web产品安全典型案例与测试实战分享.pptx

Web产品安全 典型案例与测试实战分享 测试技术部 李晓南;;;问题描述;原因分析;原因分析;城堡结构图： 发生时间点：2012年5月 可能进城方式：SQL注入、文件上传 ;寻找日志（无果） 代码扫描SQL注入（无果） 寻找系统上传点（无果）;原因分析;运维人员定期对现网服务器进行木马扫描 开发人员对代码扫描中的安全隐患进行修复 项目组在应用程序发布前进行一轮安全性测试——结合《安全上线指标》;问题描述;Page ? 12;解决方案;解决方案;【安全漏洞预警2013-11-26】畅言教育网存在高危安全漏洞，用户可上传木马至服务器 【安全漏洞预警2013-12-23】国家普通话水平测试信息管理系统“”存在任意文件上传漏洞，导致服务器可被挂马 【安全漏洞预警2014-01-02】安徽省工商联统一会员数据库服务器可被挂马（也会影响到联商在线） 【安全漏洞预警2014-03-24】讯飞研究院的个性化语音社区存在上传挂马漏洞 安全测试小组现网产品人工渗透结果2014073003：语音云官网存在文件上传漏洞，可导致服务器被控制 安全测试小组现网产品人工渗透结果2014081412：存在另一处文件上传漏洞，可导致服务器被控制及网页被篡改 ;站点入口一定要全部清楚 站点一定不要遗漏安全测试 文件上传一定要严格控制 客户端、服务端均校验上传文件的后缀名 随机重命名上传的文件 上传目录不开启执行权限 ;Page ? 17;Page ? 18;Page ? 19;安全测试小组现网产品人工渗透结果2014072301：讯飞官网存在服务器任意文件下载漏洞 安全测试小组现网产品人工渗透结果2014080606：教育评价系统网站备份文件可下载 安全测试小组现网产品人工渗透结果2014081108：教育评价系统网站存在目录浏览漏洞 安全测试小组现网产品人工渗透结果2014081310：语音云开放平台Linux系统密码文件曝露及程序物理目录曝露 安全测试小组现网产品人工渗透结果2014081411：语音云开放平台SSO认证存在默认配置风险及敏感性信息曝露 安全测试小组现网产品人工渗透结果2014082014：开心熊宝存在目录浏览漏洞导致相关Webservice泄露 【安全漏洞预警2013-11-18】科大讯飞招聘官网因使用Siteserver CMS 3.4.3架构，导致存在严重注入漏洞 【安全测试团队漏洞公告】Siteserver CMS 中后台找回密码功能模块存在严重校验漏洞 安全测试团队漏洞公告2013-11-1：apache+mod_cgid+php存在严重攻击漏洞 安全测试团队漏洞公告2013-11-18：Siteserver CMS 3.6.3以下版本存在严重注入漏洞及XSS类漏洞 【安全漏洞预警2014-03-24】智元网站后台编辑器eWebEditor登录密码已经曝露，请尽快修改 【安全漏洞预警2014-03-24】智能语音分析系统因使用JBOSS的后台，且配置不完善导致出现远程部署挂马漏洞 ;Page ? 21;Page ? 22;Page ? 23;Page ? 24;Page ? 25;解决方案-接口人;解决方案-成功案例;扩大安全巡检范围 加强人工渗透力度 完善安全测试实验室 补充安全测试接口人 ;请批评指正！;我们身边的安全问题;;;网站打不开了 网站首页上多了一则小广告 网站被挂木马了 我的账号密码怎么失效了 后台管理系统被入侵了 内网被渗透了 ~~ ;Web安全分类;;;;一个简单拓扑图;客 户 端;示例演示: 9:8080/DVWA/vulnerabilities/sqli/;;;修改或控制操作系统;;;示例演示 9:8080/DVWA/index.php XSS漏洞描述 跨站脚本攻击（Cross-site scripting，通常简称为XSS）它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。如获取用户Cookie信息 ;XSS漏洞;类型 反射型（ Non-persistent ） 通过 GET、POST、Referer 等参数未加处理直接输出到页面执行。 最为常见的，攻击者主要利用此类型通过email、热度非常大的论坛、或者有针对性的某一用户发送一个隐藏性的链接，让受害者进行点击触发。 存储型（ Persistent ） 由攻击者输入恶意数据保存在数据库，再由服务器脚本程序从数据库中读取数据，然后显示在公共显示的固定页面上，那么所有浏览该页面的用户都会被攻击。 攻击性非常大，危险也非常大。论坛评论，发表日志等场景 DOM型（ DOM-based ） 由Javascript 脚本动态创建、输出到页面造成的。 较难发现，危险也