精华内容
下载资源
问答
  • web漏洞检测

    2012-03-27 14:11:34
    扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在***“黑”你之前,先测试一下自己系统中的漏洞。我们在此推荐,供您参考。 1. Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服...

    现在有许多消息令我们感到Web的危险性,因此,当前如何构建一个安全的Web环境成为网管员和安全管理员们义不容辞的责任。但是巧妇难为无米之炊,该选择哪些安全工具呢?扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在***“黑”你之前,先测试一下自己系统中的漏洞。我们在此推荐,供您参考。

    1. Nikto

    这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250 多个服务器上的版本特定问题 )进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。

    Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下(或者测试你的IDS系统),它也可以支持 LibWhisker的反IDS方法。不过,并非每一次检查都可以找出一个安全问题,虽然多数情况下是这样的。有一些项目是仅提供信息(“info only”)类型的检查,这种检查可以查找一些并不存在安全漏洞的项目,不过Web管理员或安全工程师们并不知道。这些项目通常都可以恰当地标记出来。为我们省去不少麻烦。

    2. Paros proxy

    这是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看 HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序,Web圈套程序(spider),hash计算器,还有一个可以测试常见的Web应用程序***(如SQL注入式***和跨站脚本***)的扫描器。

    3. WebScarab

    它可以分析使用HTTP和HTTPS协议进行通信的应用程序,WebScarab可以用最简单地形式记录它观察的会话,并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,那么WebScarabi就可以满足你这种需要。不管是帮助开发人员调试其它方面的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。

    4. WebInspect

    这是一款强大的Web应用程序扫描程序。SPIDynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个 Web服务器是否正确配置,并会尝试一些常见的Web***,如参数注入、跨站脚本、目录遍历***(directory traversal)等等。

    5. Whisker/libwhisker

    Libwhisker是一个Perla模块,适合于HTTP测试。它可以针对许多已知的安全漏洞,测试HTTP服务器,特别是检测危险CGI的存在。Whisker是一个使用libwhisker的扫描程序。

    6. Burpsuite

    这是一个可以用于***Web应用程序的集成平台。Burp套件允许一个***者将人工的和自动的技术结合起来,以列举、分析、***Web应用程序,或利用这些程序的漏洞。各种各样的burp工具协同工作,共享信息,并允许将一种工具发现的漏洞形成另外一种工具的基础。

    7. Wikto

    可以说这是一个Web服务器评估工具,它可以检查Web服务器中的漏洞,并提供与Nikto一样的很多功能,但增加了许多有趣的功能部分,如后端miner和紧密的Google集成。它为MS.NET环境编写,但用户需要注册才能下载其二进制文件和源代码。

    8. Acunetix Web Vulnerability Scanner

    这是一款商业级的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本***、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面,并且能够创建专业级的Web站点安全审核报告。


    9. Watchfire AppScan

    这也是一款商业类的Web漏洞扫描程序。AppScan在应用程序的整个开发周期都提供安全测试,从而测试简化了部件测试和开发早期的安全保证。它可以扫描许多常见的漏洞,如跨站脚本***、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等等。

    10. N-Stealth

    N-Stealth是一款商业级的Web服务器安全扫描程序。它比一些免费的Web扫描程序,如Whisker/libwhisker、Nikto等的升级频率更高,它宣称含有“30000个漏洞和漏洞程序”以及“每天增加大量的漏洞检查”,不过这种说法令人质疑。还要注意,实际上所有通用的VA工具,如 Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web扫描部件。(虽然这些工具并非总能保持软件更新,也不一定很灵活。)N-Stealth主要为Windows平台提供扫描,但并不提供源代码

    转载于:https://blog.51cto.com/whitehat/818437

    展开全文
  • paros web漏洞检测安装和使用,内容包含win的安装版本及使用说明。
  • paros-简单实用的web漏洞检测工具
  • web漏洞检测

    2021-05-22 15:22:28
    文章目录常规web漏洞检查列表注入漏洞XSS安全配置错误登录认证缺陷敏感信息泄露权限控制不严格跨站请求伪造 (CSRF)使用了存在漏洞的组件其他类型漏洞其他漏洞已公开高危漏洞业务逻辑漏洞检测列表登录注册密码找回...

