成都装修公司网站建设,wordpress 做的人多吗,dede网站不能访问,数据库检索网站建设安全基础理论入门知识参考上一篇《WEB应用安全测试指南蓝队安全测试1》 WEB应用安全测试指南2 一、文件 I/O 类1.1、任意文件上传1.2、任意文件下载1.3、文件包含 二、接口安全类2.1、短信炸弹2.2、邮件炸弹2.3、短信内容可控2.4、邮件内容可控 三、逻辑流程类3.1、越权3.2、未…安全基础理论入门知识参考上一篇《WEB应用安全测试指南蓝队安全测试1》 WEB应用安全测试指南2 一、文件 I/O 类1.1、任意文件上传1.2、任意文件下载1.3、文件包含 二、接口安全类2.1、短信炸弹2.2、邮件炸弹2.3、短信内容可控2.4、邮件内容可控 三、逻辑流程类3.1、越权3.2、未授权访问3.3、CSRF 漏洞 四、数据验证类4.1、SQL 注入4.2、XSS4.3、URL 重定向 一、文件 I/O 类
1.1、任意文件上传
漏洞描述
一般情况下文件上传漏洞是指用户上传了一个可执行的脚本文件并通过此脚本文件获得了执行服务器端命令的能力。文件上传本身是 web 中最为常见的一种功能需求关键是文件上传之后服务器端的处理、解释文件的过程是否安全。一般的情况有 上传文件WEB脚本语言服务器的WEB容器解释并执行了用户上传的脚 本导致代码执行。上传文件FLASH策略文件crossdomain.xml以此来控制Flash在该域下的行为。上传文件是病毒、木马文件攻击者用以诱骗用户或管理员下载执行。上传文件是钓鱼图片或包含了脚本的图片某些浏览器会作为脚本执 行可用于实施钓鱼或欺诈。
检查条件
测试目标具有文件上传功能。
检测方法 上传方式根据不同的 web 语言检测方法也各式各样以下列举基于 JS 验证的上传的几种常见的文件上传绕过方法 直接删除代码中onsubmit事件中关于文件上传时验证上传文件的相关代码即可。如图 直接更改文件上传 JS 代码中允许上传的文件扩展名你想要上传的文件扩展名如图所示 使用本地提交表单即可如图所示 使用 burpsuite 或者是 fiddle 等代理工具提交本地文件先更改为 jpg上传时拦截再把文件扩展名更改为 asp 即可如图所示 当然也有不是基于JS验证的上传例如一些中间件IISNginx,PHP,FCK编辑器等等的解析漏洞其上传绕过方式也是多种多样。通过对上传页面进行检查常见的文件上传检查针对文件类型进行可以使用手动修改POST包然后添加%00字节用于截断某些函数对文件名的判断。除了修改文件名来绕过类型检查外还可以修改文件头来伪造文件头欺骗文件上传检查如图修改文件头中的类型来进行绕过 以上为几种常见的上传更多的还需自行研究进行上传绕过。以下为总体的测试流程 1、登陆网站并打开文件上传页面。 2、点击“浏览”按钮并选择本地的一个JSP文件比如hacker.jsp确认上传。 3、如果客户端脚本限制了上传文件的类型比如允许gif文件则把hacker.jsp更名为hacker.gif配置HTTP Proxyburp进行http请求拦截重新点击“浏览”按钮并选择hacker.gift确认上传。 4、在WebScarab拦截的HTTP请求数据中将hacker.gif修改为hacker.jsp再发送请求数据。 登陆后台服务器用命令find / -name hacker.jsp查看hacker.jsp文件存放的路径。如果可以直接以Web方式访问则构造访问的URL并通过浏览器访问hacker.jsp如果可以正常访问则已经取WebShell测试结束。如果hacker.jsp无法通过web方式访问例如hacker.jsp存放在/home/tmp/目录下而/home/tomcat/webapps目录对应http://www.example.com/则进行下一步 5、重复13在burp拦截的HTTP请求数据中将hacker.gif修改为../tomcat/webapps/hacker.jsp再发送请求数据。 6、在浏览器地址栏输入http://www.example.com/hacker.jsp访问该后门程序取得WebShell结束检测。
漏洞等级
【*高危*】成功上传恶意文件并且解析 webshell。
修复方案
