内容概要:
01 OWASP Top 10
02 注入类威胁
03 信息泄露类威胁
04 业务逻辑威胁
一、OWASP
1.开放式Web应用程序安全项目,协助个人企业来发现使用可信赖的软件
2.OWASP Top 10 每四年发布一版十大最严重的的web应用安全威胁
OWASP Top 10 2013年版本
A1-注入
A2-失效的身份认证和会话管理
A3-跨站脚本(XSS)
A4不安全的直接对象引用
A5-安全配置错误
A6-敏感数据暴露
A7-功能级别访问控制缺失
A8-跨站请求伪造(CSRF)
A9-使用已知易受攻击组件
A10-未验证的重定向和转发
OWASP Top 10 2017年版本
A1-注入 (web应用程序没有将代码进行有效的隔离,把用户提交的数据当成代码解析执行)SQL,OS命令.XXE
A2-失效的身份认证和会话管理
A3-跨站脚本(XSS)
A4-失效的访问控制
A5-安全配置错误
A6-敏感数据暴露
A7-攻击检测与防护不足
A8-跨站请求伪造(CSRF)
A9-使用含有已知漏洞的组件
A10-未受有效保护的API
OWASP Top 10 2017年版本(解)
A1-注入
(web应用程序没有将代码进行有效的隔离,把用户提交的数据当成代码解析执行)SQL,OS命令.XXE
A2-失效的身份认证和会话管理
web应用程序没有对cookie和shfe进行有效设置
A3-跨站脚本(XSS)
A4-失效的访问控制
未授权访问,水平越级和垂直越级
A5-安全配置错误
wbe服务器,数据库,中间件配置不挡
A6-敏感数据暴露
A7-攻击检测与防护不足
A8-跨站请求伪造(CSRF)
A9-使用含有已知漏洞的组件
A10-未受有效保护的API
二 注入类威胁
SQL注入
XSS注入
文件上传
文件包含
文件下载
OS命令注入
①SQL注入
原理:恶意用户提交数据被Web应用程序当作数据库查询代码解析执行
危害:用户敏感信息,,如帐号密码,家庭住址,联系方式等泄露
案例:新浪某站SQL注入
华西证券某站存在SQL注入
步步高电话机可注入获取30W论坛用户信息
②XSS漏洞
原理:恶意用户提交的数据被Web应用程序当作HTML标签和JAVAScript代码返回给浏览器解析执行
XSS又叫跨站脚本攻击
危害:窃取cookie.网站钓鱼,网站挂马
案例: 大众点评某处储存型XSS
腾讯云助手XSS
今日头条某储存型XSS
③文件上传漏洞
原理
恶意用户上传的文件被Web应用程序当作脚本代码解析执行
危害:
植入Webshell,控制整个网站
案例
财政部某站任意文件上传
酷我音乐某处任意文件上传Getshell
广州长城宽带OA系统任意文件上传已入远程桌面泄露,大量办公信息
④文件包含漏洞
原理:
Web应用程序执行的过程中,旺旺需要调用多个文件,恶意用户提交的数据被web应用程序当作正常的需要调用的文件
从而造成文件包含漏洞
危害
植入Webshell,控制整个网站,窃取网站铭感信息
案例
天府交易所邮件系统存在文件包含漏洞
中国移动通信集团新疆集团通讯录文件包含导致命令执行GETshell
⑤任意文件下载漏洞
原理:
Web应用程序往往会提供文件下载的功能,如果被下载的文件是黑客可以任意修改的,那么就会造成任意文件下载漏洞
危害
窃取网站敏感信息
案例
新浪某站存在任意文件下载漏洞
百度分站,任意文件下载多出SQL注入漏洞
华为某站存在SQL注入(17W用户)任意文件下载
⑥OS命令注入
原理
Web应用程序会提供一些执行系统命令的接口,如果网站对用户提交得参数过滤不严格,
那么就会把恶意用户提交的参数当成系统命令执行,从而造成命令执行漏洞
危害
执行系统命令,网站被控制
案例
网易163某站点存在隐式命令注入
搜狐某站点隐式命令注入
NQSky 某设备命令注入可直接获取系统 root权限(绕过shell沙箱环境)
三.信息泄露类威胁