    常规web漏洞检查列表

    注入漏洞

    • HTML注入-反射性(GET)(POST)(Current URL)
    • HTML注入-存储型
    • iFrame注入
    • LDAP注入(Search)
    • 邮件Header注入
    • PHP代码注入
    • SQL注入(POST/搜索型)(POST/Select)
    • SQL注入(AJAX/JSON/jQuery)
    • SQL注入(Login form/Hero)(Login form/User)
    • SQL注入(SQLite)(Drupal)
    • SQL注入-存储型(Blog)(SQLite)(User-Agent)
    • SQL注入-盲注(Boolean-Based)(Time-Based)(SQLite)
    • XML/XPath注入(Login Form)(Search)

    XSS

    • 跨站(XSS)-反射型(GET)
    • 跨站(XSS)-反射型(POST)
    • 跨站(XSS)-反射型(JSON)
    • 跨站(XSS)-反射型(AJAX/JSON)
    • 跨站(XSS)-反射型(AJAX/XML)
    • 跨站(XSS)-反射型(Back Button)
    • 跨站(XSS)-反射型(Login Form)
    • 跨站(XSS)-反射型(PHP_SELF)
    • 跨站(XSS)-反射型(User-Agent)
    • 跨站(XSS)-反射型(Referer)
    • 跨站(XSS)-存储型(Blog)
    • 跨站(XSS)-存储型(Change Secret)
    • 跨站(XSS)-存储型(Cookies)
    • 跨站(XSS)-存储型(SQLiteManager)
    • 跨站(XSS)-存储型(H5/HTML)
    • 跨站(XSS)-存储型(User-Agent)

    安全配置错误

    • Arbitrary File Access (Samba)
    • Cross-Domain Policy File (Flash)
    • Cross-Origin Resource Sharing(AJAX)
    • Cross-Site Tracing (XST)
    • 拒绝服务攻击 (Large Chunk Size)
    • 拒绝服务攻击 (Slow HTTP DoS)
    • 拒绝服务攻击 (SSL-Exhaustion)
    • 拒绝服务攻击 (XML Bomb)
    • 错误的安全配置:FTP
    • 错误的安全配置:SNMP
    • 错误的安全配置:WebDAV
    • 本地权限提升 (sendpage)
    • 本地权限提升 (udev)
    • 中间人攻击 (HTTP)
    • 中间人攻击 (SMTP)
    • 各种文件泄露
    • 文件泄露(DS_store信息泄露、备份文件信息泄露、SVN信息泄露、robot.txt文件)
    • 不安全的HTTP请求方法(检测是否开启了除get、post以外的请求方法)
    • 服务器解析漏洞
    • 目录遍历
    • DNS域传送漏洞
    • 未设置http-only属性
    • 弱口令、万能密码登录
    • 默认配置文件未删除
    • 错误的安全配置(weblogic管理页面、HP Management系统管理页面、tomcat管理页面)
    • ssl协议(FTP、ssh、webDAV、SNMP等服务或者端口开启)
    • 任意文件下载(弱加密的sslv1、sslv2、sslv3;不安全的sslv3贵宾狗漏洞)
    • Robots 文件

    登录认证缺陷

    • 登录认证缺陷- 验证码绕过
    • 登录认证缺陷- 找回密码功能
    • 登录认证缺陷- 登录框漏洞
    • 登录认证缺陷- 登出管理
    • 登录认证缺陷- 密码爆破
    • 登录认证缺陷- 弱口令
    • 会话管理 - 管理后台
    • 会话管理 - Cookies (HTTPOnly)
    • 会话管理 - Cookies (Secure)
    • 会话管理 - URL中泄露Session ID
    • 会话管理 - 强会话

    敏感信息泄露

    • Base64编码
    • BEAST/CRIME/BREACH Attacks
    • HTTP明文传输用户名和密码
    • 心脏滴血漏洞
    • Host Header 攻击(Reset 投毒)
    • HTML5 Web Storage (Secret)
    • POODLE Vulnerability
    • SSL 2.0 Deprecated Protocol
    • 内网IP、邮箱等敏感信息
    • 注释敏感信息
    • 错误信息过于详细
    • 端口信息泄露
    • 站点绝对路径泄露
    • 测试页面未删除
    • 加密方式泄露
    • 重要信息传输加密
    • 后台管理
    • 文本文件(账号)