最有效的将文件上传目录直接设置为不可执行对于Linux而言撤销其目录的x权限实际中很多大型网站的上传应用都会放置在独立的存储上作为静态文件处理一是方便使用缓存加速降低能耗二是杜绝了脚本执行的可能性文件类型检查建议使用白名单方式结合MIME Type、后缀检查等方式即只允许允许的文件类型进行上传此外对于图片的处理可以使用压缩函数或resize函数处理图片的同时破坏其包含的HTML代码使用随机数改写文件名和文件路径使得用户不能轻易访问自己上传的文件单独设置文件服务器的域名。
1.2、任意文件下载
漏洞描述
任意文件下载漏洞不同于网站目录浏览此漏洞不仅仅可遍历系统下 web中的文件而且可以浏览或者下载到系统中的文件攻击人员通过任意文件下载漏洞可以获取系统文件及服务器的配置文件等等。一般来说他们利用服务器 API、文件标准权限进行攻击。严格来说任意文件下载漏洞并不是一种 web漏洞而是网站设计人员的设计“漏洞”。
检测条件
测试目标具有文件下载功能。
检测方法
通过web漏洞扫描工具对网站实施扫描可能发现目录遍历或者任意文件下载漏洞发送一系列”../”字符来遍历高层目录并且尝试找到系统的配置文件或者系统中存在的敏感文件。也可通过判断网站语言并根据其url中部分提供的参数进行构造相关的路径信息如收集到网站中间件版本为apache则想办法构造../../../WEB-INF/web.xml等然后查看其是否可被下载出来。随后可构造下载系统文件。
漏洞等级
【*高危*】:下载系统的任意文件对系统进行进一步的入侵。
修复方案
净化数据对用户传过来的文件名参数进行硬编码或统一编码对文件类型进行白名单控制对包含恶意字符或者空字符的参数进行拒绝。web应用程序可以使用chroot环境包含被访问的web目录或者使用绝对路径参数来访问文件目录时使其即使越权也在访问目录之内。www目录就是一个chroot应用. 由chroot创造出的那个根目录叫做“chroot监狱”所谓监狱就是指通过chroot机制来更改某个进程所能看到的根目录即将某进程限制在指定目录中保证该进程只能对该目录及其子目录的文件有所动作从而保证整个服务器的安全详细具体chroot的用法可参考http://blog.csdn.net/frozen_fish/article/details/2244870任意文件下载漏洞也有可能是web所采用的中间件的版本低而导致问题的产生例如ibm的websphere的任意文件下载漏洞需更新其中间件的版本可修复。要下载的文件地址保存至数据库中。文件路径保存至数据库让用户提交文件对应ID下载文件。用户下载文件之前需要进行权限判断。文件放在web无法直接访问的目录下。不允许提供目录遍历服务。公开文件可放置在web应用程序下载目录中通过链接进行下载。
1.3、文件包含
漏洞描述
文件包含是指程序代码在处理包含文件的时候没有严格控制。导致用户可以构造参数包含远程代码在服务器上执行并得到网站配置或者敏感文件进而获取到服务器权限造成网站被恶意删除用户和交易数据被篡改等一系列恶性后果。主要包括本地文件包含和远程文件包含两种形式由于开发人员编写源码开放着将可重复使用的代码插入到单个的文件中并在需要的时候将它们包含在特殊的功能代码文件中然后包含文件中的代码会被解释执行。由于并没有针对代码中存在文件包含的函数入口做过滤导致客户端可以提交恶意构造语句提交并交由服务器端解释执行。文件包含攻击中 WEB 服务器源码里可能存在 inlcude()此类文件包含操作函数可以通过客户端构造提交文件路径是该漏洞攻击成功的最主要原因。
检测条件
测试目标采用 include 等文件包含函数通过动态变量的方式引入需要包含的文件。用户能够动态控制该变量。
检测方法
常见的文件包含漏洞出现在以 PHP 语言开发的网站中例如以下代码采用了指定用户的名称并将该名称包含在要呈现的 PHP 页面中如下
?php
include($_GET[name]);
?通过提供给 name 一个恶意数值导致程序包含来自外部站点的文件从而可以完全控制动态包含指令。比如提交http://test.com/test.php?name../../../etc/passwd如果我们为动态包含指令指定一个有效文件那么该文件的内容会被传递给 PHP 解析器,可直接在远程服务器上执行任意 PHP 文件。如果我们能够指定一条路径来指向被自己控制的远程站点那么动态 include 指令就会执行提供的任意恶意代码也就是所谓的“远程文件包含”。构造类型复杂还需自行研究进行文件包含的利用。
漏洞等级 【*高危】读取系统的敏感信息或者包含恶意文件控制服务器。
修复方案
