The first day,fighting.
Web渗透测试:
渗透测试是对系统安全性的测试,通过模拟恶意黑客的攻击方法,来评估系统安全的一种评估方法。
1、SQL注入攻击
首先找到带有参数传递的URL页面,如搜索页面、登录页面、提交评论页面等。
对于未明显标识在URL中传递参数的,可以通过查看HTML源代码中的FORM标签来辨别是否还有参数传递,在<FORM>和</FORM>的标签中间的每一个参数传递都有可能被利用。
当找不到有输入行为的页面时候,可以尝试找一些带有某些参数的特殊的URL,如HTTP://DOMAIN/INDEX.ASP?ID=10
在URL参数或表单中加入某些特殊的SQL语句或SQL片段,如在登录页面的URL中输入HTTP://DOMAIN/INDEX.ASP?USERNAME='HI' OR 1=1
根据实际情况,SQL注入请求可以使用以下语句:
' or 1=1--
" or 1=1--
or 1=1--
' or 'a'='a
" or "a"="a
') or ('a'='a
OR是一个逻辑运算符,在判断多个条件的时候,只要一个成立,则等式就成立,后面的AND就不再执行判断了,也就是说绕过了密码验证,只用用户名就可以登录。
--是忽略或注释,通过连接符注释掉后面的密码验证(对access数据库无效)。
预防SQL注入:转义敏感字符及字符串;屏蔽出错信息;在服务端正式处理之前对提交数据的合法性进行检查(合法性检查主要包括三项:数据类型,数据长度,敏感字符的校验)。最根本的解决手段是在确认客户端的输入合法之前,服务端拒绝进行关键性的处理操作。
SQL注入步骤:
首先,判断环境,寻找注入点,判断数据库类型。
其次,根据注入参数类型,在南海中重构SQL语句的原貌,按参数类型主要分为三种:
(A)ID=49
这类注入的参数是数字型,SQL语句原貌大致如下:
select * from 表名 where 字段=49
注入的参数为ID=49 and [查询条件],即生成语句:
select * from 表名 where 字段=49 And [查询条件]
(B)class=连续剧
这类注入的参数是字符型,SQL语句原貌大致如下:
select * from 表名 where 字段=‘连续剧’
注入的参数为class=连续剧’ and [查询条件] and ' ' =' ,即生成语句:
select * from 表名 where 字段=‘连续剧’ and [查询条件] and ' '=' '
搜索时没过滤参数的,如keyword=关键字,SQL语句原貌大致如下:
Select * from 表名 where 字段like ’%关键字%’
注入的参数为keyword=’ and [查询条件] and ‘%25’=’, 即是生成语句:
Select * from 表名 where字段like ’%’ and [查询条件] and ‘%’=’%’
接着,将查询条件替换成SQL语句,猜解表名,例如:
ID=49 And (Select Count(*) from Admin)>=0
如果页面就与ID=49的相同,说明附加条件成立,即表Admin存在,反之,即不存在(请牢记这种方法)。如此循环,直至猜到表名为止。
表名猜出来后,将Count(*)替换成Count(字段名),用同样的原理猜解字段名。
最后,在表名和列名猜解成功后,再使用SQL语句,得出字段的值。
SQL注入常用函数:
Access: asc(字符),SQL Server: unicode(字符)
作用:返回某字符的ASCII码
Access: chr(数字),SQL Server: nchar(数字)
作用:根据ASCII码返回字符
Access: mid(字符串,N,L),
SQL Server: substring(字符串,N,L)
作用:返回字符串从N个字符起长度为L的子字符串,即N到N+L之间的字符串
Access: abc(数字),SQL Server: abc(数字)
作用:返回数字的绝对值(在猜解汉字的时候会用到)
Access: A between B And C ,SQL Server: A between B And C
作用:判断A是否界于B和C之间
中文处理方法:
access:中文的ASCII码可能会出现负数,取出该负数后用abs()取绝对值,汉字字符不变。
SQL Server:中文的ASCII为正数,但由于是UNICODE的双位编码,不能用函数ascii()取得ASCII码。必须用函数Unicode()返回Unicode值,再用nchar函数取得对应的中文字符。
注意,引用数字时不需要按添加开始和结尾的单引号定界符。数据库处理数值类型的值时,数值不带引号。
2、Cross-site scripting(XSS):跨站点脚本攻击
首先找到带有参数传递的URL,如登录页面,搜索页面,提交评论,发表留言页面等。
其次,在页面参数中输入如下语句:<script>alert(document.cookie)</script>
当用户浏览时便会弹出一个警告框,内容显示的是浏览者当前的cookie串,这就说明该网站存在XSS漏洞。
预防XSS漏洞:对JavaScript,VB script,HTML,ActiveX,Flash等语句或脚本进行转义;在服务端正式处理之前对提交数据的合法性进行检查(合法性检查主要包括三项:数据类型,数据长度,敏感字符的校验)。
3、CSRF:跨站点伪造请求
与XSS不同,且攻击方式几乎相左,XSS是利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。
XSS和CSRF目的在于窃取用户的信息,如session和cookies.
4、Email Header Injection:邮件标头注入
如果表单用于发送email,表单中可能包括subject输入项(邮件标题),我们要验证subje中应能escape掉\n标识。
因为“\n”是换行,如果在subje中输入“hello\ncc:spamvictim@example.com”,可能会形成:
subject:hello
cc:spamvictim@example.com
如果允许用户使用这样的subject,那他可能会利用这个缺陷通过我们的平台给其他用户发送垃圾邮件。
5、Directory Traversal:目录遍历
程序中没有过滤用户输入的“../”和“./”之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。
测试方法:在URL中输入一定数量的“../”和“./”,验证系统是否escape掉了这些目录跳转符。
预防目录遍历:限制Web应用在服务器上的运行,进行严格的输入验证,控制用户输入非法路径。
6、exposed err messages:错误信息
首先找到一些错误页面,比如404或500页面。
验证在调试未开通过的情况下,是否给出了有好的错误提示信息,比如“你访问的页面不存在”等,而并非暴露一些程序代码。
预防错误信息:测试人员在进行需求检查时,应该对出错信息进行详细检查,比如是否给出了出错信息,是否给出了正确的出错信息。