    权限控制不严格

    • 目录遍历 - Directories
    • 目录遍历 - Files
    • Host Header 攻击 (缓存投毒)
    • Host Header 攻击(Reset 投毒)
    • 本地文件包含 (SQLiteManager)
    • Remote & 本地文件包含 (RFI/LFI)
    • 限制访问终端设备
    • 限制文件夹访问
    • Server Side Request Forgery (SSRF)
    • XML 外部实体攻击 (XXE)

    跨站请求伪造 (CSRF)

    • Cross-Site Request Forgery (修改密码)
    • Cross-Site Request Forgery (Change Secret)
    • Cross-Site Request Forgery (Transfer Amount)

    使用了存在漏洞的组件

    • 缓冲区溢出(本地)
    • 缓冲区溢出(远程)
    • Drupal SQL 注入 (Drupageddon)
    • 心脏滴血漏洞
    • PHP CGI 远程代码执行
    • PHP Eval 函数
    • phpMyAdmin BBCode 标签 XSS
    • 破壳漏洞 (CGI)
    • SQLiteManager 本地文件包含
    • SQLiteManager PHP 代码注入
    • SQLiteManager XSS

    其他类型漏洞

    • 点击劫持 (Movie Tickets)
    • 客户端验证 (密码)
    • HTTP参数污染
    • HTTP Response Splitting
    • HTTP Verb Tampering
    • 信息泄露 - Favicon
    • 信息泄露 - Headers
    • 信息泄露 - PHP version
    • 信息泄露 - Robots 文件
    • 不安全的iframe (登录框)
    • 上传漏洞

    其他漏洞

    • A.I.M. - No-authentication Mode
    • Client Access Policy File
    • Cross-Domain Policy File
    • Evil 666 Fuzzing Page
    • Manual Intervention Required!
    • 未被保护的管理后台
    • We Steal Secrets… (html)
    • We Steal Secrets… (plain)
    • WSDL File (Web Services/SOAP)

    已公开高危漏洞

    • struct2系列
    • 心血漏洞(openssl)
    • bash漏洞
    • java反序列化
    • weblogic反序列化

    业务逻辑漏洞检测列表

    登录

    暴力破解用户名密码
    撞库
    验证码爆破和绕过
    手机号撞库
    账户权限绕过

    注册

    恶意用户批量注册
    恶意验证注册账户
    存储型XSS
    短信炸弹及任意短信发送
    用户信息覆盖

    密码找回

    重置任意用户账户密码
    批量重置用户密码
    新密码劫持
    短信验证码劫持
    用户邮箱劫持篡改
    密码信息明文传输

    购买支付

    金额篡改
    数量篡改
    交易信息泄漏

    充值

    虚假充值金额
    充值数量篡改
    篡改充值账户

    抽奖/活动

    刷取活动奖品
    盗刷积分
    抽奖作弊
    低价抢购
    抢购作弊
    刷单

    代金卷/优惠卷

    批量刷取代金卷/优惠卷
    更改代金卷金额
    更改优惠卷数量

    订单

    订单信息泄漏
    用户信息泄漏
    订单遍历

    账户

    账户绕过
    账户余额盗取
    账户绑定手机号绕过

    用户信息

    用户越权访问
    个人资料信息泄漏
    个人资料遍历

    后台管理

    恶意查询
    任意用户信息泄漏

    业务查询

    恶意查询
    任意用户信息泄漏

    业务查询

    顶替办理
    绕过业务流程办理
    篡改其他用户信息
    Ukey绕过

    传输过程

    COOKIE注入
    COOKIE跨站
    COOKIE劫持
    明文传输

    评论

    POST注入
    CSRF
    存储型XSS
    遍历用户名

    第三方商家

    盗号
    商家账户遍历
    越权访问其他商家用户
    展开全文
  • WEB漏洞检测项.xlsx

    2020-01-16 12:47:49
    在渗透测试工作中,整理出来web渗透检测项,分别从注入漏洞、XSS、安全配置错误、登录认证缺陷、敏感信息泄露、权限控制不严格、跨站请求伪造、存在漏洞的组件、其他类型漏洞、其他漏洞、已公开高位漏洞等部分,对...
  • Web漏洞检测及修复

    2018-11-09 14:53:13
    http://wiki.open.qq.com/wiki/Web%E6%BC%8F%E6%B4%9E%E6%A3%80%E6%B5%8B%E5%8F%8A%E4%BF%AE%E5%A4%8D 目录 [隐藏] 1. 注入漏洞 1.1 SQL注入漏洞 1.2 XSS漏洞 1.3 命令注入漏洞 1.4...

