滲透測試之小白的常見web漏洞總結(下)
檔案包含
檔案包含的概念很好理解,程式設計中經常用到,比如python中的import、c中的include,php當然也不例外。
但php“牛逼”的地方在於即使包含的檔案不是php型別,也不會報錯,並且其中包含的php程式碼也會執行,這是檔案包含漏洞產生的根本原因。
檔案包含漏洞和任意檔案下載漏洞很相似,只不過一個是解析,一個是下載。
漏洞利用的幾種方式:
1.向伺服器寫馬:
圖片中寫惡意程式碼(結合檔案上傳),錯誤日誌寫惡意程式碼(錯誤訪問會被記錄到錯誤日誌中),session中寫惡意程式碼。
訪問圖片、日誌檔案或session檔案,伺服器生成木馬,直接getshell。
2.讀取敏感檔案
:結合目錄遍歷漏洞讀取敏感檔案。
3.php偽協議
:偽協議可以使用的話,可以嘗試讀取檔案或命令執行。
防護措施:
安全狗沒,防火牆肯定有,自不必說,D盾也有防護:
應對措施:
1.手動測試payload是基本方法,既可以判斷是否有漏洞,也可以判斷是否有攔截。
2.有防護措施,就搜一下嘗試繞吧。。。。或者其他思路。
3.有個LFISuite工具可以嘗試一下。
反序列化
序列化就是將類物件轉化為字串或位元組流,還可以轉化為xml、json,其實都一樣,都是為了方便傳輸和儲存,反序列化就是其逆過程。
利用方式:前臺構造序列化資料,傳輸到後臺,經過一系列複雜的呼叫,最終觸發命令執行。
這種漏洞要利用,必須對後端程式碼有很好的瞭解,所以反序列化漏洞目前都是針對元件的,有現成的利用工具。但漏洞大多被補了,運氣好的話就試試吧。
常見反序列化漏洞:
Apache-Commons-Collections漏洞(還存在這種漏洞?)
weblogic系列漏洞(weblogic這種東西很少見吧)
Apache Tomcat 版本系列漏洞
Shiro反序列化漏洞
等等。
防護措施
:無
掃描工具
: goby很適合
敏感資訊洩漏
重要的url(前端js程式碼中可能洩漏)、重要檔案或目錄(robots.txt、路徑爆破)、郵箱、手機號、使用者名稱、電話、密碼、網站原始碼、資料庫檔案等等。
挖掘思路:
Google 搜尋法
github搜尋法
暴力掃描
郵箱收集器
特定程式的特定目錄
跨站請求偽造
簡單理解就是攻擊者誘使使用者點選惡意網站的惡意連結,這個連結是訪問特定站點的url(比如某個網站的管理後臺),如果使用者瀏覽器中對目標網站的cookie資訊有效,而且目標網站對請求包校驗不嚴格,攻擊者就會盜用使用者的cookie,直接使用使用者的cookie資訊進入後臺,而不需要密碼。
這種漏洞要利用,要求條件挺高的。。。
防護措施:
防火牆:
測試方法:
1.最簡單的方法刪除請求包的Referer 欄位,如果還能正確訪問,基本判定有csrf漏洞。
2.使用bp、CSRFTester,CSRF Request Builder等工具。
跨站指令碼
攻擊者在網頁中嵌入客戶端指令碼(例如JavaScript), 當使用者瀏覽此網頁時,指令碼就會在使用者的瀏覽器上執行,從而達到攻擊者的目的. 比如獲取使用者的Cookie,導航到惡意網站,攜帶木馬等。
漏洞產生原因:XSS之所以會發生, 是因為使用者輸入的資料變成了程式碼,沒有對使用者輸入的資料HTML Encode處理。
利用方式:
1.Dom-Based XSS 漏洞:通過郵件傳送dom型xss漏洞的連結,在使用者瀏覽器上執行惡意指令碼,獲取資料(比如cookie),傳送到攻擊者的伺服器上。
2.儲存型xss漏洞:常常存在於留言板等地方,在漏洞頁面嵌入惡意指令碼程式碼,提交到伺服器,伺服器儲存,當其他人瀏覽儲存的內容時,觸發惡意程式碼,盜取使用者資訊,傳送給攻擊者。
防護措施:
防火牆自不必說,D盾:
測試方法:
