Web Security
公羽龙天
Stay hungry,stay foolish
展开
-
Web Server配置安全
Apache安全Web Server的安全我们关注两点:一是Web Server本身是否安全;二是Web Server是否提供了可使用的的功能。纵观Apache的漏洞史,它曾经出现过多次高危漏洞,但这些高危漏洞大部分是由Apache的Module造成的,Apache核心的高危漏洞几乎没有。因此,检查Apache安全的第一件事,就是检查Apache的Module安装情况,根据“最小权限原则”...原创 2020-02-17 16:20:32 · 340 阅读 · 0 评论 -
Web框架安全
模板引擎与XSS防御XSS攻击是在用户的浏览器上执行的,其形成过程则是在服务器端页面渲染时,注入了恶意的HTML代码导致的。从MVC架构来说,是发生在View层,因此使用“输出编码”的防御方法更加合理,这意味着需要针对不同上下文的XSS攻击场景,使用不同的编码方式。“输出编码”的防御方法有以下几种:在HTML标签中输出变量 在HTML属性中输出变量 在script标签中输出变量 ...原创 2020-02-01 16:42:13 · 346 阅读 · 0 评论 -
PHP一句话木马后门
在我们进行渗透测试的最后阶段,入侵到内网里,无论是想要浏览网站结构,还是抓取数据库,或者是挂个木马等等,到最后最常用的就是执行一句话木马,从客户端轻松连接服务器。一句话木马的原理很简单,造型也很简单,所以造成了它理解起来容易,抵御起来也容易。于是黑白的较量变成了黑帽不断的构造变形的后门,去隐蔽特征,而白帽则不断的更新过滤方法,建起更高的城墙。 一、原理简述对于不同的语言有不同的构造...转载 2019-02-25 16:15:27 · 1642 阅读 · 0 评论 -
XSS的防御
XSS的防御是复杂的。流行的浏览器都内置了一些对抗XSS的措施,比如Firefox的CSP,Noscript扩展,IE8内置的XSS Filter等。而对于网站来说,也应该寻找优秀的解决方案,保护用户不被XSS攻击。1)HttpOnlyHttpOnly最早是由微软提出,并在IE 6中实现的,至今已成为一个标准。浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Coo...原创 2019-04-27 16:04:05 · 10107 阅读 · 1 评论 -
浏览器Cookie策略
浏览器所持有的Cookie分为两种:一种是"Session Cookie", 又称作“临时Cookie”;另一种是“Third-party Cookie”,也称为“本地Cookie”。两者的区别在于,Third-party Cookie是服务器在Set-Cookie时指定了Expire时间,只有到了Expire时间后Cookie才会消失,所以这种Cookie会保存在本地;而Session Co...原创 2019-04-27 16:58:28 · 8574 阅读 · 0 评论 -
跨站脚本攻击(XSS)
跨站脚本攻击,英文全称是Cross Site Script。XSS攻击,通常指黑客通过”HTML注入“篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫做”跨站脚本“。但是发展到今天,由于JavaScript的强大功能以及网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,XSS这个名字却一直保留下来。1)...原创 2019-04-20 12:50:26 · 2039 阅读 · 0 评论 -
OAuth 简介
OAuth是一个在不提供用户名和密码的情况下,授权第三方应用访问Web资源的安全协议。常用的应用 OAuth 的场景,一般是某个网站想要获取一个用户在第三方网站中的某些资源和服务。比如在人人网上,想要导入用户MSN里的好友,在没有OAuth时,可能需要用户向人人网提供MSN用户名和密码。这种做法使得人人网会持有用户的MSN账户和密码,虽然人人网承诺持有密码后的安全,但这其实扩大了攻击面,用户也...翻译 2019-05-19 12:22:47 · 10158 阅读 · 0 评论 -
跨站点请求伪造(CSRF)
CSRF的全名是Cross Site Request Forgery,翻译成中文就是跨站点请求伪造。1)CSRF 简介什么是CSRF呢?我们先看一个例子。在介绍XSS Payload时那个“删除搜狐博客”的例子,登录Sohu博客后,只需请求这个URL,就能把编号为“156713012”的博客删除。http://blog.sohu.com/manage/entry.do?m=...转载 2019-05-11 11:41:47 · 5274 阅读 · 0 评论 -
点击劫持(ClickJacking)
1)什么是点劫持点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。看下面这个例子。在http://www.a.com/test.html页面中插入了一个指向目标网站...原创 2019-05-12 11:48:40 · 2154 阅读 · 0 评论 -
HTML 5 安全
新标签的XSSHTML5 定义了很多新的标签、事件,这有可能带来新的XSS攻击。一些XSS Filter 如果建立了一个黑名单的话,则可能就不会覆盖到HTML5新增的标签和功能,从而避免发生XSS。笔者曾经在百度空间做过一次测试,使用的是HTML5新增的<video>标签,这个标签可以在网页中远程加载一段视频。与<video>标签类似的还有<audio&g...原创 2019-05-18 11:46:20 · 642 阅读 · 0 评论 -
目录遍历攻击
许多的Web应用程序一般会有对服务器的文件读取查看的功能,大多会用到提交的参数来指明文件名,如:http://www.nuanyue.com/getfile=image.jgp当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,如 “d://site/images/image.jpg”,将读取的内容返回给访问者。初看,在只是文件交互的一种简单的过程,...转载 2019-02-13 17:48:20 · 9220 阅读 · 0 评论 -
An Introduction to Web-shells – Part 1
A web-shell is a malicious script used by an attacker with the intent to escalate and maintain persistent access on an already compromised web application. A web-shell itself cannot attack or exploit ...转载 2019-01-04 14:27:05 · 126 阅读 · 0 评论 -
