Web安全与业务
1939年9月1日凌晨,第二次世界大战爆发。德军14个师兵分三路,从北,南,西同时入侵波兰,波军6个集团军80万人组成的防线瞬间瓦解。由于兵力分散和移动迟缓,波军很快被各个击破,到9月21日“布楚拉战役”,主流已全军覆没。这次战争的时间之短,出乎所有人意料,它将一种新的战争模式呈现在人们眼前“闪电战”。
随着新技术、新思维的出现,看不见硝烟的随时出现。
2012年7月,一部由美国制作的电影预告片被传到互联网上,由于包含对伊斯兰教的侮辱,引起了穆斯林的强烈抗议。9月,一个自称“伊兹丁.哈桑网络战士”的黑客组织,在网上声称对美国金融业展开报复性战争。短短几周之中,美国银行,花旗集团,富国银行,美国合众银行、PNC金融服务集团等金融巨头的网上服务因遭受攻击而中断。分布式拒绝服务攻击。
安全与自身发展
有人说互联网是由人组成的,也有人说互联网是由代码组成的。如果说互联网是由代码组成的,那么Web代码占据着互联网至少半壁江山;如果说互联网是由人组成的,那么有人的地方就有江湖,江湖中总是有剑客高手,互联网中也总是有技术黑客高手。
腾讯Q+和 web QQ上拥有近10万个web应用。
google的chrome 网上应用商店提供了7万多个应用,拥有数亿人次的应用用户。
4399.com拥有数万个在线网页游戏。
安卓和苹果上当前17%的应用都是h5开发的,而且比例持续上升。
Web安全-大事记
天涯被黑事件 SQL 入侵
2012年,泄漏数据的网站包括CSDN,天涯,多玩,其中天涯的因为2009年使用的是明文密码,因此泄漏的用户密码是明文的,多玩网(YY语音)的数据是内部员工窃取的,网站未被入侵。
百度被劫持事件 DNS劫持
2010年1月12日上午7点钟开始,中国最大中文搜索引擎“百度”遭到黑客攻击,长时间无法正常访问。主要表现为跳转到一雅虎出错页面、伊朗网军图片,出现“天外符号”等,范围涉及四川、福建、江苏、吉林、浙江、北京、广东等国内绝大部分省市。
淘宝撞库
该团伙于2015年10月14日至16日通过租用的阿里云平台向淘宝发起攻击,获取淘宝账户信息约9900万,其中2059万账户为确实存在并且密码吻合。该团伙通过黑客手段获取的账号主要用于淘宝刷单、抢单、并出售给诈骗团伙,严重扰乱了网络秩序,危害了公民的隐私、财产等安全。专案组根据该线索,顺藤摸瓜抓获姚某、黄某等犯罪嫌疑人4名,经进一步审查发现,该团伙通过自编58个黑客盗号软件,获取用户名+密码32亿组,涉及浙江、江苏、上海、山东、四川、福建、安徽等全国20余个省份用户,涉案金额高达200余万元。
灰色产业链
传奇私服,帐号买卖,商品秒杀,抢月饼等等。
攻击与防御
XSS攻击
XSS[CSS] Cross Site Scripting, 跨站脚本。
跨:主要是因为远程或者是第三方域上的脚本资源。
例子:
eval(location.hash.substr(1));
http://www.crm.net/test_xss.html#alert(‘no’)
类型:
反射型,存储型,DOM XSS
反射型: echo $_GET[‘x’];
存储型:存入到对应的数据库,文件等位置。
DOM XSS: 刚刚演示的那个
经典的漏洞:
2009年出现一次大调整,大量融入HTML元素。
昵称修改为: <iframe x=’发送一条这样的消息给被攻击者:’src=’http:\\%62aidu.com’y=
危害:
挂马,
盗取用户cookies
Dos(拒绝服务)客户端浏览器
钓鱼攻击,高级钓鱼技巧
编写针对性的XSS病毒,删除目标文章,恶意篡改数据,嫁祸,“借刀杀人”
实际案例:
百度登录DIV弹出层窗口存在XSS持久性漏洞。
2005年11月4号 MySpace XSS 蠕虫的模式,凌晨0:34开始,短短5小时后,感染了一百多万用户,并在每个用户的个人签名当中添加了一段文件“but most of all,samy is my hero”,XSS蠕虫鼻祖。
SQL注入
普通注入:
普通注入是指最容易利用的SQL注入漏洞,比如直接通过注入union查询就可以查询数据库。
防御:过滤相应的关键词,强制数据类型,就可以过滤了。
编码注入:
最常见的编码注入是MySQL宽字节以及 urldecode 及 rawurldecode 函数导致的。
编码注入–宽字节注入:
当使用PHP连接mysql 的时候,当设置 “set character_set_client = gbk”时会导致一个编码转换注入的问题,注入参数里带入 %df%27 即可把程序中过滤的 \ (%5c) 吃掉。
%27 代表是 ’ 单引号。
假设/1.php?id=1 存在宽字节注入漏洞,
当提交 /1.php?id=-1’ and 1=1 %23 时,Mysql 运行的sql语句为: select * from user where id = 1 \’ and 1=1#’ 很显然,没有注入成功,因为我提交的单引号被转义导致没有闭合前面的单引号。
但是当我们提交 /1.php?id=-1%df’ and 1=1%23时,这时候Mysql运行的语句为:select * from user where id = ‘1運’ and 1=1#’
这是由于单引号被自动转义成 \’ ,前面的 %df 和转义字符 \反斜杠(%5c)组成了 %df%5c,也就是 “運”字,这时单引号依然存在,于是成功闭合了前面的单引号。
漏洞挖掘:
搜索 SET NAMES 及 gbk 关键字
#号,新的开始
编码注入–二次urldecode注入:
只要字符串被进行转换就有可能产生漏洞,现在的web程序大多都会进行参数过滤,通常使用addslashes(),mysql_real_escape_string(),mysql_escape_string()函数或者开启 GPC 的方式来防止注入,也就是给单引号,双引号,反斜杠和NULL加上反斜杠转义。如果某处使用了 urldecode 或者rawurldecode 函数,则会导致二次解码生成单引号而引发注入。
原理是我们提交参数到 web服务器时,web服务器会自动解码一次,假设目标程序开启了 GPC ,我们提交 /1.php=1%2527,因为我们提交的参数里面没有单引号,所以第一次解码后的结果是 id=1%27,%25解码的结果是%,如果程序里面使用了 urldecode 或者 rawurldecode 函数来界面id 参数,则解码后的结果是 id=1’ 单引号成功出现,引发注入。
挖掘:搜索 urldecode
DDOS攻击
简介:基本上无解的攻击方式。
来源:僵尸网络
就是僵尸程序控制的计算机。
知名的僵尸网络:
1 ZeroAccess 一天 10万美元。
2 Zeus 数百万美元。
僵尸网络组成的节点:
1 普通的PC
2 服务器
3 移动设备
方法:精髓
利用分布式的客户端,向服务提供者发起大量看似合法的请求,消耗或长期占用大量的资源,从而达到拒绝服务的目的。
攻击位置:
攻击网络带宽资源
直接攻击
发射和放大攻击
攻击链路
攻击系统资源
攻击TCP连接
攻击SSL连接
攻击应用资源
攻击DNS服务
攻击Web服务
混合攻击
工具:
综合性工具
Hping 编码和解析TCP/IP 协议的命令行开源工具。 当前版本应该 Hping3
PenTBox 免费的开源安全工具套装。
压力测试工具
LOIC 开源的网络压力测试工具,最初由Praetox公司开发。
HULK 基于python的 Web 压力测试工具。
专业攻击工具
Slowloris 是一个Perl程序,有Perl运行环境即可。
成本和收益:
首先抛弃只有“黑客”才能攻击的概念,因为分工现在已经很明确了。
大部分“黑客”都专注于特定领域,有的擅长发现漏洞,有的善于开发工具,有的负责入侵过程,有的专门处理帐号信息。
就DDOS攻击来说,一些“黑客”会建立和维护所谓的“攻击网络”。他们有的利用僵尸网络,有的控制高性能服务器,形成攻击能力后对外提供租用服务器。而最终的租用者很可能只是不具备任何专业知识的普通人。
30000元/月,开始。
收益:
单纯破坏发现没什么意义。
敲诈/报复
10%利润:
20%利润:
100%利润:
治理及缓解:
治理僵尸网络,
反射点等
SQL注入演示
演示网站:
工具演示:
加强web安全
编码规范
参数的安全过滤
第三方过滤函数与类 PHP安全里面的 80sec SQL注入过滤的类。
内置过滤函数
安全的加密算法
对称加密
非对称加密
业务功能安全设计
验证码
不刷新直接绕过
暴力破解
机器识别
打码平台 云速 Q赚
验证码资源滥用
配置规范
web服务器
Linux服务器
sql服务器
php本身
白名单
对于固定用户的,可以使用白名单机制。
扫一扫
1108
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
