渗透专题丨web Top10 漏洞简述(3)

news/2024/11/30 15:48:30/

CORS跨域资源共享漏洞

1、名词解释

• CORS: 跨域资源共享是一种放宽同源策略的机制,它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制,以使不同的网站可以跨域获取数据。

• CORS过程:简单跨域请求就是使用设定的请求方式请求数据,而非简单跨域请求则是在使用设定的请求方式请求数据之前,先发送一个 OPTIONS 预检请求,验证请求源是否为服务端允许源。只有"预检"通过后才会再发送一次请求用于数据传输。当我们需要发送一个跨域请求的时候,浏览器会首先检查这个请求,如果它是简单跨域请求,浏览器就会立刻发送这个请求。如果它是非简单跨域请求,这时候浏览器不会马上发送这个请求,而是有一个跟服务器预检验证的过程。

• CORS运行机制:在浏览器进行请求时,自动在请求头中添加 Origin 字段,服务端通过验证 Origin 字段来判断请求是否被允许,从而实现浏览器进行跨源访问。

2、漏洞代码







 

4、防御方案

• 不要配置"Access-Control-Allow-Origin" 为通配符“*”,而且更重要的是,要严格效验来自请求数据包中的"Origin" 的值。当收到跨域请求的时候,要检查"Origin" 的值是否是一个可信的源, 还要检是否为 null

• 避免使用"Access-Control-Allow-Credentials: true"

• 减少 Access-Control- Allow-Methods 所允许的方法

越权漏洞

1、简述

越权访问(Broken Access Control,简称 BAC)是 Web 应用程序中一种常见的漏洞,由于其存在范围广、危害大,被 OWASP 列为 Web 应用十大安全隐患的第二名。该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定,一旦权限验证不充分,就易致越权漏洞。

2、越权漏洞分类

• 水平越权:指相同权限下不同的用户可以互相访问

• 垂直越权:垂直越权是不同级别之间或不同角色之间的越权,一般是低权限用户往高权限越权。

3、漏洞防御

1、基础安全架构,完善用户权限体系。要知道哪些数据对于哪些用户,哪些数据不应该由哪些用户操作;

2、鉴权,服务端对请求的数据和当前用户身份做校验;

3、不要直接使用对象的实名或关键字。

4、对于可控参数进行严格的检查与过滤。

SSRF漏洞

1、简述

SSRF (Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞。一般情况下,SSRF 攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统)。

2、漏洞原理

SSRF 的形成大多是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。例如,黑客操作服务端从指定 URL 地址获取网页文本内容,加载指定地址的图片等,利用的是服务端的请求伪造。SSRF 利用存在缺陷的 Web 应用作为代理攻击远程和本地的服务器。

3、主要攻击手段

• 对外网、服务器所在内网、本地进行端口扫描,获取一些服务的 banner 信息。

• 攻击运行在内网或本地的应用程序。

• 对内网 Web 应用进行指纹识别,识别企业内部的资产信息。

• 攻击内外网的 Web 应用,主要是使用 HTTP GET 请求就可以实现的攻击(比如 struts2、SQli 等)。

• 利用 file 协议读取本地文件等。

4、支持协议

ftp

ssrf.php?url=ftp://evil.com:12345/TEST

file://

ssrf.php?url=file:///etc/password

Dict://

dict://@:/d:

ssrf.php?url=dict://attacker:11111/

SFTP://

ssrf.php?url=sftp://example.com:11111/

TFTP://

ssrf.php?url=tftp://example.com:12346/TESTUDPPACKET

LDAP://

ssrf.php?url=ldap://localhost:11211/%0astats%0aquit

Gopher://

ssrf.php?url=gopher://127.0.0.1:3306

5、防御手段

1.禁止跳转

2.过滤返回信息,验证远程服务器对请求的响应是比较容易的方法。如果 web 应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。

3.禁用不需要的协议,仅仅允许 http 和 https 请求。可以防止类似于 file://, gopher://, ftp:// 等引

起的问题

4.设置 URL 白名单或者限制内网 IP(使用 gethostbyname()判断是否为内网 IP)

5.限制请求的端口为 http 常用的端口,比如 80、443、8080、8090

6.统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态

反序列化漏洞

1、简述

反序列化又叫对象注入,序列化在内部没有漏洞,漏洞产生是应该程序在处理对象、魔术函数以及序列化相关的问题导致的 当传给 unserialize()的参数可控时,那么用户就可以注入 payload,进行反序列化的时候就可能触发对象中的一些魔术方法。

