多时候也无法全部覆盖，只有大家通力协作才能把网站做的更好。 下面就是一个新蛋的弹窗，只是在这个地方利用方式比较复杂，最简单的就是你登陆我输个代码cookies就发到我指定地方了，不过这个还是开发童鞋过滤不严导致的，千里之堤，溃于蚁穴，安全无小事啊。,20,21,22,或者这样利用，窗口是模态的,23,输入用户名密码后的效果,24,在讲基础知识之前先看一个漏洞，虽然利用很简单，就是一个参数没有对负数进行控制，但影响很大，之后我就会讲利用手法，就是fiddler工具的使用，上次已经讲解过反向代理工具burp的使用了。,25,好了

7、，测试同学肯定觉得上面的和自己关系不是很大，那么下面的内容我觉得是对于web测试应该掌握的，当然开发同学肯定要很了解其本质。 首先我们必须明晰Session的概念，Session是由服务器维持的一个服务器端的存储空间，用户在连接服务器时，会由服务器生成一个唯一的SessionID,用该SessionID为标识符来存取服务器端的Session存储空间。SessionID可以由cookie保存，用户访问网站时，SessionID将会随cookie提交到服务器端。服务器也可以通过URL重写的方式来传递SessionID的值，但是在URL中传递SessionID是存在很大的安全风险的，黑客可能获取HT

8、TP请求的来源信息等手段直接就得到了客户端的SessionID。 其次我们应该认识到cookie和session的区别，因为这里的概念是混淆和模糊的。HTTP协议是无状态的，客户端与服务端无法长期的保存身份认证及会话状态，所以便需要cookie机制，在客户端以文件的形式保存会话状态。而session机制则是在服务器端保持状态，不需要长期保持会话状态，但是服务器端保持状态的同时在客户端也需要保存一个标识，前面我提到了使用URL传递SessionID的安全风险，所以session机制需要借助于cookie机制。原理上cookie只是做为SessionID的一个载体，我们只需要区分cookie机制和

9、session机制即可。,26,同源策略是被提起比较多的一个安全概念，这个策略是浏览器的安全基础，cookie做为浏览器的一个功能，自然也考虑到了同源策略，cookie的同源策略分为两个方面，第一个方面涉及到cookie的domain和path两个值，浏览器根据这两个值判断什么样的域名和页面能够读取cookie。第二个方面是第一方cookie和第三方cookie两个概念，第一方cookie是指当前正在查看的网站的cookie,在这个情况下对同源的HTTP请求都读取cookie发送，自然没有任何限制。而第三方cookie来自当前正在查看的网站以外的网站的cookie，第三方cookie可以是会话

10、cookie和持久化cookie，我们正在查看的网站可能包含了第三方的资源，在这种情况下浏览器会因为考虑到同源策略，而判断从当前浏览的网站对站外的请求是否允许读取第三方cookie发送。 cookie的同源策略可能比较晦涩，但是并不难理解，我们拿javascript的同源策略类比，比如AJAX不允许跨域的GET和POST请求，而正常的HTML代码中带有文件请求的标签实际上是属于GET请求，当网站嵌入了第三方的文件资源，也就产生了跨域的请求，同源策略是不可能干预这类正常的请求的，但是从安全的角度仍然有必要限制第三方cookie的存取。,27,一个应用程序在设计的过程中，为了实现对资源和请求进行管

11、理，用户信息认证是非常重要的一环。由于HTTP请求的无连接性，一般的应用程序都是通过Cookie或者Session来完成认证工作，通过将加密的用户认证信息存储到Cookie中，或者通过赋予客户端的一个Token，通常也就是所说的SessionId来在服务器端直接完成认证和取得用户的身份信息，不管哪一种方式，实际上在HTTP协议里都是通过Cookie来实现的，不同的是Cookie可能可以比较长期地存储在客户端上，而Session往往在会话结束之后服务器监视会话不处于活动状态而予以销毁。 有的完全将认证信息（用户密码信息）加密存储到客户端里，只要用户密码信息不修改，就可以一直利用这个认证信息来登录