信息泄露类威胁主要是由于Web应用组件(Web服务器,web中间件,web应用程序)配置错误,或者设计缺陷造成的。通过这类问题,恶意攻击者能够获得目标服务器的各种敏感信息,进而为下一步的攻击埋下伏笔
1.目录信息泄露
2.敏感文件泄露
3.弱口令泄露
4.未授权访问漏洞
5.敏感路径泄露
①目录信息泄露
原理
web应用中间件配置错误是,如果用户访问不存在的索引文件(index.html.index.php等)的目录
就会直接显示该目录下所有的文件及其子目录
危害
泄露网站路径,文件名,等敏感信息
案例
南充市房地产管理局后台目录泄露万能密码登录漏洞
山东省政府采购管理系统列目录泄露采购计划信息
奇异网邮件服务器根目录泄露(资源科下载)
②敏感文件泄露
原理
发布网站时,管理员往往会忘记删除网站开发是留下的包含网站敏感信息的各种文件,如网站源码压缩未见,git,bak,svn等文件
危害
泄露网站源代码等敏感信息
案例
淘世界GIT目录泄露和主客户端代码泄露
③弱口令漏洞
原理
弱口令就是容易被黑客猜解出来的口令,网站后台的登录口令过于简单,就会被黑客猜解出来
危害
网站敏感信息泄露。某些情况下可以导致WEB服务器被控制
案例
中国移动飞信开发者平台,公众号弱口令可被控制
新网华通信技术有限公司某处运维DNS管理系统弱口令
新浪微米某系统弱口令getshell/root权限。内网环境二
④敏感路径泄露漏洞
原理
WEB应用系统的管理后台,编辑器后台等敏感路径设置的国语简单,就会被黑客猜解出来从而造成敏感路径泄露漏洞
危害
网站敏感信息泄露
案例
迅雷敏感路径泄露
e袋洗物流后台泄露
四。业务逻辑类威胁
业务逻辑类威胁本质上属于业务涉及缺陷,表现为设计者或者开发者在思考过程中做出的业务流程存在明显或隐含的错误,恶意攻击者利用业务设计缺陷,通过篡改业务流程和数据,往往能达设计人员意料之外的效果
①订单金额任意修改
②验证码判断缺陷
③接口无限制枚举
④cookie设计缺陷
⑤密码找回设计缺陷
①订单金额任意修改
原理
网站商品的订单处理的业务逻辑,信任了前段传入的金额参数,没有在服务器端,进行验证,导致恶意用户可以任意修改订单的金额
危害
任意修改订单金额
案例
白城旅行网任意修改订单金额(小学生也旅行)
沪江网校某处失误可导致大量用户信息泄露,订单泄露并可以修改订单金额
味捷外卖订单金额任意修改
②验证码判断缺陷
原理
用户在找回密码。认证注册时,网站发送的验证码可以被恶意攻击者直接获取或者重复提交
危害
绕过验证码,任意修改密码
案例
365地产家居网站奇葩验证码导致可撞库(成功账号证明)
四川航空某处验证码突破导致泄露员工敏感信息10万员工信息
易企秀绕过验证码进行撞库可获取大量锈点账号(极验鼠标拖动验证码的绕过)
③接口无限制枚举
原理
网站敏感接口,如登录接口,验证码校验等,没有做验证或者其他防止枚举的机制,容易遭到枚举攻击。
危害
暴力破解账号密码。暴力枚举验证码
案例
平安星儿童手表可以枚举所有设备并可修改任意账号密码
四川航空货运收益管理系统IIS目录枚举漏洞导致绕过验证
东风日产某系统存在用户信息枚举任意登录
④cookie设计缺陷
原理WEB应用在设计用户登录cookie时,没有严格遵循随机化的机制,而是采用了可预测的随机数或者直接使用账号,昵称等信息作为cookie,从而造成恶意用户可以伪造任意用户cookie
危害
登录任意账号,泄露用户敏感信息
案例
谷昆学校网站管理软件后台cookie伪造
⑤密码找回设计缺陷
原理
web应用系统在设计密码找回功能时存在设计缺陷,比如没有采用安全的随机数作为密码找回的凭证,导致该凭证可以被恶意用户育才,从而造成,任意密码重置
危害
任意修改密码
案例
M1905电影网某重要站点任意密码重置漏洞(已入官方账号)
医疗安全之医事通任意手机号注册任意密码重置(绕过多次爆破显示繁忙)
顺丰速运某重要系统任意密码重置