《白帽子讲web安全》读书笔记系列5:注入攻击与防御

最新推荐文章于 2022-12-02 22:42:53 发布
最新推荐文章于 2022-12-02 22:42:53 发布
阅读量275 收藏
点赞数
分类专栏: 系统安全 文章标签: 白帽子讲web安全 SQL注入 注入攻击

1、SQL注入

注入攻击的本质:把用户输入的数据当做代码执行

条件1:用户可以控制输入;

条件2:代码拼接了用户输入的数据

 

最简单的恶意输入:beijing';drop table orderstable--

 

如果web服务器开启了错误回显,将利于攻击者获取敏感信息,为其提供便利。

 

盲注:服务器关闭回显情况下完成的注入攻击

最常见的盲注验证方法是:构造简单的条件语句,根据返回是否发生变化来判断sql语句是否得到执行

比如将入参设置为:1 and 1=1 和 1 and 1=2

 

Timing Attack

盲注的高级技巧,通过类似于benchmark()函数结合database()、system_user()、current_user()、last_insert_id()等函数,通过返回时间长短,破解出敏感信息。

如果当前数据库用户具有写权限,攻击者还可以将信息写入本地磁盘文件,比如写入web目录中,然后下载这些文件;此外,通过dump文件的方法,还可以写入一个webshell。

 

2、数据库攻击技巧

常见的攻击技巧:

1)利用union select来分别确认表名、列名是否存在;

2)通过判断字符的范围猜解出username和password等,工具:sqlmap.py;

3)利用读写文件的技巧,读取敏感信息(如/etc/passwd等),写入到本地文件,或者写入到自行创建的表中;写入文件的技巧经常被用于导出一个webshell,为进一步攻击做铺垫。

4)写入文件操作的区别:into dumpfile,into outfile,前者适用于二进制文件,将目标写入一行;后者更适用于文本文件。

 

命令执行

在mysql中,除了通过导出webshell间接执行命令外,还可以利用“用户自定义函数”的技巧,及UDF(user-defined functions) 来执行命令;尤其当运行mysql进程的用户为root时,将可能直接获得root权限。

mysql5之后的版本可通过lib_mysqludf_sys提供的几个函数执行系统命令,主要是sys_eval()和sys_exec();注入工具sqlmap已经集成了此功能。

SQL Server,可直接使用存储过程xp_cmdshell执行系统命令

Oracle,如果服务器同时还要java环境,也可能造成命令执行。

建议1:建立数据库账户时应该遵循“最小权限原则”,避免给Web应用使用数据库的管理员权限。

建议2:避免使用root启动数据库

 

攻击存储过程

在SQL Server和Oracle中存在大量内置存储过程,将为注入攻击者提供便利;同时,存储过程本身也可能存在注入漏洞。

 

编码问题

如果在数据流转过程中存在字符转换,某些字符可能丢失,从而受到攻击;

解决办法:统一数据库、操作系统、web应用所使用的字符集,比如统一为utf8;如果确实无法统一字符集,则需要单独实现一个用于过滤或转义的安全函数,在其中需要考虑到字符的可能范围,根据系统所使用不同字符集来限制用户输入数据的字符允许范围,以实现安全过滤。

 

SQL column truncation

Mysql有一个sql_mode选项,当没有开启strict_all_tables时,对于用户插入的超长值则只会提示warning,数据被截断插入,而不是error,这可能导致发生一些“截断”问题,从而可能引起越权访问之类的问题。

比如新建一个admin(55个空格)x的用户,则可能越权访问admin才有权限访问的资源。

 

3、正确的防御SQL注入

1)找到所有的SQL注入漏洞

2)修补这些漏洞

 

1)使用预编译语句:只对用户的输入做一些escape处理是不够的,增加一些过滤字符也不是很好的方案,防御sql注入的最佳方式为使用预编译语句,绑定变量。使用预编译语句,变量用?表示,SQL语句的语义不会发生变化。

2)使用存储过程,使用安全的存储过程可对抗SQL注入,但同时存储过程本身也可能存在注入问题;

