1、WEB2.0下的渗透测试WEB1.0下的渗透测试 通过 web服务器漏洞直接溢出得到 cmdshelliis60day.bin t p 80 通过 web应用程序传统漏洞得到 webshell传统漏洞是指 作用于 web服务端语言的漏洞如上传、 sql注射、包含等。phpwind0day.php t p 80 主要特点属于服务端攻击,攻击效果 “直截了当 ”,还是目前主流的渗透测试方式,但是寻找漏洞成本越来越高,安全产品的应用使利用越来越困难!关于 WEB 2.0 Web2.0一种相对概念 ,提倡的是高亲和力的交互应用,主体是用户之间用户与网站之间的互动。 Web2.0的核心注重的不仅是技
2、术,而更注重的设计思想。AJAX技术的诞生标着 web进入 2.0时代,也是其核心技术web2.0更注重互动的设计思想 如博客、 wiki、 sns网络等诞生 Web2.0下的渗透继承了 web2.0的特点:思想更重要!WEB2.0下的渗透测试 攻击的目标 主要的攻击方式: XSS、 CSRF、第三方内容劫持、 Clickjacking等。 攻击方式的趋势走向 攻击成功后的效果 现有的认识 几个渗透小故事攻击的目标 与 WEB1.0相比, WEB2.0渗透是针对客户端的攻击。 包括网站用户,网站的管理员,网站的运维、安全人员,还包括和你一样的 “渗透者 ”。主要的攻击方式 -XSS XSS在
3、web1.0诞生,在 web2.0时代出名。1996年就有人提到了这类攻击。 Jeremiah Grossman说的 1999年 David Ross和 Georgi Guninski提出 “Script injection”。2000年 apache官方一篇文档里正式取名 “Cross Site Scripting”。2005年 samy worm诞生,标志着 XSS进入 web2.0时代, xss火了!2007年出版的 XSS Attacks Book 提出: “XSS is the New Buffer Overflow, JavaScript Malware is the new sh
4、ell code” XSS的利用:web1.0时代:弹筐 alert()+收集 cookiedocument.cookieweb2.0时代: xss worm这也是目前 xss的主流利用!我们思想还处于 90年代!这也是广大脚本小子被 bs的原因之一! XSS =/= 弹筐 +收集 cookie+wormxss本质是在于执行脚本 javascript/html等 ,而一个 javascript就足够让你黑遍这个世界!主要的攻击方式 -CSRF CSRF-Cross Site Request Forgery诞生于 2000年,火于 2007/2008年。得益于 XSS的光芒,及几大 web2.0
5、的应用 如 gmail的 CSRF漏洞。 直译为: “跨站请求伪造 ”。 “跨 ”是它的核心。* 跨 http site* 攻防技术已经趋于成熟如 Bypass Preventing CSRF 2008年对于 csrf的防御* CSRF worm 我在 2008.01年 blog提到过这个概念 ,2008.09 80sec实现 百度 Hi Csrf蠕虫攻击 * 跨协议通信 Inter-Protocol Communication by Wade Alcorn 2006年,让通过客户端攻击用户本地电脑其他服务变为可能。如下代码在 webkit下实现了 http与 irc的通信:gibson =
6、document.createElement(“form“);gibson.setAttribute(“name“,“B“);gibson.setAttribute(“target“,“A“);gibson.setAttribute(“method“,“post“);gibson.setAttribute(“action“,“http:/127.0.0.1:6677“);gibson.setAttribute(“enctype“,“multipart/from-data“);crashoverride = document.createElement(“textarea“);crashover
7、ride.setAttribute(“name“,“C“);postdata = “USER A B C D nNick xxxxn“;crashoverride.setAttribute(“value“,postdata);crashoverride.innerText = postdata;crashoverride.innerHTML = postdata;gibson.appendChild(crashoverride);document.body.appendChild(gibson);gibson.submit();主要的攻击方式 -CSRF 从其他应用程序发起的跨站请求如 word winrar等文件。主要的攻击方式 -第三方内容劫持 The Dangers of Third Party Content -by SanJose OWASP-WASCAppSec20072009年开始天朝红火了一把 : Dz事件 (在后面讲具体提到) 广告业务、网页游戏、统计服务导致第三方内容应用广泛。 web应用程序里的第三方内容,比如 bbs官方升级提示功能等 其他应用程序里的第三方内容,如浏览器插件里的引入的js html等。 包括 JavaScript, HTML, Flash, CSS, etc.
