对未标记为可安全执行的脚本_API安全测试(二)

最新推荐文章于 2020-12-09 17:33:58 发布
最新推荐文章于 2020-12-09 17:33:58 发布
阅读量138 收藏
点赞数
文章标签: 对未标记为可安全执行的脚本

d6995f080d1c7669b9f0fe17d3970c5c.png

翻译文章,原文:API Security Testing (Part — 2)

fbabefadfe8191dcd50ab794cd1822e4.png

正如我之前告诉您的那样,对于大多数渗透测试人员,API安全测试是一个复杂的领域。在测试安全性部分时,我们不应充当脚本小子。尽管可以发现更多的漏洞。我将重点缩小到重要缺陷上。可能需要第三部分才能完成本系列。

XXESSRF 现在是API端点中的两个主要漏洞。我在这里使用的屏幕截图来自PortSwigger Academy,因为我无法使用实时屏幕截图。保密很重要!!

第五步:

XXE — XML外部实体(XXE)注入

XML —可扩展标记语言

看到这些缩写后,您可能会想知道什么是外部实体?为什么我们只在这里关注XML,为什么不关注HTML外部实体或SAML外部实体等等呢?

顾名思义,XML与应用程序服务器文件系统以及任何后端或外部系统上的文件进行交互。

HTML是一种标记语言,可以帮助您创建和设计Web内容。而XML文档可以在系统和应用程序之间传输。借助XML,您可以在不同平台之间快速交换数据。

在渗透测试期间,所报告的HTML漏洞已由开发人员处理,我们进行了探索以查找其他标记语言的漏洞。发现大多数API开发人员使用的xml version ="1.0" 容易受到攻击。

下一个查询是为什么使用外部实体而不是内部实体?这很简单。在引用外部实体时,标记语言表示系统上的文件,在本例中为运行应用程序的Web服务器。当说内部实体时,它是指在其代码内部编写的实体。

1a09df7989245638c8d0af049608ab0c.png

怎么找到XXE注入?

  • 在urpSuite中捕获XML请求。
  • 转到BURP HTTP历史记录并过滤所有XML请求,以简化测试。

032f2762e3d62071695f13fa08f11fb7.png
  • 过滤出XML请求后,您将看到类似这样的请求。

42b16234abffafc27e40a059ff6219aa.png
  • 然后,您尝试对XML代码进行此修改。在XML声明和stockCheck元素之间插入以下外部实体定义:
<!DOCTYPE test [ <!ENTITY xxe SYSTEM “file:///etc/passwd”> ]>
  • 然后将productId号替换为对外部实体的引用:&xxe; 。在下一个响应中,您将找到/etc/passwd文件。就像下面一样。

3137a6bbf01ddf03057fab32a9f6c8a3.png
  • 现在,如果您看到我的屏幕快照,您会清楚了解有效载荷的放置位置并找到敏感数据
  • 请注意,实时攻击并非如此简单。它需要渗透测试人员灵活地修改有效负载。
  • 在测试API端点时,为了更安全,我们执行Blind XXE攻击。(注:FreeBuf上的一篇文章Blind XXE详解与Google CTF一道题分析

XXE的影响:

  • 我们可以检索内部文件。
  • 我们还可以执行远程代码和SSRF。

临时解决:

防止XXE的最安全方法始终是完全禁用DTD(外部实体)。取决于解析器,该方法应类似于以下内容:

factory.setFeature(“http://apache.org/xml/features/disallow-doctype-decl", true);

禁用DTD还可以使解析器安全地抵御拒绝服务(DOS)攻击,例如Billion Laughs。如果无法完全禁用DTD,则必须以特定于每个解析器的方式禁用外部实体和外部文档类型声明。 (来源OWASP)

第六步:

您已经听说过CSRF(跨站点请求伪造),并且知道如何执行。什么是SSRF?

SSRF —服务器端请求伪造

当应用程序盲目地信任用户并按照给定的方式执行其输入,并且Web服务器的OS也信任该应用程序的输入时,就会发生。这就是背叛的游戏。现在《权力的游戏》主题响了。如果您正在寻找具体的定义,则为:

“服务器端请求伪造(也称为SSRF)是一个网络安全漏洞,攻击者可以利用该漏洞诱使服务器端应用程序向攻击者选择的任意域发出HTTP请求。”

怎么找SSRF?