Introduction to Web Shells – Part 2(Web-shells using PHP)
Web shells exist for almost every web programming language you can think of. We chose to focus on PHP because it is the most widely-used programming language on the web.PHP web shells do nothing mor...转载 2019-01-04 14:28:03 · 193 阅读 · 0 评论 -
An Introduction to Web Shells – Part 3(Keeping web shells under cover)
Commands can be sent to the web-shell using various methods, with HTTP POST request being the most common. However, hackers are not exactly people who play by the rules. The following are a few of the...转载 2019-01-04 14:29:57 · 213 阅读 · 0 评论 -
Introduction to Web-Shells – Part 4(Weevely)
Weevely is a lightweight PHP telnet-like web-shell with several options which we shall be using for this example.For demonstration purposes, we will use Weevely to create a backdoor agent which will...转载 2019-01-04 16:12:45 · 248 阅读 · 0 评论 -
An Introduction to Web-Shells – Final Part(Detection and Prevention)
DetectionIf an administrator suspects that a web-shell is present on their system (or during a routine check), the following are some things to examine.Firstly, the server access and error logs mu...转载 2019-01-04 14:50:17 · 203 阅读 · 0 评论 -
Web-Shell实战 - Weevely
今天我们介绍的是一个轻量级的Web-Shell工具 - Weevely。Github地址https://github.com/epinna/weevely3。 PHP backdoor agent我们将使用Weevely来创建一个php代理后门,然后部署在目标服务器上。运行weevely.py,就将为我们生成一个名为agent.php的代理后门, 设置访问密码确保只有我们可以...翻译 2019-01-04 18:27:51 · 1209 阅读 · 0 评论 -
Web应用访问控制
权限控制,或者说访问控制,广泛应用于各个系统中。抽象地说,是某个主体(subject)对某个客体(object)需要实施某种操作(operation),而系统对这种操作的限制就是权限控制。在网络中,为了保护网络资源的安全,一般是通过路由设备或者防火墙建立基于IP和端口的访问控制。在操作系统中,对文件的访问也要访问控制。比如在Linux系统中,一个文件可以执行的操作分为“读”、“写”、“执行”三...转载 2019-01-05 13:00:23 · 1993 阅读 · 2 评论 -
文件上传漏洞
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。文件上传功能本身是一个正常业务需求,对于网站来说,很多时候也确实需要用户将文件上传到服务器。所以“文件上传”本身没有问题,但有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。文件上传后导致的常见安全问题一般有:上传文件是Web脚本语言,服务器...转载 2019-01-06 13:48:02 · 404 阅读 · 0 评论 -
如何识别高级的验证码
一、验证码的基本知识 1. 验证码的主要目的是强制人机交互来抵御机器自动化攻击的。 2. 大部分的验证码设计者并不得要领,不了解图像处理,机器视觉,模式识别,人工智能的基本概念。 3. 利用验证码,可以发财,当然要犯罪:比如招商银行密码只有6位,验证码形同虚设,计算机很快就能破解一个有钱的账户,很多帐户是可以网上交易的。 4. 也有设计的比较好的,比如Yahoo,Go...转载 2019-01-06 18:42:08 · 284 阅读 · 1 评论 -
应用层拒绝服务攻击
DDOS又称为分布式拒绝服务,全称是 Distributed Denial of Service,DDOS本是利用合理的请求造成资源过载,导致服务不可用。常见的DDOS攻击有SYN flood,UDP flood,ICMP flood等。SYN flood是一种最为经典的DDOS攻击。在SYN flood 攻击时,首先伪造大量的源IP地址,分别向服务器端发送大量的SYN包,此时服务器会返回SY...原创 2019-01-17 21:50:27 · 845 阅读 · 0 评论 -
web 应用常见安全漏洞一览
1. SQL 注入SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化。原因当使用外部不可信任的数据作为参数进行数据库的增、删、改、查时,如果未对外部数据进行过滤,就会产生 SQL 注入漏洞。比如:name = "外部输入名称";sql = "select * fro...转载 2019-02-27 17:36:34 · 168 阅读 · 0 评论 -
Web Shell 简介
Web-Shell 简介Web-Shell是一种可以将其上传到web服务器的脚本文件,实现远程控制服务器。攻击者可以利用SQL注入、远程文件包含(remote file inclusion, RFI)、FTP等常见漏洞,甚至可以使用跨站点脚本(cross-site scripting, XSS)作为社会工程攻击的一部分,上传恶意Web-Shell脚本。Web-Shell本身并不能利用远程漏...翻译 2019-01-03 22:24:02 · 1051 阅读 · 0 评论