Web应用中常见39种不同的安全漏洞漏洞分析及检查方法.docx
《Web应用中常见39种不同的安全漏洞漏洞分析及检查方法.docx》由会员分享,可在线阅读,更多相关《Web应用中常见39种不同的安全漏洞漏洞分析及检查方法.docx(24页珍藏版)》请在冰点文库上搜索。
Web应用中常见39种不同的安全漏洞漏洞分析及检查方法
Web应用中常见39种不同的安全漏洞漏洞分析及检查方法
1.1 SQL注入漏洞
风险等级:
高危
漏洞描述:
SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效地特殊字符过滤,导致网站服务器存在安全风险,这就是SQLInjection,即SQL注入漏洞。
漏洞危害:
1)机密数据被窃取;
2)核心业务数据被篡改;
3)网页被篡改;
4)数据库所在服务器被攻击从而变为傀儡主机,导致局域网(内网)被入侵。
修复建议:
1) 在网页代码中对用户输入的数据进行严格过滤;(代码层)
2) 部署Web应用防火墙;(设备层)
3) 对数据库操作进行监控。
(数据库层)
代码层最佳防御sql漏洞方案:
采用sql语句预编译和绑定变量,是防御sql注入的最佳方法。
原因:
采用了PreparedStatement,就会将sql语句:
"selectid,nofromuserwhereid=?
"预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该sql语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql命令,比如select,from,where,and,or,orderby等等。
所以即使你后面输入了这些sql命令,也不会被当成sql命令来执行了,因为这些sql命令的执行,必须先的通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为sql命令来执行的,只会被当做字符串字面值参数,所以sql语句预编译可以防御sql注入。
其他防御方式:
正则过滤
1.2 目录遍历漏洞
风险等级:
中危
漏洞描述:
通过该漏洞可以获取系统文件及服务器的配置文件。
利用服务器API、文件标准权限进行攻击。
漏洞危害:
黑客可获得服务器上的文件目录结构,从而下载敏感文件。
修复建议:
1) 通过修改配置文件,去除中间件(如IIS、apache、tomcat)的文件目录索引功能
2) 设置目录权限
3) 在每个目录下创建一个空的index.html页面。
1.3 跨站脚本漏洞
即XSS漏洞,利用跨站脚本漏洞可以在网站中插入任意代码,它能够获取网站管理员或普通用户的cookie,隐蔽运行网页木马,甚至格式化浏览者的硬盘。
漏洞危害:
1) 网络钓鱼,盗取管理员或用户帐号和隐私信息等;
2) 劫持合法用户会话,利用管理员身份进行恶意操作,篡改页面内容、进一步渗透网站;
3) 网页挂马、传播跨站脚本蠕虫等;
4) 控制受害者机器向其他系统发起攻击。
修复建议:
设置httponly
httponly无法完全的防御xss漏洞,它只是规定了不能使用js去获取cookie的内容,因此它只能防御利用xss进行cookie劫持的问题。
Httponly是在set-cookie时标记的,可对单独某个参数标记也可对全部参数标记。
由于设置httponly的方法比较简单,使用也很灵活,并且对防御cookie劫持非常有用,因此已经渐渐成为一种默认的标准。
xssfilter
Xssfilter往往是一个文本文件,里面包含了允许被用户输入提交的字符(也有些是包含不允许用户提交的字符)。
它检测的点在于用户输入的时候,xssfilter分为白名单与黑名单,推荐使用白名单,但即使使用白名单还是无法完全杜绝xss问题,并且使用不当可能会带来很高的误报率。
编码转义
编码方式有很多,比如html编码、url编码、16进制编码、javascript编码等。
在处理用户输入时,除了用xssfilter的方式过滤一些敏感字符外,还需要配合编码,将一些敏感字符通过编码的方式改变原来的样子,从而不能被浏览器当成js代码执行。
处理富文本
有些网页编辑器允许用户提交一些自定义的html代码,称之为”富文本”。