12、应用程序。也有的是将认证通过后应用程序赋予客户端一个Token，这个Token存储在Cookie里，这样当客户端登录的时候就可以通过这个Token获得对应的身份，这样只要这个Cookie不被删除，就可以永远的处于登录状态。而另外的一些应用程序将Token放置到Session里，当客户端退出应用程序之后或者客户端在一段时间无响应之后，服务器就销毁这个Session，而且因为是Session里，所以客户端浏览器关闭之后，这个Session也从浏览器内存里销毁了。,28,譬如163邮箱，譬如baidu的认证机制。我们可以经常遇到这样的情况，我在一个浏览器里开了webmail然后新打开一个浏览器开了w

13、ebmail，然后我第一个浏览器退出了并不影响第二个的账户，两者互不影响，其实是因为他们获取到了两个SessionId，这在应用程序里可能是作为用户体验考虑的，但是正是这种机制存在巨大的安全漏洞。Session信息是以一个SessionId或者表现为临时Cookie的Token的形式发送的，而我们在实现了XSS的时候其实是可以操作Cookie的了，可以想象，如果我们赋给浏览器一个和Session Cookie名字相同而值不同的Cookie会怎么样？通过我们的测试发现，实际上两个Cookie都是被发送出去的，在HTTP头里表现为出现两个一样的COOKIE，那么服务器会选择哪个Cookie作为实际

14、取得的COOKIE变量呢？测试的时候发现实际上是以第一个出现的COOKIE为准的，而不管发送过来的是Session Cookie还是Store Cookie，所以我们就可以利用Javascript改变客户端的Session Token了。,29,跨域web攻击指的是利用网站跨域安全设置缺陷进行的web攻击，有别于传统的攻击，跨域web攻击可以从网站某个不重要的业务直接攻击和影响核心业务。 传统的安全思维教会我们按资产、功能等需求划分核心业务，优先保护核心业务等，非核心业务的安全等级一般没有核心业务高，给我们错觉是非核心业务受到攻击的话，所造成损失不会很大，也不会影响到核心业务，所以了解跨域we

15、b攻击这一概念还是非常有意义的。 基于ajax跨域设置的跨域攻击 使用ajax技术让人头痛的地方就是如何跨域，受同源策略所限不同域名包括子域名在内是无法进行AJAX请求的，随后衍生出一类技术可以通过设置document.domain实现跨域。如和,当两个网站通过javascript操作DOM接口 document.domain= 将网站的域设置为后，两个网站就处于同一个域内，可以进行各种跨域操作。在开发人员方面这是很方便的跨域技术，但是在攻击者眼中这简直就是一个大后门，黑客只需要找到*下任意一个XSS漏洞，在任意一个子域名里的网页都可以跨域攻击和。 说到这里就不得不说说腾讯的架构问题，腾讯围脖

16、和QQ邮箱的cookies都没有设置httponly，现在腾讯业务线很长，腾讯网站很多地方程序员都是从 document.cookie里读取skey来使用的，一旦http-only的话，很多程序都要修改。 鉴于成本和可能出现的难以预料的问题就没有改，但这个时候只要先关腾讯的网站有一个xss，我们就能够通过这个xss构造一个短地址发在围脖或发给邮箱用户，只要点击就会执行第三方脚本，从而导致qq相关cookies被窃取，那么所有腾讯网站就都可以登陆了。,30,上面的基础知识不知道童鞋们能体会多少，现在就到了fiddler工具的使用，这个就比较实际了，开发童鞋应该都很熟练了。 当今web程序的开发技术真是百家争鸣，ASP.NET, PHP, JSP，Perl, AJAX 等等。 无论Web技术在未来如何发展，理解Web程序之间通信的基本协议相当重要, 因为它让我们理解了Web应用程序的内部工作。 协议是指计算机通信网络中两台计算机之间进行通信所必须共