《Web应用渗透技术.ppt》由会员分享,可在线阅读,更多相关《Web应用渗透技术.ppt(50页珍藏版)》请在金锄头文库上搜索。
1、Web应用渗透测试技术 主讲人:刘 璟,Outline,Web应用渗透技术基础 Web应用漏洞扫描探测 Web应用程序渗透测试 总结,2,Web应用渗透技术基础,什么是渗透测试 Web应用渗透测试 OWASP Web漏洞TOP 10 近期Web应用攻击典型案例 渗透测试工具简介,3,什么是渗透测试,A penetration test (pentest) is a method of evaluating computer and network security by simulating an attack on a computer system or network from exte
2、rnal and internal threats*.,4,什么是渗透测试,Penetration tests are valuable for several reasons*: Identifying higher-risk vulnerabilities that result from a combination of lower-risk vulnerabilities exploited in a particular sequence Identifying vulnerabilities that may be difficult or impossible to detect
3、 with automated network or application vulnerability scanning software Assessing the magnitude of potential business and operational impacts of successful attacks Testing the ability of network defenders to successfully detect and respond to the attacks,5,Web应用渗透技术基础,什么是渗透测试 Web应用渗透测试 OWASP Web漏洞TOP
4、 10 近期Web应用攻击典型案例 渗透测试工具简介,6,典型的网络组织方式,Web is everywhere. 一个组织或公司提供对外的门户网站,7,Web应用程序体系结构,8,Web应用渗透技术基础,什么是渗透测试 Web应用渗透测试 OWASP Web漏洞TOP 10 近期Web应用攻击典型案例 渗透测试工具简介,9,OWASP Web漏洞TOP 10,The Open Web Application Security Project (OWASP) is a worldwide not-for-profit charitable organization focused on imp
5、roving the security of software. OWASP Top Ten: The goal of the Top 10 project is to raise awareness about application security by identifying some of the most critical risks facing organizations.,10,OWASP Top Ten,SQL注入攻击(SQL Injection, SQLi):指发生在Web应用对后台数据库查询语句处理存在的安全漏洞。简单地说,就是在输入字符串中嵌入SQL指令,在设计程序中
6、忽略了对特殊字符串的检查,嵌入的指令便会被误认为正常的SQL指令。 跨站脚本(Cross-Site Scripting, XSS):恶意使用者将程序代码(恶意脚本)注入到网页上,其他使用者在浏览网页时就会受到不同程度的影响。 跨站伪造请求(Cross-Site Request Forgery, CSRF): 属于XSS的衍生。攻击者利用XSS的注入方式注入一段脚本,当受害者点击浏览器运行该脚本时,脚本伪造受害者发送了一个合法请求。,11,OWASP Top Ten,会话认证管理缺陷(Broken Authentication and Session Management, BASM):首次传送
7、Cookie后,便不对Cookie中的内容进行检查,攻击者便可修改Cookie中的重要信息,用来提升权限,或是冒用他人账号获取私密资料。 安全误配置(Security Misconfiguration):存在于Web应用的各层次,譬如Web平台、Web服务器、应用服务器、程序代码等。 不安全的密码存储(Insecure Cryptographic Storage) 不安全的对象参考(Insecure Direct Object References):利用Web系统本身的文档读取功能,任意存取系统文档或资料。,12,补充知识:cookie,HTTP协议是无状态的。网站为了辨别用户身份而储存在用
8、户本地终端(Client Side)上的数据(通常经过简单加密)。 应用范围:保存购物信息、登录凭据等。 Cookie总是保存在客户端中,按在客户端中的存储位置,可分为内存Cookie和硬盘Cookie。,13,OWASP Top Ten,限制URL访问失败(Failure to Restrict URL Access):例如内部员工使用的未公开URL泄露。 缺乏传输层保护(Insufficient Transport Layer Protection):没有对传输层使用SSL/TLS等保护机制。过期或不正确的证书;后台数据库通信业存在类似问题。 未验证的重定向(Unvalidated Red