    http://wiki.open.qq.com/wiki/Web%E6%BC%8F%E6%B4%9E%E6%A3%80%E6%B5%8B%E5%8F%8A%E4%BF%AE%E5%A4%8D

    目录

    [隐藏]

    1. 注入漏洞

    1.1 SQL注入漏洞

    名称: SQL注入漏洞(SQL Injection)

    描述:Web程序代码中对于用户提交的参数未做过滤就直接放到SQL语句中执行,导致参数中的特殊字符打破了SQL语句原有逻辑,黑客可以利用该漏洞执行任意SQL语句。

    检测方法:通过修改参数来判断是否存在漏洞。

    修复方案:
    1. 针对ASP.NET的防XSS库,Microsoft有提供统一的方法,具体可以参见如下链接:http://www.cnblogs.com/hcmfys/archive/2008/07/11/1240809.html 
    2. 针对其它语言如下细分:
    在代码级对带入SQL语句中的外部参数进行转义或过滤:
    (1)对于整数,判断变量是否符合[0-9]的值;其他限定值,也可以进行合法性校验
    (2)对于字符串,对SQL语句特殊字符进行转义(单引号转成两个单引号,双引号转成两个双引号)。关于这点,PHP有类似的转义函数mysql_escape_string和mysql_real_escape_string。 
    建议:
    (1)使用腾讯CMEM存储方案;
    (2)对与数据库进行交互的用户请求数据,要先做过滤,防止SQL注入。

    1.2 XSS漏洞

    名称:XSS注入漏洞(Cross-site Scripting)

    描述:Web程序代码中把用户提交的参数未做过滤就直接输出到页面,参数中的特殊字符打破了HTML页面的原有逻辑,黑客可以利用该漏洞执行恶意HTML/JS代码、构造蠕虫传播、篡改页面实施钓鱼攻击等。

    检测方法:通过修改参数来判断是否存在漏洞。
    比如用户输入内容:’<u>a</u>”的时候,合法的显示是: ’<u>a</u>” ,合法的显示的源码是:

    Xss_1.jpg

    而存在漏洞的页面显示却是:’a

    源码是:

    Xss_2.jpg


    修复方案:
    1. 开发者应该严格按照openid和openkey的校验规则判断openid和openkey是否合法,且判断其它参数的合法性,不合法不返回任何内容。 

    2. 严格限制URL参数输入值的格式,不能包含不必要的特殊字符( %0d、%0a、%0D 、%0A 等)。 

    3. 针对ASP.NET的防XSS库,Microsoft有提供统一的库,具体可以参见如下链接
    微软官网:http://msdn.microsoft.com/en-us/library/aa973813.aspx 

    4. 具体的js方法如下:
    (1)对于用户输入的参数值展现在HTML正文中或者属性值中的情况,例如: 
    展现在html正文中:<a href='http://www.contoso.com'>Un-trusted input</a>
    展现在属性值中:<input name="searchword" value="Un-trusted input">
    此时需要将红色的不可信内容中做如下的转码(即将< > ‘ “ ` 转成html实体):
    sec_hole_10.png

    (2)对于用户输入落在<script>的内容中的情况,例如:

    <script type="text/javascript">

    var mymsg="Un-trusted input";
    var uin=Un-trusted input;
    … 
    </script>

    需要将红色的不可信内容中做如下的转码: [a-zA-Z0-9.-_,]以及ASC值大于0x80之外的所有字符转化为\x**这种形式,例如:
    

    sec_hole_11.png

    1.3 命令注入漏洞

    名称:命令注入漏洞(Command Injection)

    描述:Web程序代码中把用户提交的参数未做过滤就直接使用shell执行,攻击者可以执行任意系统命令。

    检测方法:通过修改参数来判断是否存在漏洞。

    修复方案:在代码级调用shell时,对命令行中的特殊字符进行转义(|、&、;等),防止执行其他非法命令。
    PHP中可使用escapeshellarg、escapeshellcmd来转义。

     

    1.4 HTTP响应头注入漏洞

    名称:HTTP响应头注入漏洞(HTTP-Response-Splitting,HTTP_header_injection)

    描述:Web程序代码中把用户提交的参数未做过滤就直接输出到HTTP响应头中,攻击者可以利用该漏洞来注入HTTP响应头,可以造成xss攻击、欺骗用户下载恶意可执行文件等攻击。
    另外根据国际安全组织司acunetix统计,以下apache存在header injection漏洞:1.3.34/2.0.57/2.2.1。

