20189222 《網絡攻防實踐》 第五週做業

20189222 《網絡攻防實踐》第五週學習總結

教材學習內容總結

web應用程序安全攻防

1.web應用程序體系結構及其安全威脅

web應用體系結構：

• 架構：表示層、業務邏輯層、數據層
• web應用體系結構：瀏覽器、web服務器、web應用程序、數據庫、傳輸協議http/https

web應用安全威脅：

• 針對瀏覽器和終端用戶的web瀏覽安全威脅
• 針對傳輸網絡的網絡協議安全威脅
• 系統層安全威脅
• Web服務器軟件安全威脅
• Web應用程序安全威脅
• Web數據安全威脅

2.web應用安全攻防技術概述

web應用的信息收集：

• 手工審查web應用程序結構與源代碼 ◦靜態和動態生成的頁面
• 目錄結構，經典工具whisker
• 輔助性文件
• 輸入表單
• 查詢參數字符串
• 自動下載與鏡像web站點頁面
• linux下工具：Lynx、wget
• Windows上工具：Teleport Pro、Offline Explorer
• 替代工具：迅雷、Flashget
• 使用Google Hacking技術審查與探測Web應用程序
• Web應用程序安全評估與漏洞探測

攻擊web服務器軟件中的安全漏洞：

• 數據驅動的遠程代碼執行安全漏洞
• 服務器功能擴展模塊漏洞
• 樣本文件安全漏洞
• 源代碼泄露
• 資源解析攻擊

攻擊web應用程序：

• 針對認證機制的攻擊
• 受權機制的攻擊
• 客戶端攻擊
• 命令執行攻擊（包括緩衝區溢出、格式化字符串、LDAP注入、操做系統命令注入、SQL注入、SSL注入）
• 信息暴露
• 邏輯攻擊（包括功能濫用、拒絕服務攻擊、對抗自動程序不完善、處理驗證過程不完善等）

攻擊web數據內容：

• 安全敏感數據泄漏
• 網站篡改
• 不良信息內容上傳

web應用安全防範措施：

（1）Web站點網絡傳輸安全設防措施：

• 儘可能使用HTTPS來保障Web站點傳輸時的保密性、完整性與身份真實性，至少對登錄過程進行加密保護
• 經過加密的鏈接通道來管理Web站點
• 對關鍵的Web服務器，設置靜態綁定MAC-IP映射

（2）Web站點操做系統及服務安全設防措施：

• 對Web站點的操做系統與服務器軟件進行及時的補丁更新
• 對Web站點服務器的操做系統及各類開放服務進行遠程安全漏洞掃描，在攻擊者利用安全漏洞實施攻擊以前發現和修補這些安全漏洞
• 採用提高系統與服務安全性的通常性設防措施

（3）Web應用程序安全設防措施：

• 提升安全認識，開發時兼顧安全性、訪問性能與便捷性
• 使用具備良好安全聲譽及穩定技術支持力量的web應用軟件包
• 只在必要時候自主或外包開發web應用程序
• 使用web服務器軟件提供的日誌功能

（4）Web站點數據安全設防措施：

• 提升網站內容維護人員的數據安全意識
• 對維護網站的數據安全實施平常監測和防禦

3.SQL注入

xss跨站腳本攻擊：

與代碼注入攻擊不一樣的是，其最終目的不是提供服務的Web應用程序，而是使用Web應用程序的用戶。

XSS攻擊技術原理：

與代碼注入相似，XSS攻擊的根源一樣是Web應用程序對用戶輸入內容的安全驗證與過濾不夠完善。

XSS攻擊類型：

• 持久性XSS漏洞（也稱做存儲型XSS漏洞，是危害最爲嚴重的XSS漏洞）
• 非持久性XSS漏洞（也稱爲反射XSS漏洞）

XSS攻擊：

• 測試XSS漏洞
• 顯示用戶的會話Cookie
• 竊取用戶的會話Cookie
• 利用Cookie信息假冒其餘用戶發表與修改帖子
• 編寫實現XSS蠕蟲。

XSS攻擊防範措施：

• 服務器端防範措施：①輸入驗證②輸出淨化③消除危險的輸入點。
• 客戶端防範措施：提高瀏覽器的安全設置。

web瀏覽器安全攻防

1.web瀏覽器安全威脅

• 三要素：複雜性、可擴展性、連通性。

• Web安全威脅位置:

  傳輸網絡的網絡協議安全威脅
  Web瀏覽端系統平臺的安全威脅
  Web瀏覽器軟件及插件程序的滲透攻擊威脅
  互聯網用戶社會工程學攻擊威脅

2.Web瀏覽端滲透攻擊威脅——網頁木馬

• 本質核心：利用腳本語言實現對web瀏覽端軟件安全漏洞的滲透攻擊，從而向客戶端主機中植入惡意程序。

視頻內容學習總結

16.漏洞分析之數據庫評估（一）

• BBQSQL

一種用Pyhthon寫的SQL盲注框架。當發動QL注入漏洞攻擊時，它將很是有用。BBQSQL是半自動工具，容許許多難以觸發的SQL注入變得用戶化。BBQSQL最重要的是它不關心數據或數據庫。

• DBPwAudit

功能：經過掛載字典對目標數據庫進行密碼暴力猜解，目前支持的數據庫包括SQLServer、MySQL、Oracle、DB2

• HexorBase

圖形化的密碼破解與鏈接工具，支持MySQL、Oracle、PostgreSQL、SQLite和SQL Server五大主流數據庫。它容許安全人員指定用戶字典和密碼字典，而後實施字典攻擊。同時，它還提供對應的圖形界面客戶端，容許安全人員使用破解出的用戶名和密碼，對數據庫進行遠程管理。

• jSQL

jSQL是一款Java開發的輕量級遠程服務器數據庫注入漏洞測試工具，且免費、開源、跨平臺 (Windows, Linux, Mac OS X, Solaris)。將存在注入漏洞的URL貼進去便可進行響應的漏洞利用。

• MDBTools

包括MDB-Export，以及MDB-Dump，mdb-parsecsv，mdb-sql，mdb-tables等子工具
Oracle Scanner

• OScanner 是基於Java開發的一個Oracle評估框架

• SIDGuesser

針對Oracle的SID進行暴力枚舉的工具。

• Sqldict

SQLdict是一個Windows程序，是一款用戶名密碼枚舉工具，運行時會自動調用Kali Linux內置的Wine組件。滲透測試人員只要指定目標IP地址、帳戶名和密碼字典，就能夠實施密碼爆破。

17.漏洞分析之數據庫評估（二）

• tnscmd10g

容許向Oracle數據庫注入數據。

• Sqlsus

一個開放源代碼的MySQL注入和接管工具，sqlsus使用perl編寫，基於命令行界面。Sqlsus能夠獲取數據庫結構，注入本身的SQL語句，從服務器下載文件，爬行web站點可寫目錄，上傳和控制後門，克隆數據庫等。最好用的兩點就是注射獲取數據速度很是快，另一個最大的特色就是自動搜索可寫目錄。

• sqlninja

一款Perl編寫的一個專門針對microsoft SQL server的SQL注入工具，和市面上其餘的注入工具不一樣，sqlninja沒有將精力用在跑數據庫上，而是側重於得到一個shell。

• Sqlmap

SQLMAP是一個開源的滲透測試工具，它主要用於自動化的偵測和實施SQL注入以及滲透數據庫服務器，SQLMAP配有強大的偵測引擎，適用於高級滲透測試用戶，不只能夠得到不一樣數據庫的指紋信息，還能夠從數據庫中提取數據，此外還可以處理潛在的文件系統以及經過帶外數據鏈接執行系統命令等。

18.漏洞分析之web應用代理

• Burp Suite

用於攻擊web應用程序集成平臺。Burp Suite 經過默認端口8080上運行，使用這個代理，能夠截獲並修改從客戶端到web應用程序的數據包。

• OwaspZAP

攻擊代理，是一款查找網頁的應用程序漏洞綜合滲透測試工具。包含攔截代理，被動處理，暴力破解，端口掃描，以及蜘蛛搜索等功能。OwaspZAP爲會話類調試工具，調試功能對網站不會發起大量請求，對服務器影響較小。
OwaspZAP像Burp suite同樣使用代理的方式來截取網站。