想要在富文本处防御xss漏洞,最简单有效的方式就是控制用户能使用的标签,限制为只能使用a、div等安全的标签。
处理所有输出类型的xss漏洞
xss漏洞本质上是一种html注入,也就是将html代码注入到网页中。
那么其防御的根本就是在将用户提交的代码显示到页面上时做好一系列的过滤与转义。
其他修复方案
1) 开发者应该严格按照openid和openkey的校验规则判断openid和openkey是否合法,且判断其它参数的合法性,不合法不返回任何内容。
2) 严格限制URL参数输入值的格式,不能包含不必要的特殊字符(%0d、%0a、%0D、%0A等)。
3) 针对ASP.NET的防XSS库,Microsoft有提供统一的库,具体可以参见如下链接微软官网:
4) 具体的js方法如下:
(1)对于用户输入的参数值展现在HTML正文中或者属性值中的情况,例如:
展现在html正文中:
'>Un-trusted input展现在属性值中:
此时需要将红色的不可信内容中做如下的转码(即将<>‘“'转成html实体):
(2)对于用户输入落在
1.4未过滤HTML代码漏洞
由于页面未过滤HTML代码,攻击者可通过精心构造XSS代码(或绕过防火墙防护策略),实现跨站脚本攻击等。
可带来如下危害:
1) 恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash利用应用的漏洞,从而获取其他用户信息;
2) 攻击者能盗取会话cookie、获取账户、模拟其他用户身份,甚至可以修改网页呈现给其他用户的内容。
修复建议:
1) 严格过滤用户输入的数据。
2) 参考跨站脚本漏洞修复方案。
1.5数据库运行出错
网站存在数据库运行出错,由于网页数据交换出错,攻击者可获取报错中的敏感信息。
可带来如下危害:
1) 机密数据被窃取;
2) 攻击者通过构造特殊URL地址,触发系统web应用程序报错,在回显内容中,获取网站敏感信息;
3) 攻击者利用泄漏的敏感信息,获取网站服务器web路径,为进一步攻击提供帮助。
修复建议:
1) 检查数据库缓存是否溢出,是否具有失效的配置管理、禁用一切不必要的功能;
2) 对网站错误信息进行统一返回,模糊化处理。
1.6Flash安全配置缺陷漏洞
网站存在Flash安全配置缺陷,该漏洞可导致跨域访问,让用户访问非法Flash文件。
1) allowScriptAccess:
是否允许flash访问浏览器脚本。
如果不对不信任的flash限制,默认会允许调用浏览器脚本,产生XSS漏洞。
always(默认值),总是允许;sameDomain,同域允许;never,不允许
2) allowNetworking:
是否允许flash访问ActionScript中的网络API。
如果不对不信任的flash限制,会带来flash弹窗、CSRF等问题。
all,允许所有功能,会带来flash弹窗危害;internal,可以向外发送请求/加载网页;none,无法进行任何网络相关动作(业务正常功能可能无法使用)
可带来如下危害:
网站的Flash配置文件crossdomain.xml配置不当,存在Flash跨域攻击安全隐患。
修复建议:
1) 修改flash安全策略,做严格限制,比如限制到网站当前域;
2) 找到相应目录下的crossdomain.xml文件,找到代码:
cross-domain-policyallow-access-fromdomain=*cross-domain-policy改成:
cross-domain-policyallow-access-fromdomain=改成你的网站地址cross-domain-policy。
1.7FCK编辑器泄露漏洞
漏洞描述
利用此漏洞攻击者可访问编辑器页面,上传图片。
漏洞危害
1) 由于网站编辑器没有对管理员登录进行校验,导致任意用户访问编辑器;
2) 利用编辑器漏洞查看网站全硬盘目录。
修复建议
对编辑器页面进行访问控制,禁止未授权访问,并升级fck编辑器版本。
1.8FCKeditor任意文件上传漏洞
FCKeditor版本低于或等于2.4.3时网站存在任意文件上传漏洞,可以利用该漏洞上传任意文件。
可带来如下危害:
1) 由于目标网站未做上传格式的限制,导致网站、数据库和服务器有被入侵的风险;
2) 可能导致网站被攻击者控制,网站数据被窃取、网页被篡改等。
修复建议:
1) 设置FCKeditor编辑器相关页面在未授权的前提下无法正常访问,和限制FCK上传文件的格式;
2) 下载并更新至FCKeditor的最新版本。
1.9URLRedirect漏洞
即URL重定向漏洞,通过将URL修改为指向恶意站点,攻击者可以成功发起网络钓鱼诈骗并窃取用户凭证。
可带来如下危害:
1) Web应用程序执行指向外部站点的重定向;
2) 攻击者可能会使用Web服务器攻击其他站点,这将增加匿名性。
修复建议:
1) 在网页代码中需要对用户输入的数据进行严格过滤;(代码层)
2) 部署Web应用防火墙。
(设备层)
1.10文件上传漏洞
网站存在任意文件上传漏洞,文件上传功能没有进行格式限制,容易被黑客利用上传恶意脚本文件。
可带来如下危害:
1.攻击者可通过此漏洞上传恶意脚本文件,对服务器的正常运行造成安全威胁;
2.攻击者可上传可执行的WebShell(如php、jsp、asp类型的木马病毒),或者利用目录跳转上传gif、html、config文件,覆盖原有的系统文件,到达获取系统权限的目的。
修复建议:
1.对上传文件格式进行严格校验及安全扫描,防止上传恶意脚本文件;
2.设置权限限制,禁止上传目录的执行权限;
3.严格限制可上传的文件类型;
4.严格限制上传的文件路径。
5.文件扩展名服务端白名单校验。
6.文件内容服务端校验。
7.上传文件重命名。
8.隐藏上传文件路径。
1.11后台弱口令漏洞
网站管理后台用户名密码较为简单或为默认,易被黑客利用。
可带来如下危害:
1) 攻击者利用弱口令登录网站管理后台,可任意增删文章等造成负面影响;
2) 攻击者可进一步查看网站信息,获取服务器权限,导致局域网(内网)被入侵。
修复建议:
1) 对管理后台进行访问控制,修改后台弱口令,加强口令强度并定期修改。
2) 增加验证机制,防爆破机制,限制ip+cookie访问次数。
1.12敏感信息泄漏
由于网站运维人员疏忽,存放敏感信息的文件被泄露或由于网站运行出错导致敏感信息泄露。
可带来如下危害:
1.攻击者可直接下载用户的相关信息,包括网站的绝对路径、用户的登录名、密码、真实姓名、身份证号、电话号码、邮箱、QQ号等;
2.攻击者通过构造特殊URL地址,触发系统web应用程序报错,在回显内容中,获取网站敏感信息;
3.攻击者利用泄漏的敏感信息,获取网站服务器web路径,为进一步攻击提供帮助。
修复建议:
1.对网站错误信息进行统一返回,模糊化处理;
2.对存放敏感信息的文件进行加密并妥善储存,避免泄漏敏感信息。
1.13未加密登录请求漏洞
网站对用户登录认证信息未进行加密,敏感信息以明文形式进行传送,易在传输过程中被获取。
可带来如下危害:
易造成用户敏感信息泄露与篡改。
修复建议:
建议通过加密连接(如SSL)方式进行敏感信息的传送。
1.14后台口令暴力破解
由于网站管理后台系统登录无验证码校验,可导致后台用户名密码被暴力破解。
可带来如下危害:
1.攻击者可利用该漏洞无限次提交用户名密码,从而可以暴力破解后台用户名及密码;
2.暴力破解后登录其中一个帐号可进管理后台,攻击者登录网站后台任意增删文章等造成负面影响;
3.攻击者可进一步登陆后台查看网站信息、上传恶意脚本文件,获取服务器权限,导致局域网(内网)被入侵。
修复建议:
1.对该页面进行访问控制,禁止外网IP或非法IP访问后台页面,并增加验证码校验,加强帐号锁定机制。
2.增加ip+cookie配置方式限制访问频率。
1.15跨站请求伪造
跨站请求伪造,即CSRF,攻击者通过伪造来自受信任用户的请求,达到增加、删除、篡改网站内容的目的。
可带来的危害:
攻击者冒充用户/管理员,伪造请求,进行篡改、转帐、改密码、发邮件等非法操作。
修复建议:
1) 过滤用户输入,不允许发布含有站内操作URL的链接;
2) 改良站内API的设计,关键操作使用验证码,只接受POST请求,GET请求应该只浏览而不改变服务器端资源;
3) 对于web站点,将持久化的授权方法(例如cookie或者HTTP授权)切换为瞬时的授权方法(在每个form中提供隐藏field);
4) 在浏览其它站点前登出站点或者在浏览器会话结束后清理浏览器的cookie。
服务端的防御:
1) 验证HTTPReferer字段。
2) 请求地址中添加token并验证(token不放在cookie中,放在http请求参数中,服务端对其进行验证)
