SANGFOR_NGAF_V5.8_2015年度渠道高級(jí)認(rèn)證培訓(xùn)02_常見攻擊測(cè)試_2_第1頁
SANGFOR_NGAF_V5.8_2015年度渠道高級(jí)認(rèn)證培訓(xùn)02_常見攻擊測(cè)試_2_第2頁
SANGFOR_NGAF_V5.8_2015年度渠道高級(jí)認(rèn)證培訓(xùn)02_常見攻擊測(cè)試_2_第3頁
SANGFOR_NGAF_V5.8_2015年度渠道高級(jí)認(rèn)證培訓(xùn)02_常見攻擊測(cè)試_2_第4頁
SANGFOR_NGAF_V5.8_2015年度渠道高級(jí)認(rèn)證培訓(xùn)02_常見攻擊測(cè)試_2_第5頁
已閱讀5頁,還剩23頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、SANGFOR NGAF 常見攻擊測(cè)試_2培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)NGAF web應(yīng)用防護(hù)功能了解常見WEB應(yīng)用攻擊了解SQL注入了解XSS攻擊掌握SQL&XSS攻擊測(cè)試方法了解什么是信息泄露攻擊掌握信息泄露攻擊測(cè)試方法SANGFOR NGAF WEB應(yīng)用常見攻擊SANGFOR NGAF SQL注入深信服公司簡(jiǎn)介SANGFOR NGAF 信息泄漏攻擊SANGFOR NGAFSANGFOR NGAF XSS攻擊1.1 常見WEB應(yīng)用攻擊1.2 了解SQL注入1.3 了解XSS攻擊1.4 SQL&XSS攻擊測(cè)試方法1.5 信息泄漏攻擊1.6 信息泄漏攻擊測(cè)試方法NGAF WEB應(yīng)用防護(hù)功能 以O(shè)WASP的

2、top 10項(xiàng)目為例,其列出了對(duì)企業(yè)組織所面臨的10項(xiàng)的最嚴(yán)重的web應(yīng)用程序安全風(fēng)險(xiǎn),由下圖可以看到,注入和XSS攻擊由07年直至13年始終位居前幾位。1.1 常見WEB應(yīng)用攻擊Web應(yīng)用防護(hù),主要用于保護(hù)web服務(wù)器不受攻擊,導(dǎo)致軟件服務(wù)中斷或被遠(yuǎn)程控制。其常見的攻擊有如下:1、SQL注入2、XSS攻擊3、網(wǎng)頁木馬4、網(wǎng)站掃描5、WEBSHELL6、跨站請(qǐng)求偽造7、系統(tǒng)命令注入8、文件包含攻擊9、目錄遍歷攻擊10、信息泄漏攻擊等等1.2 了解SQL注入 SQL注入,就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請(qǐng)求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。SQL注入實(shí)

3、際就是在web頁面執(zhí)行一些SQL語句來操作數(shù)據(jù)庫(kù),對(duì)于其攻擊特點(diǎn)已經(jīng)有初步認(rèn)識(shí)了,要更深一步認(rèn)識(shí),需要搞清楚以下問題:1、攻擊數(shù)據(jù)出現(xiàn)在哪里(在哪里提交、如何提交)2、什么內(nèi)容才是SQL注入攻擊(提交什么內(nèi)容才認(rèn)為是SQL注入攻擊)攻擊數(shù)據(jù)出現(xiàn)在哪里?Web提交數(shù)據(jù)一般有兩種形式,一種是get,一種是post。Get的特點(diǎn),提交的內(nèi)容經(jīng)過URI編碼直接在url欄中顯示,比如:Post提交的特點(diǎn),提交的內(nèi)容不會(huì)直接顯示在url部分,會(huì)在post包的data字段中,比如:什么內(nèi)容才是SQL注入攻擊?SQL注入攻擊可以根據(jù)其特點(diǎn)分為弱特征、強(qiáng)特征、注入工具特征三種。 弱攻擊:類似這種select*f

