27-系統(tǒng)安全07-Web安全03-常見Web安全漏洞

常見Web安全漏洞了解常見的Web安全漏洞及其危害教學(xué)目標(biāo)信息泄露目錄遍歷跨站腳本攻擊（XSS）SQL注入文件上傳漏洞命令執(zhí)行文件包含Web中間件推薦書籍目錄信息泄露概念信息泄露是由于Web服務(wù)器或應(yīng)用程序沒有正確處理一些特殊請(qǐng)求，泄露Web服務(wù)器的一些敏感信息，如用戶名、密碼、源代碼、服務(wù)器信息、配置信息等。造成信息泄露主要的三個(gè)原因：Web服務(wù)器配置存在問題，導(dǎo)致一些系統(tǒng)文件或者配置文件暴露在互聯(lián)網(wǎng)中Web服務(wù)器本身存在漏洞，在瀏覽器中輸入一些特殊的字符，可以訪問未授權(quán)的文件或者動(dòng)態(tài)腳本文件源碼Web網(wǎng)站的程序編寫存在問題，對(duì)用戶提交請(qǐng)求沒有進(jìn)行適當(dāng)?shù)倪^濾，直接使用用戶提交上來的數(shù)據(jù)信息泄露案例敏感信息可能會(huì)不慎泄露給僅以正常方式瀏覽網(wǎng)站的用戶。但是更常見的是，攻擊者需要通過意外或惡意的方式與網(wǎng)站進(jìn)行交互來引發(fā)信息泄露。然后，將仔細(xì)研究網(wǎng)站的響應(yīng)，以嘗試找出有趣的行為。通過robots.txt文件或目錄列表顯示隱藏目錄的名稱，它們的結(jié)構(gòu)及其內(nèi)容通過臨時(shí)備份提供對(duì)源代碼文件的訪問在錯(cuò)誤消息中明確提及數(shù)據(jù)庫表或列名不必要地暴露高度敏感的信息，例如信用卡詳細(xì)信息在源代碼中對(duì)API密鑰，IP地址，數(shù)據(jù)庫憑證等進(jìn)行硬編碼通過應(yīng)用程序行為的細(xì)微差別來提示是否存在資源，用戶名等信息泄露案例源碼泄露git源碼泄露git源碼泄露，只要有g(shù)it目錄存在，就可以嘗試將其源碼導(dǎo)出利用githack工具，在ubuntu中先進(jìn)入githack-master中，然后輸入：pythonGitHack.pyhttp://ip/.git/即可將源碼下載下來信息泄露案例源碼泄露hg源碼泄露利用工具dvcs-ripper可以將源碼導(dǎo)出DS_Store文件泄露利用工具ds_store_exp可恢復(fù)文件名，不可恢復(fù)文件內(nèi)容網(wǎng)站備份文件泄露管理員備份網(wǎng)站文件后錯(cuò)誤的將備份放在Web目錄下，常見后綴名有：.rar、.zip、.7z、.tar、.tar.gz、.bak、.txtsvn泄露重要的文件是/.svn/wc.db和/.svn/entries，同樣可利用dvcs-ripper工具信息泄露案例源碼泄露web-inf/web.xml泄露web-inf是JavaWeb應(yīng)用的安全目錄，web.xml中有文件的映射關(guān)系CVS泄露http://url/CVS/Root返回根信息http://url/CVS/Entries返回所有文件的結(jié)構(gòu)bkclonehttp://url/namedir取回源碼目錄遍歷概念目錄遍歷（目錄穿越）是一個(gè)Web安全漏洞，攻擊者可以利用該漏洞讀取運(yùn)行應(yīng)用程序的服務(wù)器上的任意文件。這可能包括應(yīng)用程序代碼和數(shù)據(jù)，后端系統(tǒng)的登錄信息以及敏感的操作系統(tǒng)文件。危害目錄遍歷最大的危害是能夠讓任意用戶訪問系統(tǒng)的敏感文件，繼而攻陷整個(gè)服務(wù)器。目錄遍歷