PHP配置 php.ini 关闭远程文件包含功能(allow_url_include Off)严格检查变量是否已经初始化。建议假定所有输入都是可疑的尝试对所有输入提交可能可能包含的文件地址包括服务器本地文件及远程文件进行严格的检查参数中不允许出现../之类的目录跳转符。严格检查 include 类的文件包含函数中的参数是否外界可控。不要仅仅在客户端做数据的验证与过滤关键的过滤步骤在服务端进行。在发布应用程序之前测试所有已知的威胁。
二、接口安全类
2.1、短信炸弹
漏洞描述
短信轰炸攻击时常见的一种攻击攻击者通过网站页面中所提供的发送短信验证码的功能处通过对其发送数据包的获取后进行重放如果服务器短信平台未做校验的情况时系统会一直发送短信这样就造成了短信轰炸的漏洞。
检测条件
测试目标具有短信发送的功能。
检测方法
手工找到有关网站注册页面认证页面是否具有短信发送页面如果有则进行下一步。通过利用 burp suite 或者其它抓包截断工具抓取发送验证码的数据包并且进行重放攻击查看手机是否在短时间内连续收到 10 条以上短信如果收到大量短信则说明存在该漏洞。
风险等级
【*中危】对任意手机号码进行轰炸。 【低危】仅对当前用户手机号码进行轰炸
修复方案
合理配置后台短信服务器的功能对于同一手机号码发送次数不超过 3-5次并且可对发送的时间间隔做限制。页面前台代码编写时加入禁止针对同一手机号进行的次数大于 N 次的发送或者在页面中加入验证码功能并且做时间间隔发送限制。
2.2、邮件炸弹
漏洞描述
应用系统未限制邮件的发送次数和频率造成短时间内大量邮件发送至接收者邮箱造成大量垃圾邮件。
检测条件
测试目标具有邮件发送的功能。
检测方法
手工找到有关网站注册页面认证页面是否具有邮件发送页面如果有则进行下一步。通过利用 burp suite 或者其它抓包截断工具抓取发送邮件的数据包并且进行重放攻击查看邮箱是否在短时间内连续收到 10 条以上邮件如果收到大量邮件则说明存在该漏洞。
风险等级
【*中危】对任意邮箱进行轰炸。 【低危】仅对当前用户邮箱进行轰炸。
修复方案
合理配置后台邮件服务器的功能对于同一邮箱发送次数不超过 3-5 次并且可对发送的时间间隔做限制。页面前台代码编写时加入禁止针对同一邮箱账号进行的次数大于 N 次的发送或者在页面中加入验证码功能并且做时间间隔发送限制。
2.3、短信内容可控
漏洞描述
应用系统未限制短信的发送内容造成短信内容客户端可控。
检测条件
测试目标具有短信内容编辑的功能或短信内容由客户端发出。
检测方法
在客户端编辑短信内容看是否过滤特殊字符或内容。
风险等级 【*高危*】短信内容可控可对任意手机号码发送。 【*中危】短信内容可控仅对当前用户手机号码发送。
修复方案
建议在不影响业务的前提下禁止客户端编辑短信内容。
2.4、邮件内容可控
漏洞描述
应用系统未限制邮件的发送内容造成邮件内容客户端可控。 检测条件测试目标具有邮件内容编辑的功能或邮件内容由客户端发出。
检测方法
在客户端编辑邮件内容看是否过滤特殊字符或内容。
风险等级 【*高危*】邮件内容可控可对任意邮箱发送。 【*中危】邮件内容可控仅对当前用户邮箱发送。
修复方案
建议在不影响业务的前提下禁止客户端编辑邮件内容。
三、逻辑流程类
3.1、越权
漏洞描述
越权访问这类漏洞是指应用在检查授权Authorization时存在纰漏使得攻击者在获得低权限用户帐后后可以利用一些方式绕过权限检查访问或者操作到原本无权访问的高权限功能。在实际的代码安全审查中这类漏洞往往很难通过工具进行自动化检测因此在实际应用中危害很大。其与未授权访问有一定差别。
检测条件
测试目标存在不同级别的权限角色可通过用户名登录网站内进行功能的操作。测试目标正常运行。
检测方法
以超管 admin高权限用户 身份登录系统找 到 一 个 只 有 超 管 高 权 限 才 有 的 功 能 的 链 接 比如:“http://localhost/mywebappname/userManage/userList.do” , 显示出所有的 user并复制此链接。以普通用户登陆进系统,在地址栏输入: userManage/userList.do如果可以查看到其所有的 user则就造成了普通用户的越权访问。 检测说明权限管理测试更多的是进行人工分析自动化工具无法了解页面的具体应用场景以及逻辑判断过程。因此这里的测试需要首先测试人员理解测试业务系统的逻辑处理流程并在此基础上进行如下测试。这里有几个测试的参考依据 页面是否进行权限判断页面提交的资源标志是否与已登陆的用户身份进行匹配比对用户登陆后服务器端不应再以客户端提交的用户身份信息为依据而应以会话中保存的已登陆的用户身份信息为准必须在服务器端对每个请求 URL 进行鉴权而不能仅仅通过客户端的菜单屏蔽或者按钮 Disable 来限制。