3) 将token加入http头属性中,避免了token出现在浏览器中,被泄露。
客户端防御:
为了配合服务端对token的验证,那么客户端也需要在访问时生成token,这是利用js来给html中的链接和表单请求地址附加csrftoken代码,其中已定义token为全局变量,其值可以从session中得到。
1.16Unicode编码转换漏洞
漏洞等级:
中危
该漏洞由于Unicode在编码转换过程中会忽略某些字符,导致攻击者可插入该字符绕过安全设备的检测。
可带来如下危害:
黑客可通过插入特殊字符,可拆分攻击的关键词,绕过安全设备的检测。
修复建议:
1) 修改中间件,过滤特殊字符。
2) 部署Web应用防火墙
1.17Possible.NetErrorMessage
漏洞等级:
中危
网站存在.net报错信息,由于网站未配置统一错误返回页面,导致aspx出错并显示出错误信息。
可带来如下危害:
黑客可通过特殊的攻击向量,有可能泄漏如绝对路径、源代码、sql语句等敏感信息,恶意攻击者很有可能利用这些信息实施进一步的攻击。
修复建议:
关闭PHP错误回显,或修正代码。
1.18发生内部错误
漏洞描述
500InternalServerError。
漏洞危害
攻击者向服务器提交精心构造的恶意数据后,有可能导致服务器出现内部错误、服务器宕机或数据库错乱。
修复建议
1) 严格过滤用户输入的数据。
2) 服务器错误统一模糊处理,或者跳转到首页/404页面。
1.19SVN源代码泄漏
由于目标网站没有及时清除SVN服务器连接时的残留信息,导致存在此漏洞。
可带来如下危害:
1.攻击者可利用该漏洞下载网站的源代码,获得数据库的连接密码等敏感信息;
2.攻击者可通过源代码分析出新的系统漏洞,从而进一步入侵系统。
修复建议:
删除指定SVN生成的各种文件,如“/.svn/entries”等。
1.20旁站攻击漏洞
多家网站在同一台服务器上,因一个网站存在致命高危漏洞,导致整台服务器被入侵。
可带来如下危害:
1.服务器上的所有网站均可被获得控制权限,攻击者可利用该漏洞登录网站后台任意增删文章等造成负面影响;
2.攻击者可通过旁站服务器漏洞进入网站内网对其他服务器进行进一步攻击。
修复建议:
1.修补同一台服务器上的其他网站漏洞;
2.建议每个网站单独服务器运行。
1.21后台登录页面绕过
越权操作,可直接通过访问后台地址进行访问,绕过登陆限制。
可带来如下危害:
1.一旦入侵者发现后台url,便可进入后台页面,进行非法操作。
修复建议:
1.对后台所有url做好权限设置。
2.禁止外网访问后台地址。
1.22CVS信息泄漏
漏洞描述
由于目标网站没有及时清除CVS服务器连接时的残留信息,导致存在此漏洞。
漏洞测试
访问/cvs/等页面,若出现下图内容,则表示存在此漏洞。
@前面是用户名后面是服务器地址
漏洞危害
1) 攻击者可利用该漏洞下载网站的源代码,获得数据库的连接密码等敏感信息;
2) 攻击者可通过源代码分析出新的系统漏洞,从而进一步入侵系统。
修复建议
删除指定CVS生成的各种文件,如“/CVS/Root”等。
1.23PossiblePHPErrorMessage
网站存在PossiblePHPErrorMessage,由于网站未配置统一错误返回页面,导致PHP出错并显示出错误信息
可带来如下危害:
黑客可通过特殊的攻击向量,有可能泄漏如绝对路径、源代码、sql语句等敏感信息,恶意攻击者很有可能利用这些信息实施进一步的攻击。
修复建议:
关闭PHP错误回显,或修正代码。
1.24HPP漏洞
漏洞描述
即http参数污染,它是web容器处理http参数时的问题。
比如访问URL:
问:
可带来的危害:
用来绕过WAF
修复建议:
修改web容器处理机制
1.25FileOperation-Web.xml漏洞
攻击者可以通过文件内容泄漏漏洞(或文件包含漏洞)获取敏感文件的内容,或直接执行其指定的恶意脚本,进得Web服务器的控制权限。
可带来如下危害:
1) 文件内容泄漏漏洞(或文件包含漏洞)允许攻击者读取服务器中的任意文件,或通过特殊的指令将脚本源码文件的内容合并至当前的文件中执行。