    检测方法:通过修改参数来判断是否存在漏洞。
    比如国内某著名网站曾经出现过header注入漏洞,如下url:

    http://www.YYYYYYYYY.com/YYYYWeb/jsp/website/agentInvoke.jsp?agentid=%0D%0AX-foo:%20bar

    抓包时发现:

    Header_insertion.jpg

    修复方案:
    1. 在设置HTTP响应头的代码中,过滤回车换行(%0d%0a、%0D%0A)字符。 
    2. 不采用有漏洞版本的apache服务器,同时对参数做合法性校验以及长度限制,谨慎的根据用户所传入参数做http返回包的header设置。

     

    1.5 跳转漏洞

    名称:跳转漏洞

    描述:Web程序直接跳转到参数中的URL,或页面引入任意的开发者URL。

    检测方法:修改参数中的合法URL为非法URL。例如测试一下如下URL:
    http://***.qq.com/cgi-bin/demo_es.cgi?backurl=http://www.***.com,看是否会跳转到注入的http://www.***.com站点。

    修复方案:在控制页面转向的地方校验传入的URL是否为可信域名。
    例如以下是一段校验是否是腾讯域名的JS函数:

    function VaildURL(sUrl)
    {
    return (/^(https?:\/\/)?[\w\-.]+\.(qq|paipai|soso|taotao)\.com($|\/|\\)/i).test(sUrl)||(/^[\w][\w\/\.\-_%]+$/i).test(sUrl)||(/^[\/\\][^\/\\]/i).test(sUrl) ? true : false; 
    }

    1.6 XML注入漏洞

    名称:XML注入漏洞

    描述:Web程序代码中把用户提交的参数未做过滤就直接输出到XML中。

    检测方法:通过修改参数来判断是否存在漏洞。

    修复方案:在代码级输出时对XML特殊字符(“<”、“>”、“>]]”)进行转义。

    2. 信息泄漏漏洞

    2.1 PHPInfo()信息泄漏漏洞

    名称:PHPInfo()信息泄漏漏洞

    描述:Web站点的某些测试页面可能会使用到PHP的phpinfo()函数,会输出服务器的关键信息。如下图所示:
    sec_hole_13.png


    检测方法:访问http://[ip]/test.php 以及http://[ip]/phpinfo.php看是否成功。

    修复方案:删除该PHP文件。

    2.2 测试页面泄漏在外网漏洞

    名称:测试页面泄漏在外网漏洞

    描述:一些测试页面泄漏到外网,导致外界误传公司被黑客入侵。如下图所示:
    1. http://parts.baby.qzoneapp.com/

    csymxlzwwld_1.jpg

    2. http://parts.baby.qzoneapp.com/test.php

    csymxlzwwld_2.jpg

    3. http://other.baby.qzoneapp.com

    csymxlzwwld_3.jpg


    检测方法:检测页面内容,看是否是测试页面。

    修复方案:删除测试页面,例如test.cgi,phpinfo.php,info.pho, .svn/entries等。

     

    2.3 备份文件泄漏在外网漏洞

    名称:备份文件泄漏在外网漏洞

    描述:编辑器或者人员在编辑文件时,产生的临时文件,如vim自动保存为.swp后缀、UltrlEditor自动保存.bak后缀等,这些文件会泄漏源代码或者敏感信息。如下图所示:

    sec_hole_14.png 
    泄漏源代码可以让黑客完全了解后台开发语言、架构、配置信息等。下图是国内某著名网站曾经出现过的源代码泄漏漏洞:
    431px_ydmxlld.jpg

    检测方法:在cgi文件后面添加.bak、.swp、.old、~等后缀探测。

    修复方案:删除备份文件。

     

    2.4 版本管理工具文件信息泄漏漏洞

    名称:版本管理工具文件信息泄漏漏洞

    描述:版本管理工具SVN和CVS会在所有目录添加特殊文件,如果这些文件同步到Web目录后就会泄漏路径等信息。如下图所示:

    sec_hole_15.png


    检测方法:访问http://[ip]/CVS/Entriesp 以及http://[ip]/.svn/entriesp看是否成功。

    修复方案:删除SVN各目录下的.svn目录;删除CVS的CVS目录。

     

