文章版权©归属本文作者:南城无笙(NorthCity Mr.Silence)所有,禁止一切盗版、未经同意的转载行为,一旦发现必将与CSDN沟通,同时追究其责任。
非法转载必追究责任,本文章分多篇更新。
声明
本文中,部分有关Web漏洞的历史及第一次出处参考了道哥的《白帽子讲Web安全》如侵犯著作权,请联系我进行内容调整。
代码安全重要性
代码安全其实在网络资产中具有着很重要的地位。
比如一个厂商或者个人的Web资产,代码安全方面出现了问题,导致了诸多高危漏洞,造成的损失与剩下的时间相比,轻重显而易见。
本篇文章的侧重点就在于浅谈Web安全中的重要漏洞 以及其的代码规范。
OWASP TOP10 A1:Injection
Web安全的头等大敌自然要数SQL注入了,这个漏洞在刚出现时可谓轰动了网络安全行业,一夜之间,各大厂商的Web资产都变得处于危险之中,SQL注入也可以成为网络安全行业的一大里程碑事件。
如图是OWASP TOP10 RC2内部发行版本的SQLi排行,在每次的评级中,无一例外,SQLi都是A1级别。:
下面进入Injection漏洞的正题:
一名名为RFP的黑客发布的一篇文章*(NT Web Technology Vulnerabilities)中,介绍这种漏洞,及其攻击技巧。
下面是一个典型的例子:
var Name;
Name = Request.form ("ExampleTest");
var sql = "select * from TestTable where Name='"+Name+"'"
=====>Example Code<=====
那么正常情况下,用户通过提交数据:Tom,则语句变成了如下的情况:
SELECT * FROM TestTable where Name = "Tom"
上述是正常的生产环境中正常功能实现,但是如果用户构造一段SQL语句:
Tom'; drop table TestTable--
那么,真正所执行的语句,就变成了:
SELECT * FROM TestTable WHERE Name= 'Tom';drop table Testtable--'
所以,这个地方构成了一段代码注入,导致了意外地SQL查询执行,通过SQL注入Payload可以攻击目标的数据库,将数据库中的数据越权下载(即被常提起的“拖库”)
SQL注入也包含很多类型,例如最简单的Union联合查询注入、Error 注入、Timing Injection等,同时,很多injection漏洞也可以导致命令执行(导出webshell或利用自定义函数执行命令,有些时候构造sqlmap语句,可以直接getshell,例如:
sudo sqlmap -u "http://example/..?id=1" --os-shell
那么,下面来介绍下SQL注入的代码防御:
对于SQL注入,只进行简单的过滤是不安全的,例如:
$sql = "SELECT id,name FROM register WHERE id=".mesql_real_escape_string($_GET['id'])""
这段代码其实针对SQLi的payload进行了很小程度的防护,但是远远不够,如果构造payload为:
www.example.com/index.php?id=12,AND,1=0,union,selec
t,1,concat(user,0x3a,password),3,4,5,6,7,from,sql.user
,where,user=substring_index(current_user(),char(64),1)
那么,防御SQL注入的最好方式究竟是什么呢?
一般情况下,最好的方式就是使用预编译语句,比如在这段java代码中:
$query = "INSECT INTO MyCity (Nmap,CountryCode,District) VALUES (?,?,?)";
$stmt = $mysqli->prepare($query);
$stmt->bind_param("sss",$val1,$val2,$val3);
$val1 = "Stuttgart";
$val2 = "DEU"
$val3 = "Baden-Wuerttemberg";
/* Execute the Statement */
$stmt->execute();
上述是预编译语句的例子(例子代码借鉴于《白帽子讲web安全》)
下面介绍一下检查输入数据类型的方法:
<?php
settype($offset,'integer');
$query = "SELECT id FROM Test ORDER BY id LIMIT 20 OFFSET $offset;";
$query = sprintf("SELECT id FROM Test ORDER BY id LIMIT 20 OFFSET %d;,$offset");
?>
同时,使用安全的函数也可以大幅度避免SQL注入的出现。
XSS(Cross Domain Script)
XSS,全程Cross Domain Script,跨站脚本,因为和层叠样式表CSS区分,叫做XSS。是OWASP TOP10中的A7级别漏洞(内部发行版RC2)
XSS的出现,可以说是网络安全行业的第二个里程碑
现如今,通过XSS(一般危害大的XSS都是存储型的XSS)加载hook,钩住用户浏览器的也并不少见。
下面来举个XSS的例子:
<?php
$input = $GET["INPUT"];
echo "<div>".$input."</div>";
?>
上面的代码,直接的将用户输入的内容输出
如果访问http://example.com/php?INPUT=hello!
那么,源代码就是:
<?php
$input = $GET["INPUT"]
echo "<div> hello!</div>"
但是如果提交一段HTML代码,那么:
访问http://example.com/test.php?INPUT=
那么源代码就变成了:
<?php
$input = $GET["INPUT"];
echo "<div><script>alert(/xss/)</script></div>";
这是会触发XSS漏洞,导致HTML代码注入,这个代码会造成一个alert弹窗,弹出一个JS脚本形式的弹窗,弹窗内容是/XSS/。
通过src等标签,可以加载URL,通过这个URL,可以加载一个类似于Worm‘的JS代码,从而诱使目标访问,然后hook对方的浏览器,可以进行很多操作,其中包括但不限于:alert弹窗、录制屏幕、上传文件等。
那么,防御XSS攻击也是一个重点。
防御XSS的一种非常好的方法之一就是HTTPOnly,HTTPonly可以防止cookie劫持,从本质上导致XSS漏洞即视被成功利用也不能造成什么大的危害,HTTPOnly一般是在setcookie时使用的。
HTTPonly的使用十分灵活,实例如下:
<?php
header("Set-Cookie:cookie1=test;httponly",false);
?>
以上实例就是使用了HTTPonly来防止Cookie劫持,达到一个以柔克刚的作用。
同时还可以利用输入检查,配合WAF可以有奇效。
总结
这篇文章由于作者时间原因只谈论了两个漏洞,在以后会介绍更多漏洞。
其实,这里介绍的只是一些代码上的注意事项,还可以使用WAF来进行防御,包括软件WAF、硬件WAF设备、云WAF等,不过WAF的拦截规则终归是人设计的,所以必定存在可以绕过的方式,所以,安全并不是一个可以有一个完美的解决方案的问题,他是一个长久的,与恶意攻击者斗争的一个过程。这个过程需要厂商技术人员和所有白帽子的努力,来完善这个网络的安全。
希望这篇文章可以对那些为Web安全而奋斗的人有所帮助、启发。希望所有人重视网络安全。(这也是就最近8e Q绑泄露而想说的)。
最后再次声明:本作者所有文章,未经本人允许,不准转载、盗版,所有侵权行为,本人均会选择维权。(最近很多不知廉耻的人盗文章,就此说明!洁身自好) Copyright:南城无笙