Ø 风险描述
SQL注入紧张发生在运用程序数据库层面上。程序员在设计程序的时候,没有对用户的输入进行校验,含有分外字符语句会被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被盗取、变动、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。
Ø 分外字符
对SQL注入而言,分外字符包括但不限于 (把稳大小写绕过以及双写绕过):
“--,#,//(注释符)”、“ and”、“ or”、“ select”、“ update”、“ delete”、“ drop”、“ declare”、“ insert”、“ xp_shell”以及(,)括号、||,+, (空格)连接符、' 单引号、|(竖线符号)、& (& 符号)、;(分号)、$(美元符号)、%(百分比符号)、@(at 符号)、'(单引号)、"(引号)、\'(反斜杠转义单引号)、\"(反斜杠转义引号)、<>(尖括号)、CR(回车符,ASCII 0x0d)、LF(换行,ASCII 0x0a)、,(逗号)、\(反斜杠)等。
Ø 漏洞示例
个中request.getParameter("searchWord")中的参数“searchWord”是从前端获取到的,也便是jsp页面中input标签中id为“searchWord”的值,如下:
后台SQL语句因此拼接的形式实行,代码所示:
SQL语句一旦以拼接的办法实行,那么拼接的“word” 不仅仅是作为一个参数实行,还可以表示一个SQL语句,比如:word的值为1,那么SQL语句变成:Select from test where id = 1;如果word的值为1’ and ‘a’=’a,而系统未对传入后台的参数做任何分外字符过滤,或者字符过滤不全,那么SQL语句变成:Select from test where id = 1’ and ‘a’=’a。两条查询语句都能成功实行。如果这时候将and后面的字句换成union或者order by语句就能将数据库名、表名以及表中的数据查询出来。
Ø 规范哀求
1、添加全局过滤器,过滤分外字符。办法如下:
Web.xml<filter > <filter-name>SQLFilter</filter-name> < filter -class>.SQLFilte</ filter -class ></filter > <filter-mapping> <filter-name> SQLFilter </filter-name> <url-pattern> /</url-pattern> 拦截所有要求</filter-mapping>
在SQLFilter.java类中:
paramValue= paramValue.replaceAll(“>”, “”)paramValue= paramValue.replaceAll(“%”,“”)
2、SQL语句利用参数化查询办法,代码如下:
String sql=“select from test where id=?”;db=new DBHelper(sql); try{ db.stmt.setString(1,word); ret=db.stmt.executeQuery(); while(ret.next()){……}}
2.跨站脚本攻击(XSS)
Ø 风险描述
跨站攻击是由于网站程序对用户输入过滤不敷,将用户输入的恶意脚本代码正常实行或者提交。攻击者可利用XSS漏洞获取用户cookie值、传播蠕虫、修改页面或进行钓鱼等攻击。
Ø 分外字符
对XSS而言,分外字符包括但不限于 (把稳大小写绕过以及双写绕过):
|(竖线符号)、& (& 符号)、 ;(分号)、$(美元符号)、%(百分比符号)、@(at 符号)、'(单引号)、"(引号)、\'(反斜杠转义单引号)、\"(反斜杠转义引号)、<>(尖括号)、()(括号)、+(加号)、CR(回车符,ASCII 0x0d)、LF(换行,ASCII 0x0a)、,(逗号)、\(反斜杠)、eval方法以及关键字document、cookie、javascript、script、onerror等。
Ø 漏洞示例
搜索框种的值即为可控参数,在URL中表现形式为:
http://.../searchword?word=
干系代码如下:
此处参数在前端为EL表达式获取,并且为添加任何过滤,末了直接显示在页面。当输入框输入的参数为:<script>alert(1)</script> 时,就会直接被浏览器当作脚本实行并弹框:
个中URL的表现形式:
http://.../searchword?word=%3Cscript%3Ealert%281%29%3C%2FscriFs%3E
上面的示例是直接与页面交互,通过在URL中布局参数来实现XSS攻击。还有一种是将参数进行通报并终极存储到数据库当中,由于参数在通报过程中未经由任何有效过滤(或者存在过滤不全,会被绕过),作为可信资源存入到数据库中并终极被实行。代码如下:
在前端页面会显示用户存储的数据,并且未做任何输出过滤(或者过滤不全),页面和代码如下:
前真个页面构造如下:
如果在编辑用户信息的时候输入:<script>alert(1)</script>
在数据库中的存储形式为:
在查询的时候就会将相应的数据显示在页面,并实行脚本:
Ø 规范哀求
1、添加全局过滤器,过滤分外字符。办法如下:
Web.xml<filter > <filter-name>XSSFilter</filter-name> < filter -class>.XSSFilte</ filter -class ></filter > <filter-mapping> <filter-name> XSSFilter </filter-name> <url-pattern> /</url-pattern> 拦截所有要求</filter-mapping>
在XSSFilter.java类中:
paramValue= paramValue.replaceAll(“>”, “”)paramValue= paramValue.replaceAll(“%”,“”)
2、输出编码,编码便是让解析者知道数据不是用来实行的代码,从而可以避免受攻击。紧张包括3种编码:URL编码、HTML编码、JavaScript编码。对付不可信来源的数据须要实行输出编码,确保字符被视为数据,根据场景分别利用以上1种编码或多种编码组合。
3.任意文件下载
Ø 风险描述
网站在处理用户下载文件的要求时,许可用户提交任意文件路径,并把做事器上对应的文件直接发送给用户,这将造成任意文件下载威胁。如果做事器根据用户提交的目录地址,就把目录下的文件列表发给用户,会造成目录遍历安全威胁。恶意用户会变换目录或文件地址,下载做事器上的敏感文件、数据库链接配置文件、网站源代码等。
Ø 系统敏感文件
Linux操作系统:/root/.ssh/authorized_keys、 /root/.ssh/id_rsa
/root/.ssh/id_ras.keystore、 /root/.ssh/known_hosts、 /etc/httpd/conf/httpd.conf
/root/.bash_history、/root/.mysql_history、/proc/self/fd/fd[0-9](文件标识符)
/proc/mounts、/porc/config.gz、/etc/passwd、/etc/shadow、/etc/my.cnf
Windows操作系统:C:\Program Files\mysql\my.ini //Mysql配置、
C:\Program Files\mysql\data\mysql\user.MYD //Mysql root
C:\Windows\php.ini //php配置信息
C:\Windows\my.ini //Mysql配置信息、C:\boot.ini //查看系统版本
C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件
C:\Windows\repair\sam //存储系统初次安装的密码
...
Ø 漏洞示例
存不才载功能的页面
Url表现形式如下:
http://.../downloadFile.action?jpgPath=/download/&jpgName=test.jpg
在代码中的表现形式如下,文件路径和文件名都是从前端获取,然后实行下载操作:
详细下载功能代码如下:
当文件正常下载时,通过brupsuite截图如下:
在此处直接更换文件名为“WEB-INF/web.xml”,考试测验下载系统配置文件:
可以看到下载文件失落败,返回不一样的结果。但是可以通过添加“../”进行目录跳转:
可以看出上面返回了web.xml内容,表示已经下载成功。
Ø 规范哀求
1、文件下载时进行过滤,过滤掉 “./”、“../”、“%”等,代码如下:
当输入“../”时:
2、对下载的文件路径进行严格掌握,只许可下载某部分目录下的文件:
3、对下载文件后缀名做严格掌握:
4、下载文件之前做权限判断,判断用户是否有下载该文件的权限。可建立文件白名单,不属于白名单内,不许可下载。
5、利用ID更换文件夹和文件名,使得全体输入由路径名变为一个表示ID的字符串,这种方法很随意马虎验证它的有效性。
4.任意文件上传
Ø 风险描述
运用程序在处理用户上传的文件时,没有判断文件是否在许可的范围内,就把文件保存在做事器上,导致恶意用户可以上传任意文件,乃至上传脚本木马到做事器上,直接掌握做事器。文件上传漏洞的利用是有限定条件的,首先要能够成功上传木马文件,其次上传的木马文件能够被实行,末了便是上传文件的路径必须可知。
Ø 漏洞示例
做事器端代码:
可以看到,做事器对上传文件的类型、内容没有做任何的检讨、过滤,存在明显的文件上传漏洞。上传文件hack.php(一句话木马):
上传成功,并且返回了上传路径:
通过菜刀连接:
连接成功后,就可以在做事器上实行任意命令,获取webshell权限。可以下载、修正做事器的所有文件。
Ø 规范哀求
1、对上传文件的类型进行检测,设置白名单进行过滤。(建议禁止上传jsp、jspx、php、asp、aspx等格式的文件)。
2、对上传文件的内容及大小进行检测,代码如下:
在这里,代码对上传文件的类型、大小做了限定。
5.越权操作
Ø 风险描述
如果一个Web运用程序禁绝确检讨用户是否被授权访问的特定的资源,就有可能导致产生越权漏洞。例如帐号A在登录的状态下,遍历访问要求中的ID就可以查看其它人的干系信息。乃至普通权限的用户可以通过越权获取到管理员的权限,从而可以访问本部属于自己权限的数据或页面。
Ø 漏洞示例
在test001账号访问的页面URL中直接将参数art=4改成art=6,则test001账号就可以访问原来只能被test002号访问的数据,如下所示:
干系代码如下:
在上面的代码中,没有判断用户的Session值,导致通过修正art的值就可以遍历访问其他的信息。
Ø 规范哀求
1、验证统统来自客户真个参数,特殊是和权限干系的参数,如用户ID或角色ID等。
2、在进行增、删、改、查等操作时,需将sessionID和认证的token绑定,存放在做事器的会话里,不要相信任何客户端发来的认证和授权信息,包括头、Cookie、隐蔽的表单或者URL参数。下面时修复后的代码:
在修复后的代码中,首先会判断用户的Session,只有在Session为True的情形下才能够查看返回的信息,因此当用户遍历art的值来考试测验访问其他人的信息时,会提示无权访问。
6.缓存区溢出
Ø 风险描述
缓存区溢出紧张涌如今C/C++当中,是一种非常普遍、非常危险的漏洞。利用缓冲区溢出攻击,可以导致程序运行失落败、系统宕机、重新启动等后果。更为严重的是,可以利用它实行非授权指令,乃至可以取得系统特权,进而进行各种造孽操作。
Ø 漏洞示例
在代码100行处,数组在复制过程中,后面一个数组的长度是前一个数组的两倍,当须要复制的数据超过第一个数组的数组长度时,对数组完成复制后,由于数组没有结束标识,读取数组数据时存在内存溢出的可能性。
在代码3278、3283行处,利用strncpy复制时只是复制了一个字节,而数组没有经由初始化,且末了也没有对数组做结束标识处理,在直接读取数组时,可能会造成内存溢出。
Ø 规范哀求
1、对通报的数据进行类型/大小/长度的考验。
2、过滤风险数据。
3、初始化参数。
7.URL跳转
Ø 风险描述
运用程序吸收到用户提交的URL参数后,没有对参数做“可信任URL”的验证,就向用户浏览器返回跳转到该URL的指令。恶意攻击者可以发送给用户一个链接,但是用户打开后,却来到钓鱼网站页面,将会导致用户被钓鱼攻击,账号被盗,或账号干系财产被盗。
Ø 漏洞示例
跳转代码:response.sendRedirect(request.getParameter("url"));