风险等级
【*高危*】任意水平或垂直越权
修复方案
对用户操作进行权限校验防止通过修改参数进入未授权页面及进行非法操作建议在服务端对请求的数据和当前用户身份做校验检查。
3.2、未授权访问
漏洞描述
未授权访问漏洞:是在攻击者没有获取到登录权限或未授权的情况下或者不需要输入密码即可通过直接输入网站控制台主页面地址或者不允许查看的链接便可进行访问同时进行操作。
检测条件
测试目标具有登录页面或者具有不允许访问的目录或功能。不用登录可通过链接直接访问用户页面功能。
检测方法
通过对登录后的页面进行抓包将抓取到的功能链接在其他浏览器进行打开。也可以通过 web 扫描工具进行扫描爬虫得到相关地址链接进行直接访问如果未进行跳转到登录页面则可判断为存在未授权访问漏洞。
风险等级
【*高危*】认证模式可绕过不登录即可通过 URL 或其他方式访问登陆后页面。
修复方案
在系统中加入用户身份认证机制或者 tonken 验证防止可被直接通过连接就可访问到用户的功能进行操作简而言之一定对系统重要功能点增加权限控制对用户操作进行合法性验证。
3.3、CSRF 漏洞
漏洞描述
跨站请求伪造攻击Cross-Site Request ForgeryCSRF攻击者在用户浏览网页时利用页面元素例如 img 的 src强迫受害者的浏览器向 Web 应用服务器发送一个改变用户信息的 HTTP 请求。CSRF 攻击可以从站外和站内发起。从站内发起 CSRF 攻击需要利用网站本身的业务比如“自定义头像”功能恶意用户指定自己的头像 URL 是一个修改用户信息的链接当其他已登录用户浏览恶意用户头像时会自动向这个链接发送修改信息请求。从站外发送请求则需要恶意用户在自己的服务器上放一个自动提交修改个人信息的 htm 页面并把页面地址发给受害者用户受害者用户打开时会发起一个请求。威胁描述攻击者使用 CSRF 攻击能够强迫用户向服务器发送请求导致用户信息被迫修改甚至可引发蠕虫攻击。如果恶意用户能够知道网站管理后台某项功能的 URL就可以直接攻击管理员强迫管理员执行恶意用户定义的操作。
检测条件
测试目标正常运行。存在数据提交的所有功能点。
检测方法
检查网站是否有使用 token 或 referer 参数若有上述参数删除参数值查看返回是否有报错。修改 referer 值保留原 host 关键词尝试绕过 referer 检测。伪造 referer。 以下来举例说明其中一种检测以及攻击方案 1使用 BurpSuite 对关键操作进行抓包右键选择“Engagement tools Generate CSRF PoC”进行 CSRF 攻击脚本的构造。 2生成脚本后选择“Test in browser”进行 CSRF 验证。
风险等级
【*高危*】核心系统关键操作账户操作审批确认…。 【*中危】普通系统关键操作账户操作审批确认…。
修复方案
通过 referer 判断页面来源进行 CSRF 防护该方式无法防止站内 CSRF攻击及 referer 字段伪造。重要功能点使用动态验证码进行 CSRF 防护。通过 token 方式进行 CSRF 防护。为每个 session 创建唯一的随机字符串并在受理请求时验证。
四、数据验证类
4.1、SQL 注入
漏洞描述
SQL 注入就是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串最终达到欺骗服务器执行恶意的 SQL 命令。具体来说它是利用现有应用程序将恶意SQL 命令注入到后台数据库引擎执行的能力它可以通过在 Web 表单中输入恶意SQL 语句得到一个存在安全漏洞的网站上的数据库而不是按照设计者意图去执行 SQL 语句。 造成 SQL 注入漏洞原因有两个一个是没有对输入的数据进行过滤过滤输入还有一个是没有对发送到数据库的数据进行转义转义输出。
检测条件
测试目标具有交互功能模块涉及到参数查询、提交等。