1.手動測試,漏洞和防護措施都可以測試,常用payload:
/><!–
2.有防護就搜一下嘗試繞吧。。。
3.bp、xspear、xsser等工具。
服務端請求偽造(ssrf)
有些網站會從其他伺服器載入資料,請求方式是直接將請求url當作引數,如果我們把引數url換成內網地址,那就相當於我們可以通過當前伺服器訪問內網了。
實現這種訪問方式的函式通常有curl()、file_get_contents()、fopen()、fsocksopen()等。
利用方式:
1.對內網進行資訊收集(埠、指紋等等)。
2.使用curl支援的其他協議(如file、http、dict協議、gopher協議)
3.對內網進行漏洞利用。
防護措施:
安全狗、D盾沒有。
防火牆:按道理應該有,但我真沒找到。。。
測試方法:
1.手動測試常用payload。
2.使用bp自帶掃描器,SSRFmap(掃描+綜合利用工具)等工具。
3.有防護就搜一下嘗試繞吧。。。
xxe
xml外部實體注入,如果伺服器允許解析xml外部實體(預設是關的),那麼可以通過前臺注入惡意xml外部實體,就有可能造成任意檔案讀取、內網埠掃描、命令執行(條件苛刻)、DDOS(條件苛刻)等攻擊。
防護措施:
安全狗沒有,防火牆肯定有。
D盾部分攔截:
測試方法:
1.手動測試常用payload。
2.bp有自帶掃描,bp外掛hacker bar,XXEinjectorg工具。
邏輯漏洞
程式碼多了,肯定出bug,更不要說沒有明顯錯誤的邏輯錯誤,而且有些邏輯漏洞很隱蔽,開發過程中很難發現。
邏輯漏洞也是一個常見漏洞,而且因為是正常流量,所以很難防護。
任何有價值的地方都應該測試一下邏輯漏洞,比如登入處、密碼找回、支付頁面等等。
這種漏洞因為放到前面的,臨時想起來,放到這兒了。
常見型別
使用者名稱或其他資訊可列舉、驗證碼繞過、驗證碼可爆破、驗證碼回傳、驗證碼未繫結使用者、
訂單金額任意修改、越權訪問等等。
。。。。。就這樣吧。。。。。
相關文章
- 滲透測試之小白的常見web漏洞總結(上)Web
- 滲透測試9種常見漏洞
- web應用安全隱患:3種常見的滲透測試漏洞總結,快來收藏√Web
- 滲透測試常見的漏洞有哪些?這五類最常見!
- 滲透測試常見的9大漏洞,你知道幾個?
- 滲透測試常見漏洞有哪些?如何有效防範?
- 【彙總】網路安全滲透測試常見面試題!面試題
- 滲透測試中最常見的9種漏洞!
- 滲透測試技巧總結
- 網站安全測試之APP滲透測試漏洞網站APP
- Web中介軟體常見漏洞總結Web
- 滲透測試常用術語總結
- 滲透測試——提權方式總結
- Web 端滲透測試初探Web
- 網路安全滲透測試常見的7種型別!型別
- 滲透測試之CSRF程式碼漏洞的檢測與加固方案
- 記學習滲透測試之漏洞掃描二
- 記學習滲透測試之漏洞掃描一
- 伺服器滲透測試之攻擊漏洞方法伺服器
- 滲透測試之nmap
- python常見漏洞總結Python
- 網站滲透測試安全檢測漏洞網站
- 網站安全滲透測試公司心得總結網站
- 常見的Web安全漏洞及測試方法介紹Web
- 記學習滲透測試之漏洞掃描簡述
- 網站漏洞滲透測試服務內容詳情見解網站
- 【乾貨集】超全的滲透測試面試題總結!面試題
- 滲透測試之域名收集
- 17、內網滲透測試定位技術總結內網
- 網站漏洞檢測 滲透測試檢測手法網站
- 網站漏洞滲透測試覆盤檢查結果分析網站
- 《Web滲透測試技術》簡介Web
- 介面文件下的滲透測試(Swagger)Swagger
- 如何學習網站漏洞滲透測試學習網站
- 邏輯注入漏洞滲透測試檢測辦法
- 滲透測試之資訊收集
- APP安全測試 該如何滲透檢測APP存在的漏洞APP
- 網站安全滲透測試服務之discuz漏洞挖掘與利用網站