某运用程序有一个名为“redirect.jsp”的页面,该页面的参数为“url”,攻击者精心布局一个链接将用户重定向到一个恶意网站,实行钓鱼攻击并安装恶意程序。
http://www.example.com/redirect.jsp?url=evil.com
Ø 规范哀求
1、输入验证,对跳转的URL进行验证,对付不合法的跳转URL谢绝跳转访问。可通过白名单进行验证。
2、如果在本网站内跳转,则利用相对路径,而不要利用绝对路径,如在URL的参数中利用了绝对路径,建议在代码里剥离URL中域名部分,然后再和网站的域名重新结合成绝对路径,再跳转。
3、如果要求许可跳转的工具只是限定在有限的范围内,可创建一个匹配的规则,通过数字类型的ID来代替跳转到详细的页面。
4、仅通报一个回调url作为参数是不屈安的,增加一个参数署名,担保回调url不被修正,在掌握页面转向的地方校验传入的URL是否为公司域名(或者其他可信域名)
如以下是一段校验是否公司域名的JS函数
function VaildURL(sUrl){ return (/^(https?:\/\/)?[\w\-.]+\.(qq|paipai|soso|taotao)\.com($|\/|\\)/i).test(sUrl)||(/^[\w][\w\/\.\-_%]+$/i).test(sUrl)||(/^[\/\\][^\/\\]/i).test(sUrl) ? true : false;}
8.跨站要求假造(CSRF)
Ø 风险描述
CSRF 是一种攻击者迫使被攻击者网页浏览器发送HTTP 要求到攻击者所选择的网站的漏洞。CSRF依赖用户标识,并利用网站对用户标识的信赖欺骗用户浏览器发送HTTP要求给目标站点。通过跨站要求假造漏洞,攻击者能让受害用户修正可以修正的任何数据,或者是实行许可利用的任何功能。
Ø 漏洞示例
毛病代码
攻击者实行完恶意代码后用户的账户和密码会在不知情的情形下被变动
Ø 规范哀求
1、实行标准的会话管理,通过在每个会话中利用强随机令牌或参数来管理账户。
2、对付主要的数据提交,增加带随机令牌的隐蔽字段,在提交给做事器后对令牌进行验证,确保提交的要求是合法的。
3、对付主要的数据提交,也可进行二次重新认证,以确保要求是合法的。
4、对付主要的数据提交,也可增加图形验证码进行验证,以确保要求是合法的。
示例:
9. 敏感信息透露及缺点处理
Ø 风险描述
运用系统常常产生缺点信息并显示给利用者,导致信息透露问题,很多时候,这些缺点信息是非常有用的攻击信息,由于它们暴露了运用系统履行细则或有用的开拓信息,对攻击系统有很大帮助。
Ø 规范哀求
1、通过web.xml配置文件实现,产生非常或者缺点时跳转到统一的缺点处理页面,避免泄露过多敏感信息。例如:
<error-page> <exception-type>java.lang.Throwable</exception-type><location>/error.jsp</location> </error-page>
10. 远程系统命令实行
Ø 风险描述
系统命令实行攻击,是指代码中有一段实行系统命令的代码,但是系统命令须要吸收用户输入,恶意攻击者可以通过这个功能直接掌握做事器。
Ø 漏洞示例
以上代码调用系统的shell实行含有用户输入参数的命令,攻击者可以将多个命令合并在一起。比如,输入 “. & echo hello” 首先由dir命令罗列出当前目录的内容,再用echo打印出友好的信息。
Ø 规范哀求
1、所有须要实行的系统命令,必须是开拓职员定义好的,不许可吸收用户传来的参数,加入到系统命令中去。
2、字符转义,对分外字符进行转义。
3、输入验证,对付进入命令实行的参数进行检讨,检讨参数长度及包含分外字符,重点检讨各种命令分隔符(如;、&&、&、||、|等),当创造造孽字符,谢绝要求。建议过滤出以下所有字符:
[1] |(竖线符号)
[2] & (& 符号)
[3];(分号)
[4] $(美元符号)
[5] %(百分比符号)
[6] @(at 符号)
[7] '(单引号)
[8] "(引号)
[9] \'(反斜杠转义单引号)
[10] \"(反斜杠转义引号)
[11] <>(尖括号)
[12] ()(括号)
[13] +(加号)
[14] CR(回车符,ASCII 0x0d)
[15] LF(换行,ASCII 0x0a)
[16] ,(逗号)
[17] \(反斜杠)
侵权请私聊公众年夜众号删文