3)检查数据类型:integer、时间、日期、邮箱;

4)使用安全的函数:根据数据库厂商的“指导”,使用足够安全的编码函数。

 

总之:

1)为应用分配“最小权限原则”的数据库用户,避免使用root或dbowner等高权限账户;

2)多个应用共用一个数据库,则应该为每个应用分配不同的账户;

3)web应用的数据库账户,不应有创建自定义函数、操作本地文件的权限。

 

4、其他注入攻击

被攻击应用共性:违背了“数据与代码分离”的原则。

XML注入

代码注入

代码注入和命令注入往往都是由一些不安全的函数或方法引起,如eval()、system();Java的脚本引擎、PHP、JSP的动态include都可能导致代码注入;建议禁用危险的函数,PHP/JSP中避免使用动态include,如果一定要用,需要对输入数据进行处理。

CRLF注入

CR \r LF \n \r\n表示换行符

CRLF常用做不同语义直接的分隔符,注入CRLF字符,可能改变原有的语义。

Http Response Splitting 在HTTP头中的CRLF注入,可能导致XSS攻击;某种程度上HTTP Response Splitting的危害比XSS还大,因为它破坏了HTTP协议的完整性。

对抗CRLF只需要处理好\r \n这两个保留字符即可,尤其是那些使用“换行符”作为分隔符的应用。

 

 

 

 

 

 

 

 

 

 

 

 

