web产品安全典型案例与测试实战分享PPT资料.pptx
- 文档编号:14310773
- 上传时间:2022-10-22
- 格式:PPTX
- 页数:71
- 大小:5.70MB
web产品安全典型案例与测试实战分享PPT资料.pptx
《web产品安全典型案例与测试实战分享PPT资料.pptx》由会员分享,可在线阅读,更多相关《web产品安全典型案例与测试实战分享PPT资料.pptx(71页珍藏版)》请在冰豆网上搜索。
SQL注入、文件上传,Page7,但是,木马是怎么进城的呢?
原因分析,寻找日志(无果)代码扫描SQL注入(无果)寻找系统上传点(无果),Page8,于是乎,原因分析,原因分析,Page9,但这仅仅是猜想,忽然间,原因分析,运维人员定期对现网服务器进行木马扫描开发人员对代码扫描中的安全隐患进行修复项目组在应用程序发布前进行一轮安全性测试结合安全上线指标,Page10,临时解决方案,问题描述,Page11,该来的还是来了-陕西普通话站点又出问题了,类似系统类似问题但这次没有木马,问题描述,Page12,前车之鉴源头一定要堵上,源头没有堵上关键点没有考虑全面没有进行系统化测试,原因分析,解决方案,Page13,不离不弃GoogleHacking,解决方案,解决方案,Page14,峰回路转,解决方案,【安全漏洞预警2013-11-26】畅言教育网存在高危安全漏洞,用户可上传木马至服务器【安全漏洞预警2013-12-23】国家普通话水平测试信息管理系统“gd.cltt.org”存在任意文件上传漏洞,导致服务器可被挂马【安全漏洞预警2014-01-02】安徽省工商联统一会员数据库服务器可被挂马(也会影响到联商在线)
【安全漏洞预警2014-03-24】讯飞研究院的个性化语音社区存在上传挂马漏洞安全测试小组现网产品人工渗透结果2014073003:
语音云官网存在文件上传漏洞,可导致服务器被控制安全测试小组现网产品人工渗透结果2014081412:
存在另一处文件上传漏洞,可导致服务器被控制及网页被篡改,Page15,世界很大,我的眼里都是你世界很小,我的眼里只有你,现状,站点入口一定要全部清楚站点一定不要遗漏安全测试文件上传一定要严格控制客户端、服务端均校验上传文件的后缀名随机重命名上传的文件上传目录不开启执行权限,Page16,建议,Page17,网站备份你有吗?
问题描述,Page18,目录浏览你有吗?
问题描述,Page19,Struts2、Discuz、Siteserver、ThinkSNS。
你有吗?
问题描述,安全测试小组现网产品人工渗透结果2014072301:
讯飞官网存在服务器任意文件下载漏洞安全测试小组现网产品人工渗透结果2014080606:
教育评价系统网站备份文件可下载安全测试小组现网产品人工渗透结果2014081108:
教育评价系统网站存在目录浏览漏洞安全测试小组现网产品人工渗透结果2014081310:
语音云开放平台Linux系统密码文件曝露及程序物理目录曝露安全测试小组现网产品人工渗透结果2014081411:
语音云开放平台SSO认证存在默认配置风险及敏感性信息曝露安全测试小组现网产品人工渗透结果2014082014:
开心熊宝存在目录浏览漏洞导致相关Webservice泄露【安全漏洞预警2013-11-18】科大讯飞招聘官网因使用SiteserverCMS3.4.3架构,导致存在严重注入漏洞【安全测试团队漏洞公告】SiteserverCMS中后台找回密码功能模块存在严重校验漏洞安全测试团队漏洞公告2013-11-1:
apache+mod_cgid+php存在严重攻击漏洞安全测试团队漏洞公告2013-11-18:
SiteserverCMS3.6.3以下版本存在严重注入漏洞及XSS类漏洞【安全漏洞预警2014-03-24】智元网站后台编辑器eWebEditor登录密码已经曝露,请尽快修改【安全漏洞预警2014-03-24】智能语音分析系统因使用JBOSS的后台,且配置不完善导致出现远程部署挂马漏洞,Page20,满满都是你!
