Download as PDF, PPTX
Web Introduction
此文档介绍了信息安全课程中的基本概念,包括HTTP协议、请求和响应的机制,以及Cookies的使用。涵盖了三个挑战,分别涉及Cookies、命令注入和前端认证的安全漏洞。文档提供了具体的例子和工具使用方法,如burpsuite。
Web Introduction
- 1. WEB- INTRODUCTION TA LESSON @108-1 INFORMATION SECURITY
- 2.
- 3. WHOAMI WHOAMI ▸ 陳靖汯 Redhung中正資管三 ▸ 熱愛資訊安全(CTF、漏洞洞研究) ▸ 對於底層的知識特別喜愛 ▸ 研究領域為IoT、Binary Exploitation ▸ CNA網管、SA ▸ 會吃飯會喝⽔水 ▸ Contact: redhung@hung.red
- 4. OUTLINE ‣ Web basic ‣Cookies (Chall 1) ‣ Command Injection (Chall 2) ‣ Authentication (Chall 3)
- 5.
- 6.
- 7. WEB BASIC HTTP PROTOCOL ▸當我們在⽇日常⽣生活點擊某個網址時就會碰到的協定 ▸ HTTP Protocol 定義了了 Client端 及 Server端 之間應答的標準 ▸ 由 Client端 發起 Request , Server端 接收後回應 Response ▸ HTTP method & HTTP status code
- 8. WEB BASIC HTTP METHOD ▸GET - 向Server請求資源 == 我來來要東⻄西 ▸ 參參數會以URL的形式傳送 ▸ E.g. https://ctf.hung.red?boy=me,參參數boy的值=me ▸ POST - 傳送資料給Server == 我來來送東⻄西 ▸ 參參數不會出現在URL裡 ▸ 通常⽤用來來傳送Data、Form ▸ HEAD、PUT、DELETE、TRACE、OPTIONS ..
- 9. WEB BASIC HTTP STATUSCODE ▸ Client端傳送 Request 送⾄至Server端之後給出的 Response ▸ 1XX - 收到請求了了,但還要繼續處理理 ▸ 2XX - 收到請求且處理理成功 ▸ 3XX - 重新導向相關 ▸ 4XX - Client端的問題 ▸ 5XX - Server端的問題
- 10.
- 11.
- 12. WEB BASIC HTTP REQUEST& RESPONSE
- 13.
- 14. COOKIES COOKIES ▸ Cookies是網站在我們瀏覽網⾴頁時儲存在電腦上的資料 ▸ 通常會儲存瀏覽該網站的偏好設定E.g. 語⾔言、位置 ▸ Cookies也常⽤用於儲存使⽤用者資料,再⽤用來來驗證⾝身份 ▸ Cookies是存放在Client端的東⻄西,因此可以任意修改
- 15.
- 16.
- 17. COMMAND INJECTION COMMAND INJECTION ▸當某些地⽅方為使⽤用者可控的指令且不經檢查時就容易易產⽣生 Command injection的漏洞洞 ▸ 以Linux的network指令ping為例例,在無線AP的Web介⾯面裡, 時常會出現network tool之類的⼯工具,若若在這之中沒有將使⽤用 者輸入過濾好的話就容易易造成Command injection ▸ E.g. 某個地⽅方能夠讓使⽤用者輸入IP,系統則會⾃自動去ping使⽤用 者所輸入的IP (是否有風險?)
- 18.
- 19.
- 20. FRONTEND AUTHENTICATION FRONTEND AUTHENTICATION ▸許多不純熟的網⾴頁開發者在驗證過程(E.g. 登入)時只做到前端保 護,但後端並沒有同步驗證,⽽而這種前端驗證容易易造成修改封包 來來達到繞過 ▸ 如何修改封包?回憶⼀一下 Request 和 Response 是如何進⾏行行的 ▸ 我們將使⽤用BurpSuite這個⼯工具來來攔截封包,修改封包後繞過前 端驗證並直擊後端
- 21.
- 22.
- 23.