Web安全分享 -公开版

Web Security 分享
--- XSS CSRF篇
整理：飘零
源于：Internet

目录
Web 1.0安全相关简介
Web 2.0安全简介
攻击对象
XSS
CSRF
Demo :网易博客Worm

WEB1.0下的渗透测试
通过web服务器漏洞直接溢出得到cmdshell
iis60day.bin –t www.microsoft.com –p 80
通过web应用程序传统漏洞得到webshell
传统漏洞是指作用于web服务端语言的漏洞：上传、sql注射、文件包含等。
phpwind0day.php –t www.phpwind.com –p 80
主要特点
属于服务端攻击，攻击效果“直截了当”，还是目前主流的渗透测试方式，但是寻找漏洞成本越来越高，安全产品的应用使利用越来越困难！

关于WEB 2.0
Web2.0一种相对概念,提倡的是高亲和力的交互应用，主体是用户之间用户与网站之间的互动。
Web2.0的核心注重的不仅是技术，而更注重的设计思想。
AJAX技术的诞生标着web进入2.0时代，也是其核心技术
web2.0更注重互动的设计思想如博客、wiki、sns网络等诞生

攻击的对象
与WEB1.0相比，WEB2.0渗透是针对客户端的攻击。
包括网站用户，网站的管理员，网站的运维、安全人员，还包括和你一样的“渗透者”。

主要的攻击方式—XSS
XSS在web1.0诞生，在web2.0时代出名。
1996年就有人提到了这类攻击。[Jeremiah Grossman说的]
1999年David Ross和GeorgiGuninski提出“Script injection”。
2000年apache官方一篇文档里正式取名“Cross Site Scripting”。
2005年samy worm诞生，标志着XSS进入web2.0时代，xss火了！
2007年出版的《XSS Attacks Book》提出：“XSS is the New Buffer Overflow, JavaScript Malware is the new shell code”

主要的攻击方式—XSS/CSS
XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。
它指的是恶意攻击者往Web页面里插入恶意html/js代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。
XSS属于被动式的攻击，因为其被动且不好利用，所以在web1.0时代一直未被重视，web2.0时代许多开发人员依然忽略其危害性。

XSS漏洞的分类
1、本地利用
2、反射式
3、存储式

Demo
http://www.baixing.com/wo/myinfo/?query=%3Cscript%3Ealert(/xss/)%3C/script%3E&src=null
http://demo.piao2010.com/xss/demo.php?name=piaoling<script>alert(/xss/);</script>
http://demo.piao2010.com/xss/demo.php?name=piaoling<script>window.location.href="http://taobao.com"</script>
跳转到淘宝网
如果情况相反又如何？
From taobao.com to evil site 造成的危害是巨大的

XSS的利用：
web1.0时代：弹筐[alert()]+收集cookie[document.cookie]
web2.0时代：xss worm
这也是目前xss的主流利用！
XSS =/= 弹筐+收集cookie+worm
xss本质是在于执行脚本[javascript/html等]，而一个javascript就足够让你黑遍这个世界！！！

防御XSS/CSS
过滤（转义）一切有害字符，包括但不仅限于：< #&>” ‘
http://demo.piao2010.com/xss/demo2.php?name=piaoling%3Cscript%3Ealert(/xss/);%3C/script%3E
PHP htmlspecialchars函数
The translations performed are:
'&' (ampersand) becomes '&'
'"' (double quote) becomes '"' when ENT_NOQUOTES is not set.
''' (single quote) becomes ''' only when ENT_QUOTES is set.
'<' (less than) becomes '<'
'>' (greater than) becomes '>'

防御XSS/CSS
与其不断更新黑名单不如采用白名单，限定允许输入的字符。XSS Cheat Sheet
不仅在输入的时候要过滤，在输出（比如模板引擎）的时候还要进行一次过滤，防止二次XSS
任何输入都是有害的，包括http头里的cookie Referer等等

主要的攻击方式--CSRF
CSRF---Cross Site Request Forgery
又名XSRF
诞生于2000年，火于2007/2008年。
得益于XSS的光芒，及几大web2.0的应用如gmail的CSRF漏洞。
直译为：“跨站请求伪造”。 CSRF的定义是强迫受害者的浏览器向一个易受攻击的Web应用程序发送请求,最后达到攻击者所需要的操作行为。
详见 80sec的 CSRF攻击原理解析

CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在并未授权的情况下执行在权限保护之下的操作。
网站是通过cookie来识别用户的，当用户成功进行身份验证之后浏览器就会得到一个标识其身份的cookie，只要不关闭浏览器或者退出登录，以后访问这个网站会带上这个cookie。如果这期间浏览器被人控制着请求了这个网站的url，可能就会执行一些用户不想做的功能（比如修改个人资料）。因为这个不是用户真正想发出的请求，这就是所谓的请求伪造；因为这些请求也是可以从第三方网站提交的，所以前缀跨站二字。

举个简单的例子，某个bbs可以贴图，在贴图的URL中写入退出登陆的链接，当用户阅读这个帖子之后就会logout了，因为用户以自己的身份访问了退出登陆链接，在用户看来是帖子里面有一张有问题的“图片”，而不是想要退出，但程序就会认为是用户要求退出登陆而销毁其会话。
这就是传说中的CSRF攻击了。

攻击成功后的效果
劫取你的隐私网站的普通用户
如常见的取得你ID、密码、cookie、联系等
劫取你的权限网站管理人员
如网站的后台，进一步通过后台得到网站的权限等
劫取你的系统所有用户
如利用浏览器的漏洞，或者通过跨协议利用你系统上其他服务的漏洞得到你的系统权限，或者取得本地系统上文件的读写能力等
劫取你的“内网” 公司成员，这个又因在内网的身份不同而不同，如分开发测试员、运维人员、内部网络管理人员、安全测试人员等等。

防御CSRF
验证 HTTP Referer字段
（成本最低，意义不大，直接构造http头绕过）
在请求地址中添加 token 并验证
（成本中等，效果不错。But ！如果存在xss仍然悲剧）
在 HTTP 头中自定义属性并验证
(代码重构，代价过高)

Demo
XSS + CSRF 网易博客worm的设计和实现
（详见我的博客http://www.piao2010.com）
典型的存储型XSS配合CSRF
编写思路：利用XSS引入JS文件（取得已登录用户的cookie），编码蠕虫核心文件（利用CSRF给用户添加一个自定义模块并植传播代码）从而让访问被感染页面的用户（已登录且开通了博客功能的访客）在不知情的情况下自动添加一个感染模块，从而实现一传十，十传百，蠕虫才能不断传播开来。

近期热点问题
IE两大罪状:MHTML跨域，编码自动识别引发的安全漏洞
IE下MHTML协议带来的跨域危害
Hacking with mhtml protocol handler
utf7-BOM string injection

后续省略N张PPT，前面那张PPT里的链接应该够大家看好一会了。哈哈

总结
任何输入输出都是有害的
没有绝对的安全（0day，新的攻击方法层出不穷 know it then hack it）
安全是一种意识，黑客是一种精神

网站推荐
http://www.80sec.com/
http://ha.ckers.org/xss.html
http://www.wooyun.org/
http://www.procheckup.com/vulnerability_manager/
http://secunia.com/
And so on
Google reader

欢迎交流
E-mail: piao2010@gmail.com
Blog: http://piao2010.com
Twitter: piao_2010 http://t.sina.com.cn/1850637684

http://www.piao2010.com	548
http://www.qiugonglue.com	20
http://feelingmm.com	19
http://planting.cgeek.org	9
http://199.71.214.89	7
http://cache.baidu.com	5
http://cncc.bingj.com	4
http://db.piao2010.com	2
http://www.planting.cgeek.org	2
http://www.dtbid.net	2
http://www.talkphp.net	2
http://talkphp.net	2
http://webcache.googleusercontent.com	2
http://a.trip007.net	1
http://wiki.cgeek.org	1
http://feed.feedsky.com	1
http://www.lingting.fm	1

Web安全分享 -公开版

by piao2010 on Mar 07, 2011

Accessibility

Categories

Upload Details

Usage Rights

17 Embeds 628

Statistics

Web安全分享 -公开版 — Presentation Transcript