川中胡子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《白帽子讲Web安全》7-注入攻击
CD的博客
03-30 631
第7章 注入攻击 注入攻击是Web安全领域中一种最为常见的攻击方式。 注入攻击的本质,是把用户输入的数据当做代码执行。 有两个关键条件: 用户能够控制输入 原本程序要执行的代码,拼接了用户的数据
sql注入 黑客攻击 白帽子讲web安全
08-03
1.1.3Web安全的兴起 常见攻击:SQL注入,XSS(跨站脚本攻击) “破坏往往比建设容易”,但凡事都不是绝对的。一般来说,白帽子选择的方法,是克服某种攻击方法,而并非抵御单次的攻击。比如设计一个解决方案,在特定环境下能够抵御所有已知的和未知的SQL Injection问题。假设这个方案的实施周期是3个月,那么执行3个月之后,所有的SQL Injection问题都得到了解决,也就意味着黑客再也无法利用SQL Injection这一可能存在的弱点入侵网站了。如果做到了这一点,那么白帽子们就在SQL Injection的局部对抗中化被动为主动了。 跟机场安全检查进行类比。通过一个安全检查(过滤,净化)的过程,可以梳理未知的人或物,使其变得可信任。被划分出来的具有不同信任级别的区域,我们成为信任域,划分两个不同信任域之间的边界,我们称之为信任边界。 数据从高等级的信任域流向低等级的信任域,是不需要经过安全检查的;数据从低等级的信任域流向高等级的信任域,是需要经过信任边界的安全检查。 安全问题的本质是信任的问题。 一切的安全方案设计的基础,都是建立在信任关系上的。我们必须相信一些东西,必须要有一些最基本的假设,安全方案才能得以建立。 1.5安全的三要素安全的三要素是安全的基本组成元素,分别为机密性(Confidentiality),完整性(Integrity),可用性(Availability)。 机密性要求数据内容不能泄露,加密是实现机密性要求的常见手段。如果不将文件存在抽屉里,而是放在透明的盒子里,那么虽然无法得到这个文件,但是文件的内容将会被泄露。 完整性则要求保护数据内容是完整,没有被篡改的。常见的保证一致性的技术手段是数字签名。 可用性要求保护资源是“随需而得”。 举例来说,假如有100个车位,有一天一个坏人搬了100块大石头将车位全占了,那么停车场无法再提供正常服务。在安全领域中叫做拒绝服务攻击,简称DoS(Denial of Service)。拒绝服务攻击破坏的是安全的可用性。
WEB攻击防御
Dreamlee的博客
03-31 736
这里列举一些常见的攻击类型与基本防御手段:XSS攻击跨站脚本(Cross-site scripting,简称XSS),把JS代码注入到表单中运行例如在表单中提交含有可执行的JS的内容文本,如果服务器端没有过滤或转义这些脚本,而这些脚本由通过内容的形式发布到了页面上,这个时候如果有其他用户访问这个网页,那么浏览器就会执行这些脚本,从而被攻击,从而获取用户的cookie等信息。解决办法:接收表单时把用...
【Web安全】注入攻击
RexHa的博客
12-02 2205
《白帽子讲Web安全》详解注入攻击
《白帽子讲Web安全》| 学习笔记注入攻击
qq_42646885的博客
07-10 440
第7章注入攻击 注入攻击的本质是,把用户输入的数据当作代码执行。有两个关键的条件:一是用户能够控制输入;二是原本程序要执行的代码,拼接了用户输入的数据。 1、SQL注入 SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL注入攻击是一种比较常见的针对数据库的漏洞攻击方式。在SQL注入的过程中,如果网站的Web服...
吴翰清:白帽子讲Web安全
02-21
安全宝副总裁、前阿里巴巴集团高级安全专家吴翰清将携他的《白帽子讲Web安全》一书做客问答栏目。以下为采访正文:吴翰清(刺哥/总,大风哥),安全宝副总裁,前阿里巴巴集团高级安全专家。毕业于西安交通大学少年班...
白帽子讲web安全 完整版
03-12
《白帽子讲Web安全》是一本深入探讨网络安全领域中Web应用安全的专业书籍,全面覆盖了Web安全的基础理论、常见威胁及防御策略。随着互联网技术的不断发展,Web应用已经成为日常生活和工作中不可或缺的一部分,...
白帽子讲Web安全
01-16
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
白帽子讲web安全 编码问题sql注入笔记
滕青山博客
02-27 242
前言 在书上166面的7.2.4编码问题,讨论了宽字符集,GBK编码导致的漏洞。但是有些地方讲得有点迷糊,也许还有错别字。 所以我结合国外在06年发布的addslashes() Versus mysql_real_escape_string()这篇文章分析了一下。 问题1 这里需要知道,作者借char表达的意思是字符,不是字节。 但是加的图所说的“db interprets as 2 chars”和上面的“0xbf27 和 0xbf5c都会被认为是一个字符”就让人头疼了。 所以需要对照着英文
【白帽子讲Web安全】第七章注入攻击读书笔记
weixin_44722125的博客
03-21 275
7 注入攻击 两个关键条件: 第一个是用户能够控制输入。 第二个是原本程序要执行的代码,拼接了用户输入的数据。 7.1 SQL注入 在拼接的过程中导致代码注入,也可利用错误回显进行注入。 7.1.1 盲注 盲注,即在服务器没有错误回显时进行的注入攻击, 常用的方法:构造简单的条件语句,根据返回页面是否发生变化,来判断SQL语句是否执行。 在攻击者构造条件 “and 1=1” 时。如果页面正常返回,...
