Web应用渗透技术

Web应用渗透技术

特点

广泛性:web 应用几乎无处不在
技术门槛低: Web 技术简单易懂，进入的技术门槛低
防火墙可绕过性:几乎所有防火墙策略都会放行入方向的HTTP/HTTPS流量
安全机制不够成熟:HTTP 的认证和授权技术相对滞后
隐蔽性:攻击追溯和取证工作比较困难
变化性:Web 应用的调整对于一个业务经常变化的公司很常见
利益性: 通过Web 攻击犯罪利润丰厚

OWASP Web 潘洞TOP10

最著名的被广泛采纳的 Web 安全态势年度报告

2021 TOP10

A01访问控制失效 (Broken Access Control)

访问控制是指对经过身份验证的用户执行超出其权限级别的操作的限制。当此类限制未正确配置时，就会出现访问控制中断。这可能导致对敏感信息未授权访问以及修改或破坏

A02加密失败(Cryptographic Failure)

这种类型的故障适用于传输和静止数据的保护和保密。此类数据通常包括身份验证信息，例如用户名和密码，还包括个人身份信息，例如个人和财务信息、健康记录、商业机密等。出现漏洞的原因有多种，漏洞通常是通过中间人攻击来利用的

AO3注入 (Injection)

最常见的注入攻击是SQL注入和跨站点脚本(xSs)攻击，还有代码注入、命令注入、CCS注入等

A04不安全设计 (Insecure Design)

此类漏洞侧重于设计和架构缺陷相关的风险。不安全的设计部分是指在软件开发中缺乏安全控制和业务风险分析从而没有确定所需的安全设计程度

A05安全配置错误(Security Misconfiguration）

安全配置错误是指安全控制不安全或配置不正确

A06易受攻击和过时的组件 (Vulnerable and Outdated Component）

此类别以前称为“使用具有已知漏洞的组件

A07识别与认证失败 (Identification andAuthentication Failure）

此前称为“身份验证失效” (Broken Authentication)

A08软件和数据完整性故障 (Software andData Integrity Failure）

类似的漏洞故障可能是大多数应用程序的自动更新功能，这些功能不一定含有软件的完整性及可用性检查

A09安全日志与监测失败 (Security Loggingand Monitoring Failure）

这一类别至关重要，会影响到问责、可见性、事件警报和相关取证等

A10服务器端请求伪造(Server-Side RequestForgery)

当Web应用程序在获取远程资源时未验证用户提供的URL时，就会出现服务器端请求伪造问题。这使攻击者能够强制应用程序发送精心设计的请求，即使受到防火墙、VPN或某些其他类型的网络访问控制列表(ACL)的保护。
获取URL是Web应用程序中的常见功能，这导致SSRF漏洞大大增加。此外由于架构和云服务的复杂性不断增加，这些问题也变得越来越严重。

CWE Web 漏洞2023 年TOP 25

攻击类型

SQL注入攻击
跨站脚本攻击
跨站请求伪造攻击
服务器请求伪造攻击
暴力破解
文件包含攻击
文件上传攻击
命令执行(远程代码执行)
XXE漏洞
反序列化漏洞
逻辑漏洞
应用漏洞
社会工程学

后渗透攻击

反弹Shell
权限提升
权限维持
内网渗透
痕迹清理

渗透测试实战

实际渗透测试流程
漏洞扫描
漏洞利用(复现)
渗透实战