• paros proxy

一個對Web應用程序的漏洞進行評估的代理程序，即一個基於Java的web代理程序，能夠評估Web應用程序的漏洞。它支持動態地編輯/查看 HTTP/HTTPS,從而改變cookies和表單字段等項目。它包括一個Web通訊記錄程序，Web圈套程序(spider)，hash 計算器，還有一個能夠測試常見的Web應用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。該工具檢查漏洞形式包括：SQL注入、跨站點腳本攻擊、目錄遍歷等。

• WebScarab

一款代理軟件，包括HTTP代理，網絡爬行、網絡蜘蛛，會話ID分析，自動腳本接口，模糊測試工具， WEB格式的編碼/解碼，WEB服務描述語言和SOAP解析器等功能模塊。WebScarab基於GNU協議，使用Java編寫，是WebGoat中所使用的工具之一。

• Vega

Vega是一個開放源代碼的web應用程序安全測試平臺，Vega可以幫助你驗證SQL注入、跨站腳本（XSS）、敏感信息泄露和其它一些安全漏洞。 Vega使用Java編寫，有GUI，能夠在Linux、OS X和windows下運行。Vega相似於 Paros Proxy, Fiddler, Skipfish and ZAproxy。

19.漏洞分析之BurpSuite

Burp Suite是一個Web應用程序集成攻擊平臺，它包含了一系列burp工具，這些工具之間有大雖接口能夠互相通訊，這樣設計的目的是爲了促進和提升整個攻擊的效率。

20.漏洞分析之Fuzz工具

Fuzz工具是一個模糊測試工具。模糊測試是一種介於徹底的手工滲透測試與徹底的自動化測試之間的安全性測試類型，是一種經過向目標系統提供非預期的輸入並監視異常結果來發現軟件漏洞的方法。測試的基本思想就是經過向程序中輸入大量的隨機數據，而後觀察輸入這些數據以後程序的狀況，記錄下使程序發生異常的數據，從而判斷程序是在那些地方發生了異常。 簡言之，就是發送一連串可能畸形的數據包，嘗試使程序報錯，從而進行判斷。

• Bed.pl

Bed是一個純文本協議的Fuzz工具，可以檢查常見的漏洞，如緩衝區溢出，格式串漏洞，整數溢出等。BED經過加載插件，向目標主機發送攻擊數據。若是發現目標沒法響應，說明目標可能存在溢出區漏洞。通過屢次測試驗證，就能夠判斷漏洞出現的位置。而後經過手工執行驗證，代碼審覈、反編譯等方式，就能夠找出漏洞具體觸發機制，從而加以利用。

• ohrwurm

一個迷你的對RTP的fuzz工具，主要針對SIP通訊的fuzz

• Wfuzz

針對WEB應用的模糊測試工具，能夠進行web應用暴力猜解，也支持對網站目錄、登陸信息、應用資源文件等的暴力猜解，還能夠進行get及post參數的猜解，sql注入、xss漏洞的測試等。全部功能依賴於字典。
wfuzz基於一個很是簡單的概念：它用一個給定的payload來替換相應的FUZZ關鍵詞的值，咱們稱FUZZ這樣的關鍵詞爲佔位符。一個wfuzz中的payload就是一個輸入的源。

• XSSer

XSSer專門針對XSS漏洞，主要是對一個頁面或點進行xss測試，判斷是否有XSS的漏洞。
依舊使用metasploitable2-linux自帶的DVWA爲例，點擊 XSS reflected進行設置，並複製cookie值。
XSSer參數較多，請使用（--help）查看。XSSer使用起來不是那麼簡單方便，但能夠做爲第三方調用，在腳本中藉助XSSer能夠完成一系列的測試，會讓代碼對網站的測試更高效。

• 網絡攻防技術與實踐 (官網)