2、名词解释

序列化:对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时或持久性的存储区,将状态信息保存为字符串。

反序列化:将序列化后的字符串还原成对象。

3、反序列化魔法函数

• __construct() 当一个对象创建时被调用

• __destruct() 当一个对象销毁前被调用

• __sleep() 在对象被序列化前被调用

• __wakeup 将在反序列化之后立即被调用

• __toString 当一个对象被当做字符串使用时被调用

• get(),set() 当调用或设置一个类及其父类方法中未定义的属性时

• __invoke() 调用函数的方式调用一个对象时的回应方法

• call 和 callStatic 前者是调用类不存在的方法时执行,而后者是调用类不存在的静态方式方法时执行。

4、魔术方法实例


class 123{
public $var1 = 'abc';
public $var2 = '123';
public function echoP(){
echo $this->var1.'
';
}
public function __construct(){
echo "__construct
";
}
public function __destruct(){
echo "__destruct
";
}
public function __toString(){
return "__toString
";
}
public function __sleep(){
echo "__sleep
";
// 注意返回带类中所有变量名称的数组
return array('var1', 'var2');
}
public function __wakeup(){
echo "__wakeup
";
}
}
// 创建对象,输出__construct
$obj = new 123();
// 调用 echoP 方法
$obj->echoP();
// 把类当做字符串输出,输出__toString
echo $obj;
// 序列化对象,输出__sleep
$s = serialize($obj);
// O:6:"123":2:{s:4:"var1";s:3:"abc";s:4:"var2";s:3:"123";}
echo $s.'
';
// 反序列对象,输出__wakeup
unserialize($s);
// 脚本结束,对象被销毁,输出两个 __destruct,还有一个是 unserialize 恢复的对象
?>

4、漏洞防御

不要把用户的输入或者是用户可控的参数直接放进反序列化的操作中去

任意文件读取与下载漏洞

1、简述

任意文件读取与下载又名不安全的文件下载,一些网站的业务需要,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,就能够查看或下载任意的文件,可以是源文件,敏感文件等等。通过任意文件下载,可以下载服务器的任意文件,web 业务的代码,服务器和系统的具体配置信息,也可以下载数据库的配置信息,以及对内网的信息探测等等。

2、常见的敏感文件

Win:

• C:\boot.ini //查看系统版本

• C:\Windows\System32\inetsrv\MetaBase.xml //IIS 配置文件

• C:\Windows\repair\sam //存储系统初次安装的密码

• C:\Program Files\mysql\my.ini //Mysql 配置

• C:\Program Files\mysql\data\mysql\user.MYD //Mysql root

• C:\Windows\php.ini //php 配置信息

• C:\Windows\my.ini

Linux:

• /etc/passwd

• /etc/shadow

• /etc/hosts

• /root/.bash_history

• //root 的 bash 历史记录

• /root/.ssh/authorized_keys

• /root/.mysql_history //mysql 的 bash 历史记录

• /root/.wget-hsts

• /opt/nginx/conf/nginx.conf //nginx 的配置文件

• /var/www/html/index.html

• /etc/my.cnf

• /etc/httpd/conf/httpd.conf //httpd 的配置文件

• /proc/self/fd/fd[0-9]*(文件标识符)

• /proc/mounts

• /porc/config.gz

• /proc/sched_debug // 提供 cpu 上正在运行的进程信息,可以获得进程的 pid 号,可以配合后面需要 pid的利用

• /proc/mounts // 挂载的文件系统列表

• /proc/net/arp //arp 表,可以获得内网其他机器的地址

• /proc/net/route //路由表信息

• /proc/net/tcp and /proc/net/udp // 活动连接的信息

• /proc/net/fib_trie // 路由缓存

• /proc/version // 内核版本

• /proc/[PID]/cmdline // 可能包含有用的路径信息

• /proc/[PID]/environ // 程序运行的环境变量信息,可以用来包含 getshell

• /proc/[PID]/cwd // 当前进程的工作目录

• /proc/[PID]/fd/[#] // 访问 file descriptors,某写情况可以读取到进程正在使用的文件,比如access.log

3、漏洞防御

• 过滤点(.)使用户在 url 中不能回溯上级目录

• 正则严格判断用户输入参数的格式

• php.ini 配置 open_basedir 限定文件访问范围

目录遍历漏洞

1、简述

在 web 功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能变的更加灵活。 当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后台再执行其对应的文件。 在这个过程中,如果后台没有对前端传进来的值进行严格的安全考虑,则攻击者可能会通过“../”这样的手段让后台打开或者执行一些其他的文件。 从而导致后台服务器上其他目录的文件结果被遍历出来,形成目录遍历漏洞。