问题描述,Page21,占比80%,问题描述,Page22,修复困难吗?
开发人员安全意识薄弱,代码拷贝,组件滥用,没有安全编码规范,导致产品存在安全隐患运维人员缺乏基础安全配置导致安全问题,临时版本随意上线、系统和相关组件没有定期更新,导致产品出现安全问题架构设计时未充分考虑安全需求,架构采取不安全的外部开源代码、插件、CMS、论坛系统等,导致了产品存在安全缺陷,Why?
NO,其实你比我懂,原因分析,Page23,怎么办?
安全培训,安全配置,安全编码,上线标准,安全评审,安全测试,解决方案,Page24,解决方案,Page25,解决方案,解决方案-接口人,Page26,解决方案-接口人,解决方案-成功案例,Page27,成功案例,扩大安全巡检范围加强人工渗透力度完善安全测试实验室补充安全测试接口人,Page28,后期计划,请批评指正!
谢批评指正!
交流时间,我们身边的安全问题,CSDN京东数据库泄露酒店开房信息泄露。
我们身边的安全问题,我们身边的安全问题,网站打不开了网站首页上多了一则小广告网站被挂木马了我的账号密码怎么失效了后台管理系统被入侵了内网被渗透了,什么是Web安全呢,Web安全分类,常见安全漏洞,安全测试流程,典型案例,主要内容,I,II,III,IV,SQL注入,XSS漏洞,目录遍历漏洞,常见安全漏洞,V,文件上传漏洞,CSRF漏洞,常见安全漏洞,I,II,III,SQL注入,XSS漏洞,目录遍历漏洞,常见安全漏洞,V,文件上传漏洞,CSRF漏洞,IV,常见安全漏洞,一个简单拓扑图,客户端,数据库,脚本引擎,用户想要查看newsid为91的新闻,请求,返回,http:
/,请求,返回,获取参数newsid的值为91,动态构造SQL语句:
Select*fromNEWSwherenewsid=91,向数据库发起查询请求,在NEWS表中查询newsid为91的所有记录,返回查询到的所有记录,处理返回的所有记录,如过滤和编码特殊字符等,生成静态网页并返回给客户端,将网站返回的网页展示给用户,动态网页如何生成?
示例演示:
http:
/172.16.90.19:
8080/DVWA/vulnerabilities/sqli/,思考提问:
SQL注入漏洞的成因是什么?
数据与代码未严格分离;
用户提交的参数数据未做充分检查过滤即被代入到SQL命令中,改变了原有SQL命令的“语义”,且成功被数据库执行。
SQL注入漏洞的成因:
SQL注入式怎样形成的?
漏洞描述很多应用程序都使用数据库来存储信息。
SQL命令就是前端应用程序和后端数据库之间的接口。
攻击者可利用应用程序根据提交的数据动态生成SQL命令的特性,在URL、表单域,或者其他的输入域中输入自己的SQL命令,改变SQL命令的操作,将被修改的SQL命令注入到后端数据库引擎执行。
原理,SQL注入,手工方法利用工具:
Havij、Pangolin、Sqlmap,SQL注入,SQL,“Update工资SetMoney=Money*”.$_GET努力;
SQL注入危害,SQL注入,SQL注入,I,II,III,IV,SQL注入,XSS漏洞,目录遍历漏洞,常见安全漏洞,V,文件上传漏洞,CSRF漏洞,常见安全漏洞,示例演示http:
/http:
8080/DVWA/index.phpXSS漏洞描述跨站脚本攻击(Cross-sitescripting,通常简称为XSS)它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
如获取用户Cookie信息,XSS漏洞,XSS漏洞,类型反射型(Non-persistent)通过GET、POST、Referer等参数未加处理直接输出到页面执行。
最为常见的,攻击者主要利用此类型通过email、热度非常大的论坛、或者有针对性的某一用户发送一个隐藏性的链接,让受害者进行点击触发。