检测方法 通过web漏洞扫描工具进行对网站爬虫后得到的所有链接进行检测或者手工判断是否存在注入点一旦确认存在漏洞可利用自动化工具sqlmap去尝试注入。 几种常见的判断方法 数字型 http://host/test.php?id100 and 11 返回成功 http://host/test.php?id100 and 12 返回失败 字符型 http://host/test.php?namerainman ’ and ‘1’‘1 返回成功 http://host/test.php?namerainman ’ and ‘1’‘2 返回失败 搜索型 搜索型注入简单的判断搜索型注入漏洞是否存在的办法是 1先搜索’如果出错说明90%存在这个漏洞。 2然后搜索%如果正常返回说明95%有洞了。 3然后再搜索一个关键字比如2006吧正常返回所有2006相关的信息。 4再搜索2006%and 11 and %和2006%and 12 and %。 绕过验证常见的为管理登陆也称万能密码 用户名输入 ‘ or 11 or ‘ 密码任意Admin’ - -或‘ or 11 or ‘ - -(admin or 11 --) (MS SQL)(直接输入用户名不进行密码验证)用户名输入admin 密码输入’ or ‘1’’1 也可以用户名输入admin or aa 密码输入任意用户名输入‘ or 11 - -用户名输入admin‘ or 11 - - 密码输入任意用户名输入1or11or11 密码输入任意不同的SQL服务器连结字符串的语法不同比如MS SQL Server使用符号来连结字符串而Oracle使用符号||来连结 http://host/test.jsp?ProdNameBook’ 返回错误 http://host/test.jsp?ProdNameB’’ook 返回正常 http://host/test.jsp?ProdNameB’||’ook 返回正常说明有 SQL 注入 排序型orderby参数或者被排序的参数 orderbydesc,1/1 返回正常 orderbydesc,1/0 返回错误 如果应用程序已经过滤了’和等特殊字符我们仍然可以在输入时过把字符转换成URL编码即字符ASCII码的16进制来绕过检查。
风险等级
【*高危*】存在 SQL 注入无论能否爆出数据。
修复方案
SQL改用预编译查询语句。过滤用户输入的参数中的特殊符号如’”~#%()_-等、过滤常见的sql函数如select、from、where、substr、ascii、if、case、when等。Web应用中用于连接数据库的用户与数据库的系统管理员用户的权限有严格的区分如不能执行drop等并设置Web应用中用于连接数据库的用户不允许操作其他数据库。设置Web应用中用于连接数据库的用户对Web目录不允许有写权限。
4.2、XSS
漏洞描述
跨站脚本攻击的英文全称是 Cross Site Script为了和样式表区分缩写为 XSS。发生的原因是网站将用户输入的内容输出到页面上在这个过程中可能有恶意代码被浏览器执行。跨站脚本攻击,它指的是恶意攻击者往 Web 页面里插入恶意 html 代码当用户浏览该页之时嵌入其中 Web 里面的 html 代码会被执行从而达到恶意用户的特殊目的。已知的跨站脚本攻击漏洞有三种1存储式2反射式3基于 DOM。 存储型跨站脚本攻击涉及的功能点用户输入的文本信息保存到数据库中并能够在页面展示的功能点例如用户留言、发送站内消息、个人信息修改等功能点。反射型跨站脚本攻击涉及的功能点URL 参数需要在页面显示的功能点都可能存在反射型跨站脚本攻击例如站内搜索、查询功能点。基于 DOM 跨站脚本攻击涉及的功能点涉及 DOM 对象的页面程序包括 不限这些 document.URL document.URLUnencoded document.location document.referrer window.location
检测条件
测试目标存在参数输入或者以 POST 方式提交参数显示为表单方式假设为 namevalue。在某种情况下用户输入被重新显示在网页上包括名字、帐号、检索结果等等说明目标网站服务器并没有对用户提交数据检测