4、romtest,這個(gè)sql語句中,有兩個(gè)關(guān)鍵字select和from執(zhí)行了一個(gè)查詢語句,其危險(xiǎn)性相對(duì)強(qiáng)攻擊較低;強(qiáng)攻擊:如insertintotestvalues(lmj,123)這個(gè)語句中有三個(gè)SQL關(guān)鍵字insert、into、values,并且這個(gè)語句操作可能導(dǎo)致在test表中添加lmj這個(gè)用戶,這種語句被認(rèn)為是危險(xiǎn)的;強(qiáng)攻擊大致具備如下特征:1、包含三個(gè)及以上的SQL關(guān)鍵字,并且這三個(gè)關(guān)鍵字組合起來能夠成為一條合法的SQL語句。2、包含任何的SQL關(guān)鍵字連詞,這些連詞包括union.“;”,and,or等,并且采取了常用的sql注入方法來運(yùn)用這些連詞,如數(shù)據(jù)包中存在and1=1會(huì)被認(rèn)為

5、是強(qiáng)特征。 注入工具攻擊:利用一些專業(yè)的SQL注入工具進(jìn)行攻擊,這些工具的攻擊都是具有固定數(shù)據(jù)流特征的。1.3 了解XSS攻擊XSS攻擊:跨站腳本攻擊(Cross Site Scripting),XSS是一種經(jīng)常出現(xiàn)在web應(yīng)用中的計(jì)算機(jī)安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。其主要目的通常是竊取用戶信息、誘使客戶訪問惡意或釣魚網(wǎng)站、抓取肉雞等。XSS漏洞按照攻擊利用手法的不同,有以下三種類型:類型A,本地利用漏洞類型B,反射式漏洞類型C,存儲(chǔ)式漏洞1.4 SQL&XSS測(cè)試方法以虛擬環(huán)境測(cè)試步驟為例:1、搭建網(wǎng)絡(luò)測(cè)試環(huán)境;2、準(zhǔn)備好工具或手工進(jìn)行攻擊;3、配置N

6、GAF對(duì)WAF防御策略;4、檢查NGAF攻擊防護(hù)日志以及攻擊方攻擊情況。 SQL注入測(cè)試方法,一般可以分為兩種,一種是直接對(duì)客戶真實(shí)環(huán)境進(jìn)行掃描分析查找注入點(diǎn)并入侵,另外一種是搭建虛擬環(huán)境并進(jìn)行演示。 兩種方法各有利弊,第一種方法要求測(cè)試者擁有較高技術(shù)分析水平,并且可能會(huì)影響客戶實(shí)際業(yè)務(wù),測(cè)試成功率較低,但是也是最有說服力的。第二種方法簡(jiǎn)單易行,而且可演示實(shí)際攻擊效果,測(cè)試成功率較高,主要起到演示效果作用。1、搭建網(wǎng)絡(luò)測(cè)試環(huán)境首先搭建NGAF的測(cè)試環(huán)境。本例以較常見的透明模式部署為例。攻擊方PC位于NGAF外網(wǎng)口方向,web服務(wù)器位于內(nèi)網(wǎng)口方向。配置相應(yīng)接口區(qū)域及放通應(yīng)用控制,定義SQL注入防

7、御策略。另外需要確保web應(yīng)用防護(hù)庫(kù)最新。2、準(zhǔn)備好工具或手工進(jìn)行攻擊對(duì)目標(biāo)站點(diǎn)進(jìn)行攻擊,一般分為兩個(gè)階段:1、信息收集;2、攻擊實(shí)施。首先需要信息收集,以最普通的chrome自帶開發(fā)者工具為例,直接訪問網(wǎng)站的主頁,查找服務(wù)器返回字段或源代碼中包含的有用信息,例如以下圖為例,服務(wù)器返回字段標(biāo)明該服務(wù)器采用了IIS6.0版本架設(shè)的web站點(diǎn)。檢查發(fā)現(xiàn)該網(wǎng)站附帶了一個(gè)頁面元素,是一個(gè)在線客服系統(tǒng),根據(jù)提供的外鏈,我們可以獲知該服務(wù)器還安裝了樂語在線系統(tǒng),由其返回的服務(wù)器字段,可知其附帶了用apache-coyote/1.1搭建web站點(diǎn)。以上示例說明了如何獲取相關(guān)的信息的的簡(jiǎn)單方法。以NGAF測(cè)試