    2.5 HTTP认证泄漏漏洞

    名称:HTTP认证泄漏漏洞

    描述:Web目录开启了HTTP Basic认证,但未做IP限制,导致攻击者可以暴力破解帐号密码。如下图所示:

    sec_hole_16.png


    修复方案:限制IP访问该目录。

     

    2.6 管理后台泄漏漏洞

    名称:管理后台泄漏漏洞

    描述:管理后台的帐号和密码设计过于简单,容易被猜测到,导致攻击者可以暴力破解帐号密码。如下图所示:
    sec_hole_17.png


    修复方案:
    1. 将管理后台的服务绑定到内网ip上,禁止开放在外网。
    2. 如果该管理后台必须提供给外网访问,则未登录页面不要显示过多内容,防止敏感信息泄漏,登录帐号需经过认证,且密码设置规则尽量复杂,增加验证码,以防止暴力破解。

    2.7 泄漏员工电子邮箱漏洞以及分机号码

    名称:泄漏员工电子邮箱漏洞以及分机号码

    描述:泄漏员工内部电子邮箱以及分机号码相当于泄漏了员工内部ID,可以为黑客进行社会工程学攻击提供有价值的材料,同时也为黑客暴力破解后台服务提供重要的帐号信息。

    修复方案:删除页面注释等地方中出现腾讯员工电子邮箱以及分机号码的地方。

     

    2.8 错误详情泄漏漏洞

    名称:错误详情泄漏漏洞

    描述:页面含有CGI处理错误的代码级别的详细信息,例如sql语句执行错误原因,php的错误行数等。

    检测方法:修改参数为非法参数,看页面返回的错误信息是否泄漏了过于详细的代码级别的信息。

    修复方案:将错误信息对用户透明化,在CGI处理错误后可以返回友好的提示语以及返回码。但是不可以提示用户出错的代码级别的详细原因。

     

    3. 请求伪造漏洞

    3.1 CSRF漏洞

    名称:CSRF漏洞(Cross Site Request Forgery)

    描述:用户以当前身份浏览到flash或者开发者网站时,JS/flash可以迫使用户浏览器向任意CGI发起请求,此请求包含用户身份标识,CGI如无限制则会以用户身份进行操作。

    检测方法:
    1. 在实际的测试过程中,测试人员需要判断操作是否为保存类操作,是否强制为POST方式传输参数。
    判断方式是通过抓包工具把所有的POST参数都改成GET方式提交。
    需要注意的是,这种方法只可防止图片跳转式CSRF漏洞,如果页面上有XSS漏洞话,CSRF无法防御。
    2. 最简单的办法就是查阅该cgi是否带有无法预知的参数,例如随机字符串等。 

    修复方案:可使用以下任意办法防御CSRF攻击:
    1. 在表单中添加form token(隐藏域中的随机字符串);
    2. 请求referrer验证;
    3. 关键请求使用验证码。

    3.2 JSON-hijackin漏洞

    名称:JSON-hijackin漏洞

    描述:CGI以JSON形式输出数据,黑客控制的开发者站点以CSRF手段强迫用户浏览器请求CGI得到JSON数据,黑客可以获取敏感信息。

    检测方法:
    1. 检查返回的json数据是否包含敏感信息,例如用户ID,session key,邮箱地址,手机号码,好友关系链等。
    2. 确认提交是否带有无法预知的参数,例如随机字符串等。
    修复方案:可使用以下任意办法防御JSON-hijackin攻击:
    1. 在请求中添加form token(隐藏域中的随机字符串);
    2. 请求referrer验证。

    4. 权限控制漏洞

    4.1 文件上传漏洞

    名称:文件上传漏洞

    描述:接受文件上传的Web程序未对文件类型和格式做合法性校验,导致攻击者可以上传Webshell(.php、.jsp等)或者非期望格式的文件(.jpg后缀的HTML文件)

    修复方案:文件上传的CGI做到:
    1. 上传文件类型和格式校验;
    2. 上传文件以二进制形式下载,不提供直接访问。

    4.2 crossdomain.xml配置不当漏洞

    名称:crossdomain.xml配置不当漏洞

    描述:网站根目录下的文件crossdomain.xml指明了远程flash是否可以加载当前网站的资源(图片、网页内容、flash等)。
    如果配置不当,可能带来CSRF攻击。如下图所示:
    sec_hole_18.png

