【Web攻防之业务安全实战指南】第7章 输入/输出模块测试

7.1 SQL注入测试

7.1.1 测试原理和方法

SQL注入就是通过把SQL命令插入Web表单提交或输入域名页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令的目的。具体来说,它是利用现有应用程序,将(恶意)SQL命令注入后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句获取一个存在安全漏洞的网站上的数据库权限,而不是按照设计者的意图去执行SQL语句。

SQL注入按照请求类型分为:GET型、POST型、Cookie注入型。GET与POST两种类型的区别是由表单的提交方式决定的。按照数据类型可分为:数字型和字符型(数字也是字符,严格地说就是一类,区别在于数字型不用闭合前面的SQL语句,而字符型需要闭合)。测试方法分为报错型、延时型、盲注型、布尔型等。

7.1.2 测试过程

靶场:pikachu-SQL-Inject-数字型注入(post)

7.1.2.1 数字型注入

URL:http://192.168.0.108/pikachu/vul/sqli/sqli_id.php

1.正常访问页面

2.添加单引号页面显示

3.添加and 1=1页面显示

4.添加and 1=2页面显示

5.用sqlmap跑数据

payload:python sqlmap.py -u "http://192.168.0.108/pikachu/vul/sqli/sqli_id.php" --data="id=1&submit=%E6%9F%A5%E8%AF%A2" - f --dbms mysql --dbs --batch

7.1.2.2 字符型注入

1.正常访问返回包情况

2.添加单引号返回包情况

3.添加' or '1'='1'#查看返回包情况

4.sqlmap注入成功

payload:python sqlmap.py -u "http://192.168.0.108/pikachu/vul/sqli/sqli_str.php?name=lucy&submit=%E6%9F%A5%E8%AF%A2" - f --dbms mysql --dbs --batch

7.1.3 修复建议

每个提交信息的客户端页面、通过服务器端脚本(JSP、ASP、ASPX、PHP等)生成的客户端页面、提交的表单(FORM)或发出的链接请求中包含的所有变量,必须对变量的值进行检查,过滤其中包含的特殊字符,或对字符进行转义处理。特殊字符如下。·SQL语句关键词:如and、or、select、declare、update、xp_cmdshell;·SQL语句特殊符号:’、”、;等。此外,Web应用系统接入数据库服务器使用的用户不应为系统管理员,用户角色应遵循最小权限原则。

7.2 XSS测试

7.2.1 测试原理和方法

跨站脚本漏洞是Web应用程序在将数据输出到网页的时候存在问题,导致恶意攻击者可以往Web页面里插入恶意JavaScript、HTML代码,并将构造的恶意数据显示在页面的漏洞中。攻击者一般利用此漏洞窃取或操纵客户会话和Cookie,用于模仿合法用户,从而使攻击者以该用户身份查看或变更用户记录以及执行事务。

跨站一般情况下主要分为存储型跨站、反射型跨站、DOM型跨站。存储型跨站脚本可直接写入服务端数据库,而反射型不写入数据库,由服务端解析后在浏览器生成一段类似<script>alert(/xss/)</script>的脚本。

反射型跨站测试方法主要是在URL或输入框内插入一段跨站脚本,观察是否能弹出对话框。存储型跨站测试方法主要是在网站的留言板、投诉、建议等输入框内输入一段跨站脚本,看是否能插入数据库,插入成功的表现为当网站管理人员查看该留言时,会执行跨站语句(如弹出对话框),或者当普通用户再次访问该页面时,会执行跨站语句,如弹出对话框。

7.2.2 测试过程

靶场:pikachu-Cross-Site Scripting

7.2.2.1 反射型XSS

URL:192.168.0.108/pikachu/vul/xss/xss_reflected_get.php?message=&submit=submit

payload:<script>alert(123)<%2fscript>

1.在地址栏输入payload

7.2.2.2 存储型XSS

payload:<script>alert(123)</script>

1.在textarea输入payload,点击submit

2.打开新标签页,弹窗仍生效

7.2.3 修复建议

每个提交信息的客户端页面、通过服务器端脚本(JSP、ASP、ASPX、PHP等)生成的客户端页面、提交的表单(FORM)或发出的链接请求中包含的所有变量,必须对变量的值进行检查,过滤其中包含的特殊字符,或对字符进行转义处理。

特殊字符如下。

·HTML标签的<、“、’、%等,以及这些符号的Unicode值;

·客户端脚本(JavaScript、VBScript)关键字:JavaScript、script等。

此外,对于信息搜索功能,不应在搜索结果页面中回显搜索内容。同时应设置出错页面,防止Web服务器发生内部错误时,将错误信息返回给客户端。

具体建议如下:

·定义允许的行为,确保Web应用程序根据预期结果的严格定义来验证所有输入参数(Cookie、标头、查询字符串、表单、隐藏字段等)。

·检查POST和GET请求的响应,以确保返回的对象是预期的内容且有效。

·通过对用户提供的数据进行编码,从用户输入中移除冲突的字符、括号和单双引号。这将防止插入的脚本以可执行的格式发送给最终用户。

·只要可能,就应将客户端提供的所有数据限制为字母数字数据。使用此过滤机制时,如果用户输入“<script>alertdocumentcookie('aaa')</script>”,将缩减为“scriptalertdocumentcookiescript”。如果必须使用非字母数字字符,请先将其编码为HTML实体,然后再将其用在HTTP响应中,这样就无法将它们用于修改HTML文档的结构。

·使用双因素客户身份验证机制,而非单因素身份验证。

·在修改或使用脚本之前,验证脚本的来源。

·不要完全信任其他人提供的脚本并用在自己的代码中(不论是从Web上下载的,还是熟人提供的)。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值