教材学习
Web应用程序安全攻防
1.Web应用程序体系结构
Web应用程序是一种使用浏览器在互联网或企业内部网上进行访问操作的应用软件形态,通常以浏览器支持的语言所编写,或能够在浏览器控制的环境中运行,依赖于浏览器来对应用程序进行渲染与执行。天生多平台兼容性。WEB应用程序一般是B/S模式。Web应用程序首先是“应用程序”,和用标准的程序语言,如C、C++等编写出来的程序没有什么本质上的不同。然而Web应用程序又有自己独特的地方,就是它是基于Web的,而不是采用传统方法运行的。换句话说,它是典型的浏览器/服务器架构的产物。
Web应用体系结构:以浏览器作为“瘦”客户端主要完成数据显示与展示内容的渲染功能:
“胖”服务器负责完成主要业务的计算处理。两者之间通过因特网或内联网上的HTTP/HTTPS应用层协议的请求与应答进行通信。“胖”服务器端则由Web服务器软件、Web应用程序及后端数据库构成,并通过经典的三层构架,即表示层、业务逻辑层、数据层来进行组织与构建。
浏览器
标准的Web客户端就是我们熟知的浏览器,如IE、Firefox、Chrome等。他们都使用HTTP/HTTPS协议、HTML语言和Web服务器进行交互,获取Web服务器上的信息和应用服务。
Web服务器
Web服务器软件通常被简单的称为HTTP守护程序,接受Web客户端对资源的请求,在这些请求上执行一些基本的接习处理以确定资源的存在,然后将它传送给Web应用程序来执行,待Web应用程序执行完逻辑并返回相应时,Web服务器再将这个相应返回给Web客户端,在浏览器上进行本地执行、渲染和展示。
Web应用程序
现代Web应用的核心时处于服务器端的业务逻辑,即Web应用程序。每层的具体功能参考网络攻防技术与实践的429页。
数据库
数据库有时候被称为后台,Web应用存储应用数据的地方,数据层也作为Web应用程序多级结构中的最后一层。
传输协议HTTP/HTTPS
浏览器和Web服务器、Web应用程序和数据库所构成的Web站点之间的通信传输协议是HTTP/HTTPS协议。
2.Web应用程序安全性威胁
目前的一些主流攻击方式有注入式攻击、跨站脚本攻击、CSRF攻击以及ddos攻击,这几类攻击都已经形成了比较成熟的防御措施。
注入漏洞涉及的内容非常广泛,涵盖了各种语言环境和众多不同的攻击类型,在实际防护中一般通过验证方式的改良和修复得以实现。跨站攻击的方式是以服务器端应用为主要目标,目前最常见的解决方法还是通过js函数过滤进行防护。应用层ddos攻击是国内非常常见也是最难以防范的攻击手段,其根本原理是通过大批量的发送请求来非法占用服务资源,目前只能通过跨代理查询屏蔽ip的方式进行阻止。
SQL注入攻击:SQL注入攻击是最为常见的Web应用程序攻击技术,它会试图绕过SQL命令。在用户输入没有“净化”时,如果执行这种输入便会表现出一种SQL注入漏洞。检查SQL注入漏洞主要涉及到两方面,一是审计用户的Web应用程序,二是通过使用自动化的SQL注入扫描器执行审记的最佳方法。其防范措施有:SQL注入攻击的防范措施
1).使用安全类型的参数编码机制;
2).凡是来自外部的输入,必须进行完备检查;
3).将动态SQL语句替换为存储过程、预编译SQL或ADO命令对象;
4).加强SQL数据库服务器的配置与连接。
视频学习
kali下漏洞分析之数据库评估工具
1.BBQSq1
BBQSq1是一个Python编写的盲注工具,半自动工具,允许客户自定义参数。
2.DBPwAudit
数据库用户名密码枚举工具
3.HexorBase
图形化的密码破解与连接工具,开源
4.Oracle Scanner
Oracle Scanner 是一个用Java开发的oracle评价工具。它是基于插件的结构。
kali下漏洞分析之数据库评估工具的使用
1.tnscmd10g
2.Sqlsus
3.Sqlninja
Kali漏洞分析之Web应用代理
1、Burp Suite,用于攻击web应用程序的集成平台,它带有一个代理,通过默认端口8080运行,使用这个代理,可以截获并修改从客户端到web应用程序的数据包
2、OwaspZAP攻击代理,查找网页应用程序漏洞的综合类渗透测试工具,包含拦截代理、自动代理、被动代理、暴力破解、端口扫描及蜘蛛搜索等功能。是会话类调试工具
3、paros proxy对web应用程序的漏洞进行评估的代理程序,支持动态地编辑、查看HTTP/HTTPS,从而改变cookies和表单字段等项目。检查漏洞的形式:SQL注入、跨站点脚本攻击、目录遍历等。
4、proxystrike
5、vega,web应用程序安全测试平台,能帮助验证注入SQL、跨站脚本、敏感信息泄露和其它一些安全漏洞。
6、webscarab,包括HTTP代理、网络爬行、网络蜘蛛、会话ID分析等功能。它基于GNU协议
kali下漏洞分析工具中模糊测试工具的使用
BurpSuite是一个WEB应用程序集成攻击平台,它包含了一系列burp工具,这些工具之间有大量的接口可以相互使用,这样设计的目的是为了促进和提高整个攻击的效率
kali下漏洞分析工具中模糊测试工具的使用
1.bed.pl
bed是一个纯文本协议的Fuzz工具,能够检查常见的漏洞,如缓冲溢出,格式串漏洞,整数溢出等
2.Fuzz_ipv6
THC出品的针对IPV6协议的模糊测试工具
3.0hrwurm
4.Wfuzz
5.XSSer