9、irects and Forwards):攻击者一般会通过未验证重定向页面诱使受害者点击,从而获取密码或其他敏感数据。,14,例如:http:/ Top 10 2013,A1 Injection A2 Broken Authentication and Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Acces
10、s Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Unvalidated Redirects and Forwards,15,Web应用渗透技术基础,什么是渗透测试 Web应用渗透测试 OWASP Web漏洞TOP 10 近期Web应用攻击典型案例 渗透测试工具简介,16,SONY黑客攻击案,2011年4月17-4月19日,sony旗下著名游戏机PS3网络(Playstation Network,PSN)遭到攻击。7千万PSN和Qriocity音乐服
11、务的用户个人信息被盗走。 消息发布后,SONY在线娱乐系统的服务器也被攻击。2460万用户信息,包括12700张非美国本土信用卡号、到账日期、支付记录。 此次对PSN网络机器相关服务的攻击泄露了从过1亿用户数据,一千多万张信用卡信息,迫使索尼关闭PSN等网络,聘请了数家计算机安全公司调查攻击,重建安全系统,进行游戏用户赔偿等,造成损失达到几亿美圆,更不必说股价下跌、信用丧失等隐性损失。,17,SONY黑客攻击案,LulzSec组织不但宣称对某些攻击负责,而且公布了攻击过程、数据库信息甚至网站源码。声称利用SQL注入攻击获得了、sonybmg.nl和sonybmg.be的数据库信息。含100万索
12、尼美国、荷兰和比利时客户个人信息,包括明文存储的密码、电子邮件、家庭地址等。 Anonymous组织和LulzSec组织在此次攻击中使用了SQL注入、本地文件包含漏洞利用,以及利用僵尸网络发动DDoS攻击。 原因可能是由于PSN所用的RedHat系统中的Apache服务器没有及时升级安全补丁,是黑客成功入侵到内网。另外用户口令以明文或简单的Hash存储。,18,CSDN数据泄露门,2011年年底,国内各大网站爆出“口令泄露门”。最先公布的是著名技术网站CSDN 600万账户和口令泄露事件,网站由于存在SQL注入漏洞被攻击者利用并下载用户数据库。 网站对用户的口令竟然是明文存储,由于用户习惯使用
13、同一用户名和口令注册各种网站,导致用户口令一旦泄露,所有账户被“一网打尽”。 此后不久,多玩网、世纪佳缘、人人等网站相机爆发类似“拖库”事件,后来直接导致京东、当当等电商发生了“撞库”事件,攻击者利用先前网站泄露的数据编写程序进行大量匹配,查找有余额的账户进行消费,直接导致当当网迅速关闭买礼品卡充值账户功能。,19,Web应用渗透技术基础,什么是渗透测试 Web应用渗透测试 OWASP Web漏洞TOP 10 近期Web应用攻击典型案例 Web渗透测试工具简介,20,Web渗透测试工具简介,OWAS BWA(Broken Web Application)靶机 Metasploit项目由著名的黑
14、客HD Moore于2003年开始开发,最早作为一个渗透攻击代码的继承软件包而发布。现在的Metasploit框架中集成了数千个针对主流操作系统平台上,不同网络服务与应用软件安全漏洞的渗透攻击模块,可以由用户在渗透攻击场合中根据漏洞扫描结果进行选择,并且能够自由装配该平台上适用的具有指定功能的攻击载荷,对目标系统实施远程攻击并获取系统的访问控制权。 Backtrack和Kali Linux: BackTrack 是一个基于Ubuntu GNU/Linux的发行版本,主要用做数字取证和入侵测试。BackTrack 给用户集成了大量功能强大但简单易用的安全工具软件。Kali Linux 1.0于2
15、013年3月发布,是Backtrack的下一代版本。,21,Outline,Web应用渗透技术基础 Web应用漏洞扫描探测 Web应用程序渗透测试 总结,22,Web应用漏洞扫描探测,OpenVAS(Open Vulnerability Assessment System):a open-source framework of several services and tools offering a vulnerability scanning and vulnerability management solution. 简介对滇西开发网web server的扫描结果 W3af:an ope
16、n-source web application security scanner. The project provides a vulnerability scanner and exploitation tool for Web applications. 简介对滇西开发网web server的扫描结果,23,Outline,Web应用渗透技术基础 Web应用漏洞扫描探测 Web应用程序渗透测试 总结,24,Web应用程序渗透测试,SQL注入实例分析 XSS跨站脚本攻击实例分析 跨站点请求伪造 命令注入实例分析,25,SQL注入攻击,“SQL注入”指的是向某个Web应用程序输入一个精心构造的SQL查询命令以执行某种非正常操作。SQL查询命令的语义很容易改变,只要在关键位置增加或者减少一个字符,就足以让原本无害的查询命令产生相当有害的行为。在“SQL注入”攻击活动中,用来构造恶意输入内容的常见字符包括反引号()、双
