科技频道-搜狐网站> 2012中国计算机网络安全年会 > 最新报道
互联网 | 通信 | IT业界 | 自媒体

吴建亮:web常见漏洞与挖掘技巧

2012年07月05日11:53
来源:搜狐IT

    【搜狐IT消息】 7月4日消息,2012年中国计算机网络安全年会在西安举行,广东动易网络科技有限公司核心产品经理吴建亮在分论坛发表了“web常见漏洞与挖掘技巧”的主题演讲。

广东动易网络科技有限公司核心产品经理吴建亮 

    以下为演讲实录:

  大家好,非常荣幸能够参与这个会议,我首先自我介绍一下,我是来自于广东动易,今天给大家讲web常见漏洞与挖掘技巧,主要有三个议题,几个比较常见的漏洞,这是产生SQL注入的主要原因是SQL语句的拼接,注入这里标志出来的是比较常见乐观,近一个月我在乌云上提交的漏洞的注入类型,大家具体可以看一下,大家对这个漏洞还是不够重视,或者对这个了解还不够深入,首先一个典型案例,万能密码,网站万能密码相信大家多不陌生,但有没有想到这万能密码会出现在某安全公司的内部网战上。第一次发现时,直接是这个,报告给给官方后,光放的处理方式是直加一个防火墙料事。防植与绕过从来就是一对天地,一个通用的防火墙很难针对任何一处都做到安全。只想跟厂商说一句话九,防注餐数化难倒真的南么难,代码过去一下。SQL注入的关键字,参数化查询,过虑(白名单),编码,绕过防注、过虑,MYSQL宽带节,二次注入,任何输入都是有害,容错处理,爆错注入,最小权限。

  现在讲一下XSS/CSRF,可能各位公司不太注重这个,跨战脚本、跨战请求伪造,造成的的危害不可少看,在某此授权检测一团购网过程中,就是那种十月简单的团购网站,前台功能不多,基本都是静态或者是伪静态,无从入手。然后在这个网站里发布了一个这个脚本。数分钟过后,脚本返回了某管理员的COOKIE信息,后台路径居然也记录在,后面就顺利了,直接欺骗进入了后台,然后就直接可以拿到了。XSS/CSRF关键字,编码,不需要支持HTML的地方编码输入,过虑,有危害的脚本,HTTPNELY,防范COOOKIE被盗,文件上传的时候,会有一些问题,简单举一个乌云上的一些案例,大部分上传播中都出现问题。文件上传关键字,文件后缀白名单,文件名注意多注意某些解释漏洞还要多注意APACHE版本的解释漏洞问题。在开发中,由于比较多的情况是上传文后缀由客户来配置,为了防配置错误后台拿Shell等情况,所以很多的时候为了安全问题,隐藏文件真实路径,这样即使上传了也不行。

  任意文件下漏洞,就是以读取的方式输入文件内容,有可能存在任意文件下载漏洞。直接传路径型任意文件下载案例,可以看一下这些案例。然后数据库储存路径型任意文件下载的案例,这个隐藏表单,用户可以自己改隐藏表单的用户名。另外文件下载注意的确保操作是在制定目录下,这里也出现两个路径的问题。越权的问题,越权操作一般查看。乌云越权的案例是通过修改地址中的ID越权。越权问题的关键字,信息ID+用户ID,如果想了解开发中要注意的安全问题,可以下载《动易安全开发手册》,经过对web常见的漏洞分析,可以开出来这些,白盒测试,在代码审计方面,很多大牛也发表过很多相关的技术文章,银行中最深刻的是那篇《高级PHP应用程序漏洞审核技术》确实能够快速得到找到常见漏洞,不要找更深层的漏洞必须了解程序。首先这是SQL注入代表审计关键字,SQL注入,搜索ORDER BY、IN,深入搜索select update delete,注意SQL拼接的地方,进入的变量是否有过虑处理。这里有案例,记事狗SQL注入的。Supesite是一套拥有独立的内容管理功能,并集成了web2.0注入的程序。从代码可以看出存在注入,利用,提交评论,程序即爆错,可以利用爆错来找到想要的数据,这是常用的工具,黑盒测试工具,也就是前面所介绍的的漏洞注意的关紧字和经验所形成的条件反映,检查一个功能是存在安全问题,通常都是通过非正常的方式提交参数,根据返回来的信息来判断问题是否存在,firebug是一个很好的工具,它可以直观第编辑HTML元素,绕过客户客的验证等,还可以通过查询网络请求,看是否存在漏洞。