2、代码分析


$dir_path=$_REQUEST['path'];
$filename=scandir($dir_path);
var_dump($filename);
?>

path 可控 传入 scandir 函数再进行输出,会造成目录遍历漏洞。

3、攻击分类

• web目录遍历攻击:目录遍历可以输入../返回上级目录 /遍历根目录 ./当前目录 c:\访问 c 盘,~/ 当前用户目录。遍历网站或系统结构,寻找敏感文件,配合其他漏洞造成严重的安全隐患。

• 中间件目录遍历攻击:中间件如果设置不当的时,也会造成目录遍历,如 apache ngnix iis 目录浏览,均可造成目录遍历,但是这种目录遍历,只能遍历网站根目录,除非有特殊设置。通过遍历目录或文件,寻找敏感文件,如 session 登录验证文件,数据库备份等。对网站构成重大安全隐患。

4、预防手段

1.对用户的输入进行验证,特别是路径替代字符如“../”和“~/”。

2.尽可能采用白名单的形式,验证所有的输入。

3.合理配置 Web 服务器的目录权限。

4.当程序出错时,不要显示内部相关配置细节。

5.对用户传过来的文件名参数进行统一编码,对包含恶意字符或者空字符的参数进行拒绝。


http://www.ppmy.cn/news/414568.html

相关文章

css 背景图片随屏幕大小自适应全屏

如何设置背景图片填充整个屏幕 background: url(../assets/img/showBg.png) no-repeat top center;background-size: cover;background-attachment: fixed;width: 100%;height: 100%;position: fixed;top: 0;left: 0;right: 0;bottom: 0;

丸子杂货铺企业形象

丸子杂货铺是一家现代简约、ins风装修风格,奉行简约、自然、温馨,有家的感觉,集装饰品、怀旧老物件、生活用品、礼物、创意品、零食等让生活可以变得更美好的小物件的杂货铺。 解决杂货同一行业杂货铺环境普通、摆放杂乱的弊端和消费者找不到…

利用GIMP实现图片压缩

应用场景:网页有时候需要限制上传图片的大小,如要求文件大小不得高于10kB,如果我们原本的图片是3M的,那么如何精准的压缩图片以满足要求呢? 1. 导入图片后,在菜单栏- 图像(image)- 缩放图像(scale the ima…

丸子百度SEO版小程序发布,修复已知问题。

百度小程序SEO优化 上次铁柱继续更新了百度小程序的SEO问题,这次把遇到的问题做了一个总结,大家常见问题这次一并都给解决了。 问题解决方案:打包好小程序后会发行这个没有图片,明明自己在后台配置好了,怎么不显示呢&…

wordpress壁纸小程序,丸子小程序,壁纸小程序源码壁纸小程序开发壁纸小程序流量变现头像小程序

听说很多朋友都在找壁纸小程序,那么这这部已经做了一份壁纸小程序,不管UI方面还是功能优化速度以及图片的加载都是相当不错的,这个不管是个人还是企业都是相当好的,我们这边不仅仅是开发还有独立的技术交流群。 壁纸小程序有独立…

微信小程序云开发图片用作背景不显示

也是偶然的情况遇到这个问题,然后就去查了一下。 用云存储图片做背景是无效的。为什么呢? 首先,可以明确fileID可以作为标签插入,但是不能作为字符串直接作为background-image使用。 所以我们可以的得出结论,微信小…

webpack图片压缩

Install $ npm install image-webpack-loader --save-dev 配置 在webpack.config.js文件中设置合理的压缩质量范围,避免过度失真 rules: [{test: /\.(gif|png|jpe?g|svg)$/i,use: [file-loader,{loader: image-webpack-loader,options: {mozjpeg: {progressive: …

VBA之批量导出图片

Sub Rename() Application.ScreenUpdating False On Error Resume Next MkDir ThisWorkbook.Path & “\图片” For Each pic In ActiveSheet.Shapes If pic.Type msoPicture Then RN pic.TopLeftCell.Offset(0, -1).Value 重命名图片 pic.Copy With ActiveSheet.ChartOb…