    检测方法:
    访问http://[domain]/crossdomain.xml 
    修复方案:对于不需要外部加载资源的网站,crossdomain.xml中更改allow-access-from的domain属性为域名白名单。
    修复大致样本参考如下(备注:示例中的app10000.qzoneapp.com,app10000.imgcache.qzoneapp.com请修改为自己指定的站点):

    <?xml version="1.0"?>
    <cross-domain-policy>
    <allow-access-from secure="false" domain="*.qq.com"/>
    <allow-access-from secure="false" domain="*.soso.com"/>
    <allow-access-from secure="false" domain="*.paipai.com"/>
    <allow-access-from secure="false" domain="*.gtimg.cn"/>
    <allow-access-from secure="false" domain="*.pengyou.com"/>
    <allow-access-from secure="false" domain="app10000.qzoneapp.com"/>
    <allow-access-from secure="false" domain="app10000.imgcache.qzoneapp.com"/>
    </cross-domain-policy>

    4.3 flash标签配置不当漏洞

    名称:flash标签配置不当漏洞

    描述:网页在引入flash的时候,会通过object/embed标签,在设置的时候,如果一些属性配置不当,会带来安全问题:
    1. allowScriptAccess:是否允许flash访问浏览器脚本。如果不对不信任的flash限制,默认会允许调用浏览器脚本,产生XSS漏洞。
    always(默认值),总是允许;sameDomain,同域允许;never,不允许 
    2. allowNetworking:是否允许flash访问ActionScript中的网络API。如果不对不信任的flash限制,会带来flash弹窗、CSRF等问题。
    all,允许所有功能,会带来flash弹窗危害;internal,可以向外发送请求/加载网页;none,无法进行任何网络相关动作(业务正常功能可能无法使用)

    修复方案:对于不信任flash源,allowScriptAccess设置为never,allowNetworking设置为none(业务需要可以放宽为internal)。

    4.4 embed标签配置不当漏洞

    名称:embed标签配置不当漏洞

    描述:网页会通过embed标签引入媒体文件(如rm、avi等视频音频),这些媒体文件中如有脚本指令(弹窗/跳转),如果没有限制就会出现安全问题。

    检测方法:检查embed标签中是否有invokes标签。

    修复方案:添加属性invokes值为-1。

    4.5 并发漏洞

    名称:并发漏洞

    描述:攻击者通过并发http/tcp请求而达到次获奖、多次收获、多次获赠等非正常逻辑所能触发的效果。
    下面以简化的例子说明在交易的Web应用程序中潜在的并行问题,并涉及联合储蓄帐户中的两个用户(线程)都登录到同一帐户试图转账的情况:
    帐户A有100存款,帐户B有100存款。用户1和用户2都希望从帐户A转10分到帐户B.
    如果是正确的交易的结果应该是:帐户A 80分,帐户B 120分。
    然而由于并发性的问题,可以得到下面的结果:
    用户1检查帐户A ( = 100 分)
    用户2检查帐户A ( = 100 分)
    用户2需要从帐户A 拿取10 分( = 90 分) ,并把它放在帐户B ( = 110 分)
    用户1需要从帐户A 拿取10分(仍然认为含有100 个分)( = 90 分) ,并把它放到B( = 120 分)
    结果:帐户A 90 分,帐户B 120 分。

    检测方法:发送并发http/tcp请求,查看并发前后CGI 功能是否正常。例如:并发前先统计好数据,并发后再统计数据,检查2次数据是否合理。

    修复方案:对数据库操作加锁。

    4.6 Cookie安全性漏洞

    名称:Cookie安全性漏洞

    描述:cookie的属性设置不当可能会造成其他SNS游戏的运行出错等安全隐患。

    检测方法:抓取数据包查看cookie的domain属性设定是否合理。

    修复方案:对cookie字段的domain属性做严格的设定,openkey以及openid的domain只能设置到子域,禁止设置到父域qzoneapp.com。如下图所示:
    Cookies_safe.jpg

    4.7 Frame-proxy攻击漏洞

    名称:Frame-proxy攻击漏洞

    描述:在一些老版本浏览器(比如IE6)下,Frame-proxy攻击可以把非常驻XSS漏洞以常驻型的方式做攻击。

    修复方案:qzoneapp.com域名下的应用不能再通过iframe嵌入qq.com域名下页面。

    原理如下图所示,假设域名xiaoyou.qq.com底下没有任何xss漏洞,然后xiaoyou.qq.com通过iframe嵌入了一个xxx.qzoneapp.com域名。