【白帽子讲web安全】第五章 点击劫持
Sunny_Ducky的博客
04-28 211
《白帽子讲web安全》读书笔记以及读后感
Alexz__的博客
06-15 1781
因为本书作于2010年前,书中所使用的部分技术版本已经过于老旧,很多书中提到的攻击方法和绕过思路都已经严重落后,但之所以本书会成为安全界的经典必读书目,就是因为本书所讨论的安全思想尤为精华,对于企业来说的安全建设十分有用,所以我打算读这本书的过程中主要记录下来一些重要的安全思路,绕过思想,重要的烧过姿势,不回去特意记录他所有的精工代码等等 对于IT这个领域来说10年的时间足矣改变整个行业的组织架构,走了很多,也来了很多 第一章 我的安全世界观 1.4 安全是一个持续的过程;破...
白帽子讲WEB安全
cococoala blog
12-04 2011
白帽子讲安全 文章目录 我的安全世界观 安全三要素-CIA 机密性 Confidentiality 数据不被泄漏 加密 完整性 Integrity 保护数据内容完整的、没有被篡改 数字签名 可用性 Availability DOS-Denial Of Service 攻击会破坏可用性 拓展:可审计性、不可抵赖性 如何实施安全评估 互联网安全的核心问题,是数据安全的...
白帽子之web漏洞---sql注入
鼓浪屿岛与海的博客
12-06 401
一.原理 通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句 二.危害 当攻击注入的sql语句被发送到服务器端数据库中后,通过...
sql注入简单介绍
qq_42569334的博客
09-28 291
sql注入: 注⼊攻击是 Web 安全领域中⼀种最为常⻅的攻击⽅式。 XSS 本质上也是⼀种针对 HTML 的注⼊攻击。 注⼊攻击的本质,是把⽤户输⼊的数据当做代码执⾏。 这⾥有两个关键条件: 1.⽤户能够控制输⼊ 2.原本程序要执⾏的代码,拼接了⽤户输⼊的数据 。 1. SQL 注⼊简介 SQL 注⼊攻击简介: 在今天,SQL 注⼊对于开发者来说,应该是⽿熟能详了。⽽ SQL 注⼊第 ⼀次为公众所知,是在 1998 年的著名⿊客杂志《Phrack》第 54 期上, ⼀位名叫rfp的⿊客发表了⼀篇题为"NT
【白帽子讲web安全】关于XSS,CSRF,SQL注入
The Summer, The Winter
05-29 2035
1.XSS 分类:      1.反射型:给用户发送页面或者链接,让用户点击来进行攻击      2.存储型:把攻击存放在服务端,可能造成传播(比如博客系统,每个访问该页面的人都有可能被攻击),主动性更强      3.DOM型:本质上是反射型,但是是通过用户点击,修改原本dom元素的属性,构造攻击动作 反射型和dom型区别:      反射型是构造好了攻击动作,然后就等你打开那个页面
学习web安全,强烈推荐这本《白帽子讲web安全》!
热门推荐
codedz的博客
05-29 2万+
Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联网公司安全业务中最重要的组成部分。 下面来看看几种常见的web漏洞: 1.XSS跨站脚本攻击 XSS跨站脚本攻击,通常指黑客通过”HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。XSS根据效果的不同还分为:反射型XSS、存储型XSS、DOM Based XSS   ...
python小程序代码.docx
最新发布
07-19
python小程序代码
微调YOLO:定制化对象检测的秘诀
07-19
YOLO(You Only Look Once)是一种流行的实时对象检测系统,最初由 Joseph Redmon 等人在 2015 年提出。它的核心思想是将对象检测任务视为一个回归问题,直接从图像像素到边界框坐标和类别概率的映射。YOLO 以其快速和高效而闻名,特别适合需要实时处理的应用场景。 以下是 YOLO 的一些关键特点: 1. **单次检测**:YOLO 模型在单次前向传播中同时预测多个对象的边界框和类别概率,不需要多次扫描图像。 2. **速度快**:YOLO 非常快速,能够在视频帧率下进行实时检测,适合移动设备和嵌入式系统。 3. **端到端训练**:YOLO 模型可以从原始图像直接训练到最终的检测结果,无需复杂的后处理步骤。 4. **易于集成**:YOLO 模型结构简单,易于与其他视觉任务(如图像分割、关键点检测等)结合使用。 5. **多尺度预测**:YOLO 可以通过多尺度预测来检测不同大小的对象,提高了检测的准确性。 YOLO 已经发展出多个版本,包括 YOLOv1、YOLOv2(也称为 YOLO9000)、YOLOv3、YOLOv4 和 YOLOv5 等。
《白帽子讲Web安全》- 吴翰清:揭秘互联网安全防护
本书《白帽子讲Web安全》由吴翰清著,深入浅出地介绍了Web安全领域的核心概念和常见攻击手段。书中详细讲解了多种Web应用的安全隐患,包括: 1. 跨站脚本攻击(XSS):这是一种允许攻击者在用户的浏览器上执行恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值