《文件上传漏洞》由会员分享,可在线阅读,更多相关《文件上传漏洞(14页珍藏版)》请在金锄头文库上搜索。
1、安徽警官职业学院学生毕业论文系别 信息管理系 专业 计算机网络技术 班级 3 班 学号 13525320 姓名 宋二飞 时间 2015 年12 月28 日 基于文件上传漏洞web渗透技术目录摘要 .3一 网络安全问题(一)计算机网络软、硬件技术的不完善.4(二)计算机病毒的影响.4(三)计算机网络存在着系统内部的安全威胁.4(四)缺少严格的网络安全管理制度.4二 web的系统安全(一) web安全概述6(二) web对保密性的威胁及对策6三 文件上传漏洞(一)文件上传漏洞概述.8(二)防范文件上传漏洞常见的几种方法.9四 Web渗透技术(一) Web应用渗透性测试框架10(二) 侦查分析10结
2、束语13参考文献14摘 要Web渗透技术也成为黑盒或正派黑客技术,它是一种专业的信息安全服务,是经过用户授权批准后,由信息安全专业人员采用攻击者的视角、使用同攻击者相同的技术和工具来尝试攻入信息系统的一种评测服务,他攻击来发现目标网络、系统、主机和应用系统所存在的漏洞。关键词:渗透,安全,漏洞- 15 -一 网络安全问题(一)、计算机网络软、硬件技术的不完善由于人类认识能力和技术发展的局限性,计算机专家在设计硬件和软件的过程中,难免会留下种种技术缺陷,由此造成信息安全隐患,如Internet作为全球使用范围最广的信息网,自身协议的开放性虽极大地方便了各种计算机入网,拓宽了共享资源。但TCPIP
3、协议在开始制定时没有考虑通信路径的安全性,缺乏通信协议的基本安全机制,没有加密、身份认证等功能;在发送信息时常包含源地址、目标地址和端口号等信息。由此导致了网络上的远程用户读写系统文件、执行根和非根拥有的文件通过网络进行传送时产生了安全漏洞。(二)、计算机病毒的影响计算机病毒利用网络作为自己繁殖和传播的载体及工具,造成的危害越来越大。Internet带来的安全威胁来自文件下载及电子邮件,邮件病毒凭借其危害性强、变形种类繁多、传播速度快、可跨平台发作、影响范围广等特点,利用用户的通讯簿散发病毒,通过用户文件泄密信息,邮件病毒已成为目前病毒防治的重中之重。(三)、计算机网络存在着系统内部的安全威胁
4、计算机网络系统内部的安全威胁包括以下几个方面:计算机系统及通信线路和脆弱性(自然和人为破坏)。系统软硬件设计、配置及使用不当。人为因素造成的安全泄漏,如网络机房的管理人员不慎将操作口令泄漏,有意或无意的泄密、更改网络配置和记录信息,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取。(四)、缺少严格的网络安全管理制度网络内部的安全需要用完备的安全制度来保障,管理的失败是网络系统安全体系失败的非常重要的原因。网络管理员配置不当或者网络应用升级不及时造成的安全漏洞、使用脆弱的用户口令、随意使用普通网络站点下载的软件、在防火墙内部架设拨号服务器却没有对账号认证等严格限制、用户安全意识不强、将自己的
5、账号随意转借他人或与别人共享等,都会使网络处于危险之中。二 web的系统安全(一)、 web安全概述Web应用以及普及到全世界每一个角落,甚至可以说web已经成为了互联网的代名词。基于互联网的web应用如火如荼,迅速发展,各类网站数量也迅速增长,随之而来的,是日益突出的安全问题。不断被发现的漏洞、黑客的恶意攻击、在网络上疯狂爬行的蠕虫、迅速扩散的病毒、盗取虚拟财务的木马,所有这一切都令人不安。在此之外,web安全分一下几个特点(1)互联网都是双向的。与传统的发布环境,诸如电报、电话、传真相比,web系统暴露在互联网上的服务器是攻击者能够容易地达到,这使得web对于基于互联网的攻击非常脆弱。(2
6、)随着web越来越成为信息发布、整合以及完成商业交易的平台,一旦web服务器受到攻击而失效,造成的物质损失和对企业声誉的损失是巨大的。(3)尽管web浏览器用起来很简单,web服务器的配置和维护也不复杂,web内容的开发也相对容易,但在这些之下的一整套软件系统却极端复杂的。这种复杂性意味着系统中可能存在各种安全漏洞。(4)Web应用的用户大多是没有受过安全方面专业培训的普通用户,他们往往对于web安全并没有足够的认识,不了解自己的行为将造成的后果以及应当才去的应对措施。(5)一旦web服务器被攻破,攻击者将利用其作为跳板,侵入企业、组织的内部网络系统。攻击者能够获得的将不只是对web系统和数据
7、的访问权限,而可能是整个网络中的各种资源。这种潜在威胁是相当可怕的。(二)、web对保密性的威胁及对策保密性是指网络信息不被泄露给非授权的用户、实体或过程,即信息只为授权用户使用,保密性是可靠性和可用性基础上之上,保障网络信息安全的重要手段。一旦保密性遭到破坏,将造成信息的泄露以及网上隐私的泄露。Web中对信息保密的威胁分以下几种(1)网络窃听网络窃听是目前对计算机网络攻击的主要方法之一,是通过观察、监听、分析数据流和数据流模式,窃取敏感信息的一种手段,其方法主要有搭线监听和无线截获两种。搭线监听是将导线搭到无人值守的传输线上进行监听,只要所搭载的监听设备不影响网络负载平衡,就难以被发现。通过