    假设qq.com的某个子域vul.qq.com存在一个非常驻的xss漏洞,那么当xxx.qzoneapp.com通过iframe嵌入vul.qq.com时,访问xiaoyou.qq.com域名的用户将受到常驻型XSS漏洞的攻击。

    14.jpg

    展开全文
  • 基于 B/S 结构的应用程序只需要部 署在 web 服务器上,应用程序可以是 HTML(HTM)文件或 ASP、PHP 等脚本 文件。用户只需要安装 web 浏览器就可以浏览所有网站的内容并进行 web 漏...洞检测工作,并且升级无需用户操作。
  • 这是一篇关于互联网漏洞检测与分析的,已经对一些主要漏洞的详细分析
  • WEB漏洞检测与挖掘

    千次阅读 2013-07-26 17:56:14
    XSS漏洞挖掘: 1、url参数,可以设想该参数是以怎么样的形式表现在页面,然后进行注入  如:a = b , b的值可以任意, 在页面中可能之间就显示a,这时候它  的值如果有注入问题就出现了。  url参数黑色可以...
  • java web 修改源码
  • 2.1.docker 搭建web漏洞检测环境 2.1.1.Dockerfile文件编写 2.1.2.克隆项目 2.1.3.创建镜像 2.1.4.创建容器 2.1.5.开始测试 2.2Docker容器中运行Django项目 2.2.1.ubuntu镜像下创建docker容器 2.2.2.容器内安装所需...
  • Web软件安全漏洞层出不穷,攻击手段日益变化,为分析现有的Web控件漏洞检测方法,提出基于Fuzzing测试方法的Web控件漏洞检测改进模型。该系统从功能上分为五大模块进行设计和实现,并结合静态分析与动态分析技术检测...
  • 1 Web漏洞检测 白盒检测 对检测者的要求: ——能读懂用此语言写的程序 ——明白漏洞成因 ——漏洞挖掘经验 常用的web脚本语言:Asp/Php/Jsp/asp.net ************************************************************...
  • Web 程序 SQL 漏洞检测工具.zip,SQL漏洞扫描程序
  • Acunetix WVS及Web漏洞手工检测分析

    千次阅读 2019-05-27 09:38:33
    Web漏洞手工检测 Web环境中存在两个主要的风险:SQL注入,它会让黑客更改发往数据库的查询以及跨站脚本攻击(XSS)。注入攻击会利用有问题代码的应用程序来插入和执行黑客指定的命令,从而能够访问关键的数据和...
  • Awvs扫描web漏洞

    2020-09-16 21:10:49
    检测本主机下的web漏洞,输入本主机的IP地址,进行扫描 点击Scan进行web漏洞扫描 现在已经开始扫描 Vulnerabilities显示扫描完成后出现的漏洞 Site Structure 会显示是扫描的
  • 本文讨论了一种用户友好的系统,该系统将有助于检测Open Web Application Security Project(OWASP)在2019年在Web应用程序中提出的前10个漏洞,并根据标准数据集验证其性能。 该工具将在用户界面中提供针对不同...
  • Web自动化漏洞检测工具:Xray ** 下载地址: https : //github.com/chaitin/xray/releases Xray是一款功能强大的安全评估工具,有以下特性: 1.检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP ...
  • Web 自动检测漏洞Vega下载安装包 Vega下载 点击下载
  • Wii U Web漏洞 检测控制台与区域一起使用的固件,并为您提供最佳利用和最接近的服务器。
  • web编程常见漏洞检测web编程常见漏洞检测web编程常见漏洞检测
  • Xray工具~(Web自动化漏洞检测)

    千次阅读 2020-10-15 21:43:36
    Web自动化漏洞检测工具之 Xray的安装和配置 下载地址 GitHub:https : //github.com/chaitin/xray/releases xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测...
  • Web漏洞

    2021-05-07 12:26:31
    常见的Web漏洞 Web应用漏洞的防御实现 对于以上常见的Web应用漏洞漏洞,可以从如下几个方面入手进行防御: 1)对 Web应用开发者而言 大部分Web应用常见漏洞,都是在Web应用开发中,开发者没有对用户输入的参数...
  • web编程常见漏洞检测

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,983
精华内容 793
关键字:

web漏洞检测