8、人員的身份,相對(duì)于陌生攻擊者,更容易跟客戶溝通獲取相應(yīng)的服務(wù)器信息,當(dāng)然也存在客戶也無法提供的資源,例如代碼中的漏洞之類,則需要依賴測(cè)試人員自身去發(fā)現(xiàn)??傊揽扛鞣N手段盡可能的獲取關(guān)于服務(wù)器最詳細(xì)的信息,以為后續(xù)攻擊提供資源。攻擊實(shí)施依賴與之前的信息收集,我們已經(jīng)知曉目標(biāo)服務(wù)器的數(shù)據(jù)庫(kù)類型、系統(tǒng)版本等信息,可以針對(duì)性得發(fā)起相應(yīng)的攻擊測(cè)試。本例中,我們采用常見的滲透分析工具IBM Rational Appscan工具來進(jìn)行攻擊檢測(cè)。3、配置NGAF對(duì)WAF防御策略4、檢查NGAF攻擊防護(hù)日志以及攻擊方攻擊情況檢查【內(nèi)置數(shù)據(jù)中心】-【日志查詢】-【web應(yīng)用防護(hù)】日志,可以看到相關(guān)的拒絕日志信息

9、。檢查appscan掃描攻擊情況:1.5 信息泄露攻擊與其危害 信息泄露漏洞是由于在沒有正確處理一些特殊文件,通過訪問這些文件或者路徑,可以泄露web服務(wù)器的一些敏感信息,如用戶名、密碼、源代碼、服務(wù)器信息、配置信息。常見的信息泄漏有:1、應(yīng)用錯(cuò)誤信息泄露;2、備份文件信息泄露;3、web服務(wù)器缺省頁面信息泄露;4、敏感文件信息泄露;5、目錄信息泄露。信息泄露的幾種原因:1、web服務(wù)器配置存在問題2、web服務(wù)器本身存在漏洞3、web網(wǎng)站的腳本編寫存在問題1.6 信息泄露攻擊測(cè)試方法測(cè)試步驟:1、搭建網(wǎng)絡(luò)測(cè)試環(huán)境;2、配置NGAF對(duì)信息泄漏防御策略;3、進(jìn)行帶有信息泄漏攻擊特征的操作;4、檢

10、查NGAF攻擊防護(hù)日志。 信息泄漏攻擊的測(cè)試方法相對(duì)較簡(jiǎn)單,其實(shí)不需要server上真實(shí)存在文件,直接在AF上設(shè)置信息防泄漏策略后,按照提交網(wǎng)址請(qǐng)求文件就可以看到拒絕效果了。1、搭建網(wǎng)絡(luò)測(cè)試環(huán)境2、配置NGAF對(duì)信息泄漏防御策略3、進(jìn)行帶有信息泄漏攻擊特征的操作例如對(duì)服務(wù)器地址下載特定后綴的文件,在url欄輸入00/passwd.bak4、檢查NGAF攻擊防護(hù)日志檢查【內(nèi)置數(shù)據(jù)中心】-【日志查詢】-【web應(yīng)用防護(hù)】日志,可以看到相關(guān)的拒絕日志信息。NGAF WEB應(yīng)用防護(hù)功能誤判排除方法方法一:在WEBUI的【服務(wù)器保護(hù)】-【W(wǎng)EB應(yīng)用防護(hù)】-“例外” URL參數(shù)排除后,WEB應(yīng)用防護(hù)的網(wǎng)站攻擊檢測(cè)將跳過這些參數(shù)的檢查。主要用于正常業(yè)務(wù)下某些請(qǐng)求參數(shù)因攜帶特征串而被檢測(cè)為攻擊的情況,可以只針對(duì)這些參數(shù)排除。2.1 NGAF WEB應(yīng)用防護(hù)誤判排除方法二:在AF的內(nèi)置數(shù)據(jù)中心中【日志查詢】-【W(wǎng)EB應(yīng)用防護(hù)】在查詢的日志中

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論