  • 您可以在任何请求中找到它。 GET或POST请求都无关紧要。
  • 没有参数,您可以尝试使用“ URL重定向攻击”点来执行它。
  • 实时,如果在API中发现内部IP披露漏洞,则可以在有效负载中使用该IP地址来执行此攻击。

我是怎么做的

  • 在这里,我找到了要插入的stockapi参数。

53433e3e37c374350e0fbd818176cf2e.png
  • 当我给/admin参数时,什么也没有发生,没那么容易。

8142bed265f855fa636322439767415d.png
  • 我进行了一点小的改动http//localhost/admin进行了一些更改。看起来很简单。

6df3495e900fc9b8dee7f8132fee7485.png
  • 可能是我在管理页面中。谁知道 ?让我们尝试删除一个用户。

e4d24edd754a2817158e617f4570aa2a.png
  • 您会看到“成功”消息。我从之前的屏幕快照中删除了一个名为“ carlos”的用户。

SSRf的影响可能是任何事情。该攻击也与XXE攻击有关。您可以从XXE执行SSRF。您集思广益!通常,它可以执行内部端口和地址的扫描。但是您已经看到,如果使用得当,它可以删除用户。

缓解措施:它可以像输入验证一样简单。为防止Web应用程序中出现SSRF漏洞,强烈建议使用允许的域和协议的白名单,Web服务器可从中获取远程资源。

weixin_39705435
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mac好用的脚本编辑器软件——“Script Debugger”
weixin_34377065的博客
05-06 2447
想让你的计算机系统简单,可靠和自动化?Script Debugger Mac是一款非常好用的脚本调试工具,它通过使AppleScript编码更容易,更快速,更透明来实现这一目标。通过Script Debugger的代码创建功能,最大限度地提高您的工作效率并轻松快速地编写脚本。功能1、字典浏览器使用Dictionary Explorer,您可以直接查看任何可编写脚本的应用程序中...
《Web漏洞防护》读书笔记——第6章,XXE防护
jexsen的博客
04-07 529
《Web漏洞防护》读书笔记——第6章,XXE防护 XXE介绍 XXE漏洞是指由于在XML文件中注入了外部实体而造成的攻击。 XML介绍:XML是一种用于标记电子文件并使其具有结构性的可扩展标记语言。 由以下几个元素所组成: XML声明,DTD(跟在XML声明后,程序既可以在内部声明DTD,也可以引用外部的DTD文件),实体(需要在DTD内进行声明,分为内部声明实体、外部引用实体),根元素(XML文件有且仅有一个根元素,可以自定义根元素),元素(XML文件的主体内容,也可以成为XML代码),注释(使用格式进
Windows XP Windows7通过注册表将 IE中 对标记为可安全执行脚本的activex控件初始化并执行脚本 设置为启用
03-17
NULL 博文链接:https://woshizn.iteye.com/blog/569117
标记为可安全执行脚本_因Edge文件权限与IE发生冲突可导致XXE攻击
weixin_39603598的博客
12-04 309
安全研究员John Page在3月27日向发现了微软的一个XXE漏洞并向其报告了具体情况,随后于4月10日发布了漏洞详情。目前,虽然微软还修复该漏洞,但已发布了一个微密码,可拒绝远程攻击者泄漏本地文件以及限制在本机上的活动。关于该漏洞,研究人员专门发布了一个视频用于展示如何利用:https://v.qq.com/x/page/m0862vlfmj3.html漏洞简介当用户在打开使用Edge浏览器...
jet_meta:用于 JavaScript 的元数据处理器
06-06
文件列表中的 "jet_meta-master" 很可能是一个项目的主分支,通常包含源码、测试文件、示例、文档和构建脚本等资源。要深入理解 jet_meta 如何工作,你可以查看其源代码,了解其内部实现和接口设计。同时,阅读文档...
autocr:[维护]用于自动OCR的Chrome扩展程序
05-03
虽然“autocr”被标记为“维护”,这意味着它可能不再接收更新或修复,可能存在一些已知的问题或者与新版本的Chrome浏览器兼容性问题。对于用户来说,这可能意味着在使用过程中可能会遇到一些不稳定的情况或者功能...