  这是一个乌云案例,再说一个Goohle Hacker,它在百度百科的介绍,很多人问我,我的google搜索是不是还有其他技巧,其他也是和上面百科介绍的差不多,也是常用。例如我说说腾讯的,会有微博的,可以这样搜,按照这样的程序搜索来。说一下漏洞库的漏洞挖掘,这个容易理解,通过对漏洞库德国学习和了解,可以挖掘更多同类型的漏洞,像乌云的漏洞库。这是一个乌云的案例,支付的安全,还有密码的修改,还有运城代表执行,在这里感谢乌云为互联网安全研究者提供一个平台。对新兴的web放火墙可行性的一个分析,我不是防火墙方面的专家,看前面的防火墙的技巧,可以查看一下这种防火墙的可行性。各位看一下这些注入的地方,发现大部分注入的点都是Agax请求,一般来说,我们了解的漏洞扫描工具都是以爬虫式的偏列页面的地址。然后看一下注入案例中的web防火墙,安全传统的web防火墙,只能针对规则拦截,但他不知道这个请求是否存在漏洞,什么漏洞?所一存在判断失误,所以我想能不能把这两个结合。web有时候分析,各个参数是否存在漏洞,漏洞类型是什么?如何处理,如果是数字型的注入,可以转换,当然这只是一个猜想,新兴的web防火墙也可以结合各漏洞库,识别应用程序。我今天就讲到这里,内容有点多,可能讲的比较简单,大家可以看一下那个案例,可以学到一点东西。谢谢。

    (附主持人点评)

    非常感谢建亮,其实他是一个开发人员,他想的比较远,另外在这里我想多说两句,其实对web安全的一个误解,大家可能觉得web安全是很廉价其实这是一个误解,现在云的概念,还有网站,电子商务网站,越来越把数据往自己那个服务器上集中,就会导致web更重要。去年有一个很大的电子商务网站,授权的一个检测,检测的结果让人也很尴尬,最大的问题是他的边界WF都看不到,有漏洞就是不安全,没有漏洞就是安全。但是我们当时从测电子商务网站发现问题很严重,进去滞后发现整个内部网络是扁平的,其实这个漏洞是很容易发现的,无论是腾讯还是支付宝,大家都有安全团队,但是这个漏洞还是存在,这个存在就是说是一个弱点,是很难解决的,应该把这个程序改变一下。因为web表面是一个漏洞,其实他是一个安全边界的。刚才他建在一个web安全角度看安全,下一个是阿里巴巴的吴瀚清讲网站离线安全分析漫谈,但是他还没到,现在请李陆演讲重要行业信息系统安全风险分析。

(根据专家现场演讲整理)

我要发布

  • 热点视频
  • 影视剧
  • 综艺
  • 原创
锦绣缘

同步热播-锦绣缘

主演:黄晓明/陈乔恩/乔任梁/谢君豪/吕佳容/戚迹
神雕侠侣

大结局-神雕侠侣

主演:陈晓/陈妍希/张馨予/杨明娜/毛晓彤/孙耀琦
封神英雄榜

同步热播-封神英雄榜

主演:陈键锋/李依晓/张迪/郑亦桐/张明明/何彦霓

六颗子弹

主演:尚格·云顿/乔·弗拉尼甘/Bianca Bree
龙虎少年队2

龙虎少年队2

主演:艾斯·库珀/ 查宁·塔图姆/ 乔纳·希尔

《奔跑吧兄弟》

baby14岁写真曝光

《我看你有戏》

李冰冰向成龙撒娇争宠

《明星同乐会》

李湘遭闺蜜曝光旧爱

《非你莫属》

美女模特教老板走秀

《一站到底》

曝搬砖男神奇葩择偶观

搜狐视频娱乐播报

柳岩被迫成赚钱工具

大鹏嘚吧嘚

大屁小P虐心恋

匆匆那年第16集

匆匆那年大结局

隐秘而伟大第二季

乔杉遭粉丝骚扰

The Kelly Show

男闺蜜的尴尬初夜

客服热线:86-10-58511234

客服邮箱:kf@vip.sohu.com