检测方法 GET 方式跨站脚本 1在 输 入 的 参 数 后 逐 条 添 加 以 下 语 句 以 第 一 条 为 例 输 入 http://www.exmaple.com/page.xxx?namescriptalert(123456)/script 只要其中一条弹出显示 123456 的告警框就说明存在跨站漏洞记录漏洞停止测试。 2如果没有弹出显示 123456 的告警框则在返回的页面上单击鼠标右键选择“查看源文件”。 3查 找 网 页 源 文 件 中 是 否 包 含 完 整 的 字 符 串scriptalert(123456)/script则不管有没有弹出显示 123456 的告警框都表明存在跨站脚本漏洞。 4由于有些 HTML 元素比如textarea或”会影响脚本的执行所以不一定能够正确弹出 123456 告警框需要根据返回网页源文件的内容构造 value的值比如 Post 方式跨站脚本 1 在POST 表单中逐条输入以下语句只要其中一条弹出显示 123456 的对话框就说明存在跨站漏洞记录漏洞停止测试。 2scriptalert(123456)/script 3[img]javascript:alert(123456);[/img] 4如果没有弹出显示 123456 的告警框则在返回的页面上单击鼠标右键选择“查看源文件” 5查 找 网 页 源 文 件 中 是 否 包 含 完 整 的 字 符 串scriptalert(123456)/script则不管有没有弹出显示 123456 的告警框都表明存在跨站脚本漏洞。 6由于有些 HTML 元素比如或”会影响脚本的执行所以不一定能够正确弹出 123456 告警框需要根据返回网页源文件的内容构造 value的值比如
风险等级
【*高危*】应用中存在存储型跨站。 【*中危】应用中存在反射型跨站。
修复方案 验证所有输入数据有效检测攻击对所有输出数据进行适当的编码以防止任何已成功注入的脚本在浏览器端运行。 1.输入验证某个数据被接受为可被显示或存储之前使用标准输入验证机制验证所有输入数据的长度、类型、语法以及业务规则。 2.输出编码数据输出前确保用户提交的数据已被正确进行 entity 编码建议对所有字符进行编码而不仅局限于某个子集。
明确指定输出的编码方式不要允许攻击者为你的用户选择编码方式(如 ISO8859-1 或 UTF 8)。
4.3、URL 重定向
漏洞描述
服务端未对传入的跳转 url 变量进行检查和控制可能导致可恶意构造任意一个恶意地址诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的用户会比较信任所以跳转漏洞一般用于钓鱼攻击通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息或欺骗用户进行金钱交易也可能引发的 XSS 漏洞主要是跳转常常使用 302 跳转即设置 HTTP 响应头Locatioin: url如果 url 包含了 CRLF则可能隔断了 http 响应头使得后面部分落到了 http body从而导致 xss 漏洞。另外在 struts2 中存在重定向的漏洞是因为 struts2 由于缩写的导航和重定向前缀“action:”、 “redirect:”、 “redirectAction:”等参数前缀的内容没有被正确过滤导致的开放式重定向漏洞。
检测条件
测试目标具有 URL 跳转链接的地方。
检测方法
首先找到网站相关 url 中存在跳转链接的参数如登陆页面。在检测的同时可以修改参数中的合法 URL 为非法 URL然后查看是否能正常跳转或者通过抓包工具获取其 HTTP 响应头中 Host:的值是否包含了构造的 URL。如果是 struts2 重定向漏洞则可通过 web 扫描工具扫描发现或者手工 验 证 直 接 在 URL 后 添 加 ?redirect: 指 定 钓 鱼 链 接 例 如 10.1.82.53:9098/admin/login.action?redirect:http://diaoyu.com 进行验证。
风险等级
【*中危】URL 跳转参数可控且未对参数做白名单限制导致任意地址跳转可被利用钓鱼。
修复方案
对传入的 URL 做有效性的认证保证该 URL 来自于信任域。限制的方式可参考以下两种 限制 RefererReferer 是 HTTP header 中的字段当浏览器向 web 服务器发送请求时一般会带上 Referer告诉服务器是从哪个页面链接过来的通过限制 Referer 保证将要跳转 URL 的有效性避免攻击者生成自己的恶意跳转链接加入有效性验证 Token保证所有生成的链接都来自于可信域通过在生成的链接里加入用户不可控的 Token 对生成的链接进行校验。
下一期预告更新《WEB应用安全测试指南–蓝队安全测试3》主要包含组件安全类Jboss 组件漏洞等。
创作不易支持打赏感谢支持
