当前位置:首页 >  站长 >  建站经验 >  正文

网站漏洞中的渗透测试详情

 2019-10-17 10:10  来源:A5用户投稿  我来投稿   websafe的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

最近忙于工作没有抽出时间来分享渗透测试文章,索性今天由我们Sinesafe的高级渗透大牛给大家详细讲下主要在业务中发现逻辑和越权的漏洞检测方法,希望大家能对自己的网站安全进行提前预防和了解,再次提醒做安全测试前必须要有正规的授权才能进行测试,提供网站的安全性保障权益。

3.11.1. Xpath定义

XPath注入攻击是指利用XPath解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法,它允许攻击者在事先不知道XPath查询相关知识的情况下,通过XPath查询得到一个XML文档的完整内容。

3.11.2. Xpath注入攻击原理

XPath注入攻击主要是通过构建特殊的输入,这些输入往往是XPath语法中的一些组合,这些输入将作为参数传入Web 应用程序,通过执行XPath查询而执行入侵者想要的操作,下面以登录验证中的模块为例,说明 XPath注入攻击的实现原理。

在Web 应用程序的登录验证程序中,一般有用户名(username)和密码(password) 两个参数,程序会通过用户所提交输入的用户名和密码来执行授权操作。若验证数据存放在XML文件中,其原理是通过查找user表中的用户名 (username)和密码(password)的结果来进行授权访问,

例存在user.xml文件如下:

Ben

Elmore

abc

test123

Shlomy

Gantz

xyz

123test

则在XPath中其典型的查询语句如下:

//users/user[loginID/text()=’xyz’and password/text()=’123test’]

但是,可以采用如下的方法实施注入攻击,绕过身份验证。如果用 户传入一个 login 和 password,例如 loginID = ‘xyz’ 和 password = ‘123test’,则该查询语句将返回 true。但如果用户传入类似 ‘ or 1=1 or ”=’ 的值,那么该查询语句也会得到 true 返回值,因为 XPath 查询语句最终会变成如下代码:

//users/user[loginID/text()=”or 1=1 or ”=” and password/text()=” or 1=1 or ”=”]

这个字符串会在逻辑上使查询一直返回 true 并将一直允许攻击者访问系统。攻击者可以利用 XPath 在应用程序中动态地操作 XML 文档。攻击完成登录可以再通过XPath盲入技术获取最高权限帐号和其它重要文档信息。

3.12. 逻辑漏洞 / 业务漏洞

3.12.1. 简介

逻辑漏洞是指由于程序逻辑不严导致一些逻辑分支处理错误造成的漏洞。

在实际开发中,因为开发者水平不一没有安全意识,而且业务发展迅速内部测试没有及时到位,所以常常会出现类似的漏洞。

3.12.2. 安装逻辑

查看能否绕过判定重新安装

查看能否利用安装文件获取信息

看能否利用更新功能获取信息

3.12.3. 交易

3.12.3.1. 购买

修改支付的价格

修改支付的状态

修改购买数量为负数

修改金额为负数

重放成功的请求

并发数据库锁处理不当

3.12.3.2. 业务风控

刷优惠券

套现

3.12.4. 账户

3.12.4.1. 注册

覆盖注册

’尝试重复用户名

注册遍历猜解已有账号

3.12.4.2. 登录

撞库

账号劫持

恶意尝试帐号密码锁死账户

3.12.4.3. 找回密码

重置任意用户密码

密码重置后新密码在返回包中

Token验证逻辑在前端

3.12.4.4. 修改密码

越权修改密码

修改密码没有旧密码验证

3.12.5. 验证码

验证码强度不够

验证码无时间限制或者失效时间长

验证码无猜测次数限制

验证码传递特殊的参数或不传递参数绕过

验证码可从返回包中直接获取

验证码不刷新或无效

验证码数量有限

验证码在数据包中返回

修改Cookie绕过

修改返回包绕过

图形验证码可OCR或使用机器学习识别

验证码用于手机短信/邮箱轰炸

3.12.6. Session

Session机制

Session猜测

Session伪造

Session泄漏

Session Fixation

3.12.7. 越权

水平越权

攻击者可以访问与他拥有相同权限的用户的资源

权限类型不变,ID改变

垂直越权

低级别攻击者可以访问高级别用户的资源

权限ID不变,类型改变

交叉越权

权限ID改变,类型改变

3.12.8. 随机数安全

使用不安全的随机数发生器

使用时间等易猜解的因素作为随机数种子

3.12.9. 其他

用户/订单/优惠券等ID生成有规律,可枚举

接口无权限、次数限制

加密算法实现误用

执行顺序

敏感信息泄露

3.13. 配置安全

3.13. 配置安全

弱密码

位数过低

字符集小

为常用密码

个人信息相关(手机号 生日 姓名 用户名)

