一:SQL注入
原理:将SQL语句插入或添加到用户输入的参数种,然后提交到数据库执行。
修复:
1、使用参数化查询
2、对用户输入的特殊字符(单引号、上引号等)进行转义或者编码。
3、最小权限,把每个数据库用户的权限尽可能缩小。
二:XSS
原理:攻击者在网页中插入恶意代码。
危害:
1、盗取用户的Cookie(保存到测试者的服务器)
2、钓鱼网站
3、广告页面
4、网站挂马。先将恶意攻击代码嵌入到Web应用程序之中。当用户浏览该挂马页面时,用户的计算机会被植入木马。
防御:
1、对参数做html转义过滤(要过滤的字符包括:单引号、双引号、大于号、小于号,&符号),防止脚本执行。
2、启用COOKIE的httponly属性。(如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息)
三:CSRF
原理:伪造用户发送恶意请求,比如说修改密码,转账等等
比如一个人登录了一个网站,他的cookic信息就会保存到本地,然后我给他发一个修改密码的恶意链接,他在没有退出登录的情况下点击,就会修改密码。
防御:
1、验证referer,验证一下这个网页是从哪里跳转过来的。
2、添加随机TOKEN(刚刚进入页面的时候就调用后端代码,后端代码生成一个token,返回给客户端,客户端储存token)
3、添加验证码。
四:SSRF
原理:ssrf就是是服务器请求伪造,构造攻击链接传给服务端执行造成的漏洞,原因就是提供了从其他的服务器上获取数据的功能。
危害:
1、可以对外网服务器所在的内网、本地进行端口扫描
2、攻击运行在内网或者本地的应用程序。
3、攻击内外网的web应用。sql注入、struct2、redis等。
4、利用file协议读取本地文件等。
( http://127.0.0.1/1.txt?url=file://…/…/…/passwd,构造payload反弹shell)
如何找ssrf漏洞:
1、一般在分享功能中找,比方说通过URL地址分享网页内容(http:***?resourceUrl=https://www.sobug.com),如果没有对目标地址的范围做过滤与限制就存在着SSRF漏洞。
2、看URL里边的关键字,假如说有url、link、src、display、imageURL啊等等的就有可能存在ssrf
防御:
1、过滤返回信息。
2、禁用不需要的协议。仅仅允许http和https请求
五:文件上传
原理:在具有上传功能的地方,未对上传文件的类型进行限制,导致用户可以上传任意文件,甚至是木马文件。
绕过方法:
1、客户端JavaScript检测
绕过:
抓包,修改后缀名
2、服务器MIME类型检测
抓包,修改Content-Type 将内容修改成服务器可以解析的内容
3、服务器端文件内容检测
制作图片码 copy/b 1.jpg+2.php=3.jpg
4、服务器配置问题
1.Apache解析漏洞
一个文件名为test.php.aaa.bbb的文件,Apache会从ccc的位置往php的位置开始尝试解析直到遇到一个能解析的拓展名为止。
存在漏洞的版本apache2.0、2.1、2.4、2.5、2.6
2.IIS解析漏洞
a.IIS6.0 在解析 asp 格式的时候有两个解析漏洞.
例如: “test.asp/1.jpg”会按照asp来解析
例如: “text.asp;.jpg”会按照asp来解析
b.IIS7.0/7.5是对php解析时有一个类似于Nginx的解析漏洞,
例如:”http://www.target.com/upload/1.jpg/1.php”会按照php执行。
3.Nginx解析漏洞
上传test.jpg,访问“http://www.target.com/upload/1.jpg/1.php”就可以执行php代码
利用条件:
1、能够更上传脚本文件
2、知道上传目录的绝对路径
3、上传目录能够执行脚本文件
防御:
1、对上传的文件进行白名单限制,只允许上传jpg、png等类型。
2、上传目录不给执行权限
3、上传文件的名称要随机生成
4、 图片上传,要通过处理(缩略图、水印等),或通过图片读取函数判断无异常后才能保存到服务器。
六:文件包含
原理:服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,文件包含函数加载的参数没有经过过滤或者严格的定义,可以被用户控制,包含其他恶意文件,导致了执行了非预期的代码。
文件包含函数
request();request_once();include();include_once()
防御:
1、过滤各种…/…/,http://,https://
2、配置php.ini配置文件
allow_url_fopen=off
allow_url_include=off
magic_quotes_gpc=on
3、白名单策略,仅允许包含指定的文件,其他的都禁止
七:文件下载漏洞
原理:文件下载的时候,允许用户提交任意文件路径,并把服务器上对应的文件直接发送给用户,这将造成任意文件下载威胁。
防御:
- 要下载的文件地址保存至数据库中;
- 文件路径保存至数据库,让用户提交文件对应ID下载文件;
- 下载文件之前做权限判断;
- 文件放在web无法直接访问的目录下;
- 记录文件下载日志;
- 不允许提供目录遍历服务。
八:命令执行漏洞
原理:web应用代码中,允许接收用户输入一段代码,之后在web应用服务器上执行这段代码,并返回给用户。 由于用户可以自定义输入一段代码,在服务器上执行,所以恶意用户可以写一个远程控制木马,直接获取服务器控制权限,所有服务器上的资源都会被恶意用户获取和修改,甚至可以直接控制数据库。
防御:所有需要执行的系统命令,必须是预先定义好的,不允许接收用户传来的参数,加入到系统命令中去。
九:水平越权
原理:Web应用程序接收到用户请求,对用户数据进行增、删、改、查操作时,没有判断数据的所属人,或数据所属人userid,直接从用户提交的request参数(用户可控数据)中获取,导致恶意攻击者可以通过变换数据ID或所属人userid,从而越权获取或修改其他人数据。
防御:
1、检查提交操作请求的操作者(通过session信息得到)与目标对象的权限所有者(查数据库)是否一致,如果不一致则阻断。从session中获取当前登录用户的userid,并且需要在执行的SQL语句中,加入当前用户userid作为条件语句。
2、将数据ID改成一个具有一定长度的随机字符串。
十:垂直权限攻击
原理:由于web应用程序没有做权限控制,或仅仅在菜单上做了权限控制,导致的恶意用户只要猜测其他管理页面的URL,就可以访问或控制其他角色拥有的数据或页面,达到权限提升目的。
防御:
1.在打开管理页面URL或者请求接口时,首先判断当前用户是否拥有该页面的权限,如果没有权限,就判定为攻击拒绝访问;
2.使用ESAPI框架进行安全开发
十一:XXE
原理:xxe就是xml外部实体注入,xml文档中,包含一个dtd模块(文档类型定义),dtd可以内部声明,也可以外部引用,如果外部引用但是又没对内容进行严格的验证,就有可能造成任意文件查看或者命令执行的漏洞。
防御:
1、配置XML处理器使用禁用DTD、禁止外部实体解析
factory.setFeature(“http://apache.org/xml/features/disallow-doctype-decl”, true);
factory.setFeature(“http://xml.org/sax/features/external-general-entities”, false);
factory.setFeature(“http://xml.org/sax/features/external-parameter-entities”, false);
2、通过黑名单过滤用户提交的XML数据
关键词:<!DOCTYPE和<!ENTITY,或者,SYSTEM和PUBLIC
3、不允许XML中含有自己定义的DTD
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