看图识字_微信小程序模板js代码前台前端H5页面源码.rar
最新发布
08-09
下面将对这些知识点进行深入的解析。 1. **微信小程序**:微信小程序是腾讯公司推出的一种轻量级的应用开发平台,它允许开发者在微信内部构建功能丰富的应用程序,无需用户下载安装即可使用。微信小程序基于一套...
JavaScript实现删除,移动和复制文件的方法
10-23
- 解决方法是在IE的安全设置中,将“对标记为可安全执行脚本的ActiveX控件初始化并执行脚本”设置为“启用”,但要注意这仅适用于本地开发,不应用于生产环境。 6. **跨平台解决方案**: - 对于现代浏览器,...
如何将网页表格内容导入excel
12-03
在Internet选项的安全设置中,需要允许标记为可安全执行脚本的ActiveX控件初始化和执行脚本。 6. **HTML元素**: - 在HTML中,添加一个按钮 `(...)">`,点击时触发`ExportExcel`函数。 - 为了正确工作,表格...
常见漏洞的原理与防御
Jerry____的博客
05-20 1627
一:SQL注入 原理:将SQL语句插入或添加到用户输入的参数种,然后提交到数据库执行。 修复: 1、使用参数化查询 2、对用户输入的特殊字符(单引号、上引号等)进行转义或者编码。 :XSS 原理:攻击者在网页中插入恶意代码。 危害: 1、盗取用户的Cookie(保存到测试者的服务器) 2、钓鱼网站 3、广告页面 4、网站挂马。先将恶意攻击代码嵌入到Web应用程序之中。当用户浏览该挂马页面时,用户的计算机会被植入木马。 防御: 1、对参数做html转义过滤(要过滤的字符包括:单引号、双引号、大于号、小于号,
XXE攻防——XML外部实体注入
aezwm4109的博客
05-24 2129
转自腾讯安全应急响应中心 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外...
XML注入攻击总结
热门推荐
qq_32238611的博客
09-08 1万+
XML注入攻击总结普通的XML注入 普通的XML注入 原理 XML注入攻击和SQL注入攻击的原理一样,利用了XML解析机制的漏洞,如果系统对用户输入"<",">"没有做转义的处理,攻击者可以修改XML的数据格式,或者添加新的XML节点,就会导致解析XML异常,对流程产生影响。 如何注入攻击 如下XML是用于注册访问用户,其中用户名是由用户自己输入的。 <?xml version="1.0" encoding="UTF-8" ?> <user role="gues
标记为可安全执行脚本_Google如何利用内容安全策略缓解Web漏洞
weixin_39807067的博客
12-09 405
跨站脚本攻击(Cross Site Script,简称CSS),通常又被称为XSS,是当今网络上最常见的漏洞类型之一。通过XSS漏洞,恶意攻击者可以在经授权的情况下往Web页面里插入恶意html代码,当用户浏览该页面时,嵌入Web里面的html代码会被执行,从而达到恶意用户的特殊目的,如窃取各类用户账号(网银账号、设备登录账号等),读取、篡改、添加和删除企业敏感数据,非法转账以及网络挂...
Windows XP Windows7通过注册表将 IE中 对标记为可安全执行脚本的activex控件初始化并执行脚本 设置为启用...
在CSDN寻找woshizn
01-13 3647
  如果程序需要通过 运行网页脚本(如javascript)调用本地文件。   会报[object error].   就需要 将 IE中 -- 工具 -- internet选项 -- 安全 -- 自定义级别   对标记为可安全执行脚本的activex空间初始化并执行脚本  设置为启用     如果给要用户自己设置实在麻烦。     可以写一个注册表项,双击运行即达到目的。   ...
标记为可安全执行脚本_前端需要知道的 HTTP 安全头配置
weixin_39566773的博客
10-27 365
作者:webbwang链接:https://github.com/lvwxx/blog/issues/17在本文中,将介绍常用的安全头信息设置,并对每个响应头设置给出一个示例。Content-Security-Policy内容安全策略(CSP)常用来通过指定允许加载哪些资源来防止跨站点脚本攻击。在接下来所介绍的所有安全头信息中,CSP 可能是创建和维护花费时间最多的而且也是最容易出问题的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值