使用键盘模式做密码

敏感文件泄漏

.git

.svn

数据库

Mongo/Redis等数据库无密码且没有限制访问

加密体系

在客户端存储私钥

三方库/软件

公开漏洞后没有及时更新,如果对此有进一步的想加强网站安全性以及渗透测试服务,可以咨询专业的网站安全公司来处理解决,国内推荐Sine安全,启明星辰,绿盟等等专业的安全公司。

作者: websafe    /    文章:77篇

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • 网站安全防止被黑客攻击的办法

    从今年3月份全世界黑客攻击网站分析局势来看,黑客攻击的网站中中国占有了绝大多数。那麼作为一个公司或是开发公司,如何防止自身的网站黑客攻击,从企业网站建设之初,就应当搞好这种安全对策,当你的网站保证以下几个方面都做好了的话,相对性是较为安全的。

  • 一个小白影视站长的成长推广经历

    视频网站及抖音快手推广,可以通过视频剪辑的方式上传一些视频,到酷6,土豆,优酷,抖音,快手,上传视频都印上网站的LOGO或导入公众号。通过这样的方式也会为网站带来不少流量。

  • 电商时代,企业搭建商城系统的优势有哪些

    通过网上商城,消费者足不出户,即可轻松享受从产品咨询、下单、付款到收货的一站式客户体验。为了增强电商平台的互动性,独立商城系统还可以提供在线咨询、电话咨询与网络留言三种互动途径,消费者可以自由选择适合自己的方式与专职客服人员进行交流,互动性得到了显著提高。

    标签:
    商城系统
  • 建站CMS系统:织梦dedeCms、PageAdmin、帝国优缺点比较

    之前一直使用dedeCms建站的,时间也算很长了,但是最近我们公司用dede做的网站被频繁被挂马,网上已经找不到解决方法,客户天天投诉,dedecms从原创团队解散后,几年了基本没有什么更新和维护,没有办法只能重新寻找新的cms改版。

  • 痛定思痛!Shopify大规模封店给我们跨境卖家的启示

    就在昨天中午,毫无预兆的情况下,我们的Shopify店铺无法打开了,只显示wewillcomingsoon的提示。随后我们在一个群里也发现很多人跟我们一样遭遇,同样是没收到邮件通知,也没有任何先兆。

    标签:
    自助建站系统
  • 为什么在建站时最好选择独立IP的服务器

    企业网站在建设时,有一部分站长会为了让网站做的更加出彩选择在服务器方面压缩成本,所以会拒绝使用独立服务器,转而选择一些较为经济的空间。这其实是一种错误的做法,服务器是网站运营的根本,即使在网站设计方面节约一些成本,也一定要选择一个好的服务器,否贼会给网站日后的运营带来很多麻烦,省下的成本也许会在日后

    标签:
    独立IP主机
  • 在进行网站建设时 如何选择合适的服务器

    随着互联网带给传统行业的冲击越来越大,有很多企业都不得不选择通过搭建网站来保证自身的收益,但网站的搭建也并不是一件简单的事情,如果网站不能给用户带来很好的体验,那么可能就无法为企业带来正面的效果,反而会白白浪费运营网站的成本。

  • 谈谈分销系统那些事

    分销系统是新兴事物,有些老板对于分销系统这个行业的知识了解比较少,就会造成在选择分销系统公司时,有一些考虑不周全的地方,可以说有不少老板做分销系统的历程可谓是千辛万苦,不知道什么时候就出现了超出自己想象的麻烦。

    标签:
    分销系统
  • 建站指南丨如何低成本建设自己的网站?

    说起SugarHosts,是欧洲的老牌主机商了,提供虚拟主机、VPS、云主机、域名等业务,其中香港、洛杉矶中美极速数据中心的虚拟主机,是非常适合国内用户使用,免备案即开即用,网络优化很好,网速快延迟也低。总体来看Pro方案,性价比极高,强烈推荐,免费赠送SSL证书、独立IP,大大提高了网站实用性,关

  • 企业官网在建设时需要注意的事项有哪些?

    企业的官网对一家企业来说非常重要,在互联网时代,官网就代表着一家企业在网上的门面和形象。大部分人现在在试图了解陌生的公司时,都会选择去官网一探究竟,所以如果企业网站的设计不成功的话很大可能会影响到企业的发展。那么,在企业官网建设时,需要注意哪些地方呢?

榜单

热门排行

信息推荐

扫一扫关注最新创业资讯