2) 很多脚本语言允许通过特殊的指令(如PHP通过require关键字)将其他脚本源码文件的内容合并至当前的文件中执行,如果这些特殊的指令在包含的文件路径中含有用户提交的数据,则恶意攻击者就有可能通过构造特殊的数据将WEB服务器限制访问的文件内容(如操作系统或某些重要应用的配置文件)包含进来并通过浏览器获取其内容,这种方式通常称为本地文件包含;如果应用程序的配置还允许包含远程的其他服务器上的文件,恶意攻击者就有可能构造特殊的脚本然后通过包含并予以执行,进而获取WEB应用的敏感数据或控制权。
修复建议:
1) 如果可能,使用包含指令时显式指定包含的文件名称;
2) 如果必须通过用户的输入指定包含的文件,则最好分析用户的输入,然后从文件白名单中显式地选择;
3) 请对用户的输入进行严格的过滤,确保其包含的文件在预定的目录中或不能包含URL参数。
1.26短文件名泄漏漏洞
漏洞等级:
中危
漏洞描述
该漏洞由于Windows处理较长文件名时为方便使用较短的文件名代替,攻击者可利用该漏洞尝试获取网站服务器下的文件名。
漏洞危害
黑客可通过该漏洞尝试获取网站服务器下存放文件的文件名,达到获取更多信息来入侵服务器的目的。
修复建议
1) 修改Windows配置,关闭短文件名功能。
2) 部署Web应用防火墙,防止攻击者批量尝试。
1.27OS注入漏洞
风险等级:
高危
漏洞描述:
网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,允许用户能够提交系统命令操作,会导致攻击者能控制整个服务器。
漏洞危害:
攻击者可以执行任意操作系统命令,进行恶意攻击;
修复建议:
1) 禁止调用系统问题;
2) 部署Web应用防火墙;
3) 过滤用户输入;
1.28SOAP注入漏洞
风险等级:
高危
漏洞描述:
用户提交的数据直接插入到SOAP消息中,攻击者可以破坏消息的结构,从而实现SOAP注入。
漏洞危害:
攻击者可以改变应用程序的逻辑,修改数据。
修复建议:
在用户提交的数据被插入SOAP消息的实施边界进行过滤
1.29XPATH注入漏洞
风险等级:
高危
漏洞描述:
网站使用XPath访问数据,响应用户提交的输入。
如果用户的输入未经过过滤就插入到XPath的查询中,攻击者就可以通过控制查询语句来破坏应用程序,或者获取未授权访问的数据。
漏洞危害:
攻击者可以改变应用程序的逻辑,修改数据。
修复建议:
1) 在网页代码中对用户输入的数据进行严格过滤;
2) 部署Web应用防火墙;、
1.30SMTP注入漏洞
风险等级:
高危
漏洞描述:
在电子邮件功能中,攻击者可在会话中注入任意SMTP命令,完全控制应用程序的消息。
漏洞危害:
篡改用户的邮件内容
修复建议:
1) 在客户端代码中对用户输入的数据进行严格过滤;
2) 部署Web应用防火墙;
1.31LDAP注入漏洞
风险等级:
高危
漏洞描述:
LDAP是一种轻量级目录访问协议,可以用来保存信息。
如果在查询语句中插入恶意代码,可以修改返回的结果
漏洞危害:
机密数据被窃取;
修复建议:
1) 在查询中对用户输入的数据进行严格过滤;
2) 部署Web应用防火墙;
1.32命令执行漏洞
风险等级:
高危
漏洞描述:
命令执行漏洞是指代码未对用户可控参数做过滤,导致直接带入执行命令的代码中,对恶意构造的语句,可被用来执行任意命令。
漏洞危害:
黑客可在服务器上执行任意命令,写入后门,从而入侵服务器,获取服务器的管理员权限,危害巨大。
修复建议:
严格过滤用户输入的数据,禁止执行系统命令
1.33HTTP消息头注入漏洞
漏洞描述:
用户控制的数据以不安全的方式插入到应用程序返回的HTTP消息头中,如果攻击者能够在消息头中注入换行符,就能在响应中插入其他HTTP消息头,并在响应主体中写入任意内容。
漏洞检测:
通过修改参数来判断是否存在漏洞。
比如国内某著名网站曾经出现过header注入漏洞,如下url:
http:
//www.YYYYYYYYY.com/YYYYWeb/jsp/website/agentInvoke.jsp?
agentid=%0D%0AX-foo:
%20bar
抓包时发现:
漏洞危害:
利用HTTP消息头注入漏洞可以控制用户访问页面的返回结果,执行恶意代码。
修复建议:
1) 不要把用户控制的输入插入到应用程序返回的HTTP消息头中;
2) 部署Web应用防火墙。
a) 在设置HTTP响应头的代码中,过滤回车换行(%0d%0a、%0D%0A)字符。
b)
升级会员 