存储型(Persistent)由攻击者输入恶意数据保存在数据库,再由服务器脚本程序从数据库中读取数据,然后显示在公共显示的固定页面上,那么所有浏览该页面的用户都会被攻击。
攻击性非常大,危险也非常大。
论坛评论,发表日志等场景DOM型(DOM-based)由Javascript脚本动态创建、输出到页面造成的。
较难发现,危险也非常大,常出现在查看大图,点击播放音乐,自动播放音乐等场景,XSS漏洞,手工方法:
XSS用例填入输入框,查看对应的字符是否执行或相关字符如/&
是否已被过滤,安全性测试手册-Web技术安全用例,XSS漏洞,利用工具:
Appscan、WVS、Firefox插件(Httpfox、Hackbar、TamperData等),XSS盲打平台,反射型XSS,存储型XSS,DOM型XSS,大量存在,部分被扫描出来,部分存在,很难扫描出来,现状,XSS漏洞,用户信息,私密信息:
日志,相片,邮件,管理信息,后台地址,管理员帐号信息甚至直接通过Ajax上传Shell,其他危害。
XSS危害,钓鱼欺骗,网站挂马,重定向到其他网站上,注入钓鱼Javascript监控目标网站的表单输入,Iframe嵌入隐藏的恶意网站,XSS蠕虫,打广告、刷流量、DDos攻击,发送垃圾信息,借用身份发送大量的垃圾信息,XSS漏洞,防范设置cookie属性值为Httponly对所有输入数据进行严格检查和过滤(字符串,script、iframe等富文本,Cookie中变量,Header变量等)验证:
类型+格式+长度+范围+内容验证与过滤位置:
客户端+服务端(关键)对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查。
在发布应用程序之前测试所有已知的威胁,XSS漏洞,I,II,III,IV,SQL注入,XSS漏洞,目录遍历漏洞,常见安全漏洞,V,文件上传漏洞,CSRF漏洞,常见安全漏洞,漏洞描述CSRF(Cross-siterequestforgery),跨站请求伪造。
可以理解为攻击者盗用了你的身份,以你的名义发送恶意请求。
漏洞风险,发邮件,发评论,关注,盗取银行卡账户、密码,网购,虚拟货币转账,个人隐私泄露,资料被删除,财产安全得不到保证,CSRF漏洞,漏洞原理,CSRF漏洞,攻击方法:
直接发送该URL给登录者构造一个包含该url的html页面,诱导用户去点击,如利用其他的已知漏洞其他,漏洞示例,示例二:
/,示例一:
CSRF漏洞,示例三,比较,CSRF漏洞,修复建议伪随机数:
客户端页面添加,服务器端进行Hash值校验。
添加验证码:
用户提交表单时,验证码要复杂安全通过post方式传递参数值,作为隐藏字段;
如果在URL中将存在暴露给攻击者运行的风险,从而损害秘密令牌。
注意:
需要用户登录后才进行的涉及到数据库增删改的操作作为前提,CSRF漏洞,I,II,III,IV,SQL注入,XSS漏洞,目录遍历漏洞,常见安全漏洞,V,文件上传漏洞,CSRF漏洞,常见安全漏洞,漏洞描述目录遍历指的是应用程序对文件路径没有检查导致服务器上的敏感文件/代码泄漏。
漏洞危害可能会导致源代码等敏感信息泄露,被黑客利用进行下一步的攻击示例淘宝PPT下载示例项目情况,目录遍历漏洞,修复建议使用非直接的对象引用这防止了攻击者直接访问其并未授权的对象,通过一种mapping或是其他的方法让攻击者无法直接访问。
检查访问对每一个来自于不信任的源的直接对象引用都必须包含访问控制检查,从而确信该用户对该对象拥有访问权。
目录遍历漏洞,I,II,III,IV,SQL注入,XSS漏洞,目录遍历漏洞,常见安全漏洞,V,文件上传漏洞
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- web 产品 安全 典型 案例 测试 实战 分享