8、调解和正确的协议分析,可以完全掌握通信的全部内容;无线截获是通过高灵敏接收网络站点或网络连接设备辐射的电磁波,通过对电磁波信号的分析,恢复原数据信号,从而获得网络信息。尽管有时数据不能全部恢复,但有可能从中得到极有价值的情报。( 2 )窃取网络配置信息攻击者通过某种方式,窃取主机的网络配置信息,以便为发起攻击做准备。这是一种对主机自身信息的窃取。Web代理对这种攻击有一定的防御能力,通过将内外网络隔离,使得攻击者无法或很难获得关于内部网络及主机的信息。( 3 )窃取主机数据这可能是web上威胁最大、发生最频繁的一种攻击。攻击者通过各种手段,获得服务器或客户端的访问权限,侵入相应主机,从中窃取各
9、种数据。窃取数据的目标各异,从数据库到网络账号,从公司服务器上的报表到客户端主机上的个人信息。窃取手段多种多样,很难完全防范。数据被窃取造成的后果难以估量,如没有良好的对应措施,容易产生巨大损失。( 4 )窃取用户连接信息攻击服务器上保存的用户连接信息,从而了解攻击服务器以及其用户的情况。这既是一种对机密性和隐私的破坏,同时也为进一步的攻击做了铺垫。三 文件上传漏洞(一)、文件上传漏洞概述文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,有时候几乎没有什么技术门槛。“文件上传”本身没有问题,有问题的是文件上传后,服务器
10、怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。文件上传后导致的常见安全问题一般有:(1)上传文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行。(2)上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为其他通过类似方式控制策略文件的情况类似);(3)上传文件是病毒、木马文件,黑客用以诱骗用户或者管理员下载执行。(4)上传文件是钓鱼图片或为包含了脚本的图片,在某些版本的浏览器中会被作为脚本执行,被用于钓鱼和欺诈。除此之外,还有一些不常见的利用方法,比如将上传文件作为一个入口,溢出服务器的后台处
11、理程序,如图片解析模块;或者上传一个合法的文本文件,其内容包含了PHP脚本,再通过”本地文件包含漏洞(Local File Include)”执行此脚本;等等。此类问题不再细述。在大多数情况下,文件上传漏洞一般都是指“上传Web脚本能够被服务器解析”的问题,也就是通常说的webshell的问题。要完成这个攻击,要满足以下几个条件:首先,上传的文件能够被Web容器解释执行。所以文件上传后所在的目录要是Web容器所覆盖到的路径。其次,用户能够从Web上访问这个文件。如果文件上传了,但用户无法通过Web访问,或者无法得到Web容器解释这个脚本,那么也不能称之为漏洞。最后,用户上传的文件若被安全检查、
12、格式化、图片压缩等功能改变了内容,则也可能导致攻击不成功。(二)、防范文件上传漏洞常见的几种方法。(1)文件上传的目录设置为不可执行只要web容器无法解析该目录下面的文件,即使攻击者上传了脚本文件,服务器本身也不会受到影响,因此这一点至关重要。(2)判断文件类型在判断文件类型时,可以结合使用MIME Type、后缀检查等方式。在文件类型检查中,强烈推荐白名单方式,黑名单的方式已经无数次被证明是不可靠的。此外,对于图片的处理,可以使用压缩函数或者resize函数,在处理图片的同时破坏图片中可能包含的HTML代码。(3)使用随机数改写文件名和文件路径文件上传如果要执行代码,则需要用户能够访问到这个
13、文件。在某些环境中,用户能上传,但不能访问。如果应用了随机数改写了文件名和路径,将极大地增加攻击的成本。再来就是像shell.php.rar.rar和crossdomain.xml这种文件,都将因为重命名而无法攻击。(4)单独设置文件服务器的域名由于浏览器同源策略的关系,一系列客户端攻击将失效,比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。文件上传问题,看似简单,但要实现一个安全的上传功能,殊为不易。如果还要考虑到病毒、木马、色情图片等与具体业务紧密结合的问题,则需要做的工作就更多了,不断发现问题,结合业务需求,才能设计出最合理、最安全的上传
14、功能。四 Web渗透技术(一)、Web应用渗透性测试框架基于全面化、系统化设计web系统测评规范的目标,我们全面考虑了web应用的标准架构所包含的各种安全渗透测试组件。Web应用的标准架构包含九项主要测试分类,它们分别对应到用户、通信数据、web应用、支撑技术、服务器等中间件和计算资源6个领域上。为了指导读者更明确地定义出web系统的渗透性测试过程,我以测试过程为线索,对测试分类进行了有序组织(如图4-1所示)首先,进行侦查分析,然后,基于侦查到信息分析出的结果,进行输入处理、访问处理和应用逻辑的渗透性测试。后3者之间无固定顺序,也不一定都有执行,根据第1步侦查分析的结果而定。(二)、 侦查分析安全评估第一阶段的主要工作是尽可能多地收集有关目标应用程序信息。信息收集渗透性测试必要步骤。该任务可以通过很多不同的方式来实现。使用公共工具、扫描器、发送简单的HTTP请求或精心设计一些情求,这些都可能迫使应用程序通过回送错误消息、暴露版本信息或者采用的技术等方式泄露信息。通常,可以通过接收来自应用程序的响应来收集信息,这些信息可能会暴露不良配置或不良服务器管理中的漏洞(1) 针对web应用标志的测试获取应用程序标识是信息收集中的第一步:了解一个运行web服务器的版本和类型可以是测试者在测试过程