案例直接訪問Web應(yīng)用存在的一些目錄，如果返回文件列表信息，證明存在此漏洞。目錄遍歷案例使用”../”測試，/var/www/images/../../../etc/passwd等價(jià)于/etc/passwd跨站腳本攻擊（XSS）概念跨站腳本攻擊（XSS），指攻擊者通過在Web頁面中寫入惡意腳本，造成用戶在瀏覽頁面時(shí)，控制用戶瀏覽器進(jìn)行操作的攻擊方式?？缯灸_本攻擊（XSS）類型反射型存儲(chǔ)型DOM型危害盜取cookieXSS蠕蟲攻擊會(huì)話劫持釣魚攻擊跨站腳本攻擊（XSS）案例SQL注入漏洞概念SQL注入漏洞，Web系統(tǒng)對(duì)數(shù)據(jù)庫訪問語句過濾不嚴(yán)，入侵者在合法參數(shù)的位置，傳入特殊的字符、命令，實(shí)現(xiàn)對(duì)后臺(tái)數(shù)據(jù)庫的入侵。類型數(shù)據(jù)型Select*fromtablewhereid=xss字符型Select*fromtablewhereusername=‘test’危害數(shù)據(jù)庫信息泄露、數(shù)據(jù)篡改、掛馬等SQL注入漏洞案例文件上傳漏洞概念文件上傳漏洞，網(wǎng)站W(wǎng)EB應(yīng)用都有一些文件上傳功能，比如文檔、圖片、頭像、視頻上傳，當(dāng)上傳功能的實(shí)現(xiàn)代碼沒有嚴(yán)格校驗(yàn)上傳文件的后綴和文件類型時(shí)，就可以上傳任意文件，甚至可執(zhí)行文件后門。類型根據(jù)網(wǎng)站使用及可解析的程序腳本不同，可以上傳的惡意腳本可以是PHP、ASP、JSP、ASPX文件等危害惡意文件傳遞給解釋器去執(zhí)行，之后就可以在服務(wù)器上執(zhí)行惡意代碼，可實(shí)現(xiàn)數(shù)據(jù)庫執(zhí)行、服務(wù)器文件管理，服務(wù)器命令執(zhí)行等惡意操作。文件上傳漏洞案例命令執(zhí)行概念命令執(zhí)行，應(yīng)用程序有時(shí)需要調(diào)用一些執(zhí)行系統(tǒng)命令的函數(shù)，而Web開發(fā)語言中部分函數(shù)可以執(zhí)行系統(tǒng)命令，如PHP中的system、exec、shell_exec等函數(shù)。危害當(dāng)黑客控制這些函數(shù)的參數(shù)時(shí)，就可以將惡意的系統(tǒng)命令拼接到正常命令中，從而造成命令執(zhí)行攻擊，若當(dāng)前用戶為root用戶，危害程度將更嚴(yán)重。命令執(zhí)行案例文件包含漏洞概念文件包含，程序開發(fā)人員一般會(huì)把重復(fù)使用的函數(shù)寫到單個(gè)文件中，需要使用某個(gè)函數(shù)時(shí)直接調(diào)用此文件，而無需再次編寫，這中文件調(diào)用的過程一般被稱為文件包含。所有腳本語言都會(huì)提供文件包含的功能，但文件包含漏洞在PHPWebApplication中居多,而在JSP、ASP、ASP.NET程序中卻非常少，甚至沒有。常見包含函數(shù)有：include()、require()類型本地包含遠(yuǎn)程包含危害文件包含函數(shù)加載的參數(shù)沒有經(jīng)過過濾或者嚴(yán)格的定義，可以被用戶控制，包含其他惡意文件，導(dǎo)致了執(zhí)行了非預(yù)期的代碼。文件包含漏洞案例Web中間件概念Web中間件，介于操作系統(tǒng)和應(yīng)用程序之間的產(chǎn)品，面向信息系統(tǒng)交互，集成過程中的通用部分的集合，屏蔽了底層的通訊，交互，連接等復(fù)雜又通用化的功能，以產(chǎn)品的形式提供出來，系統(tǒng)在交互時(shí)，直接采用中間件進(jìn)行連接和交互即可，避免了大量的代碼開發(fā)和人工成本。類型（常見）IISApacheTomcatNginxWebLogicJbossWeb中間件常見漏洞

中件間名稱漏洞IIS解析漏洞、PUT命令執(zhí)行漏洞、PUT文件上傳漏洞、短文件名猜解Apache文件解析漏洞Tomcat任意寫文件漏洞（CVE-2017-12615）、遠(yuǎn)程部署漏洞、任意文件讀取/包含漏洞（CVE-2020-1938）Nginx文件解析漏洞、目錄穿越\遍歷漏洞（配置不當(dāng)）WebLogic弱口令&&遠(yuǎn)程部署漏洞、任意文件上傳漏洞（CVE-2018-2894）、SSRF漏洞（CVE-2014-4210）Jboss反序列化漏洞（CVE-2017-12149）、JBoss4.xJBossMQJMS反序列化漏洞（CVE-2017-7504）、弱口令&&遠(yuǎn)程部署漏洞Web中間件漏洞樣例（Tomcat·CVE-2020-1938）TomcatTomcat是由Apache軟件基金會(huì)屬下Jakarta項(xiàng)目開發(fā)的Servlet容器，按照SunMicrosystems提供的技術(shù)規(guī)范，實(shí)現(xiàn)了對(duì)Servlet和JavaServerPage（JSP）的支持。由于Tomcat本身也內(nèi)含了HTTP服務(wù)器，因此也可以視作單獨(dú)的Web服務(wù)器。影響版本ApacheTomcat9.x<9.0.31ApacheTomcat8.x<8.5.51ApacheTomcat7.x<7.0.100Ap