被动发现已证实Web漏洞.PDF

1896 1920 1987 2006 被动发现已证实的Web 漏洞 章思宇, 姜开达, 孙强 上海交通大学网络信息中心 2015 年11 月25 日 攻击方 自动化的扫描、入侵工具 • 没有专业Web 和安全知识也能轻松“黑” 网站 防御方 WAF 带来“虚假的安全感” • 漏洞未被真正修复 • WAF 可以被绕过 • 内部攻击，跳板，VPN ，SSL/TLS 防御方 主动安全检测 • 扫描一个站点平均半小时 • 部分长达6 小时以上 • 爬虫覆盖范围有限 Adam Doupé, et al. “Why Johnny Can‘t Pentest: An Analysis of Black-Box Web Vulnerability Scanners”, DIMVA 2010. 防御方 主动安全检测 • 扫描一个站点平均半小时 • 部分长达6 小时以上 • 爬虫覆盖范围有限 Web 日志/ WAF 告警分析 • 任何扫描和入侵企图都会触发告警 • 无法判断漏洞是否真实存在 • 扫描器对 所有页面 所有参数 提交攻击代码 • 对不存在页面也不放过 Adam Doupé, et al. “Why Johnny Can‘t Pentest: An Analysis of Black-Box Web Vulnerability Scanners”, DIMVA 2010. 本文的工作 目标： 被动发现 已证实 的Web 漏洞 • 基于流量/ 日志分析，不发起主动探测 • 精确定位存在漏洞的页面 本文的方法 分析扫描器的漏洞检测逻辑 • 先发现漏洞→ 后利用漏洞 • 漏洞检测分为多个步骤（初步探测→ 验证/ 误报排除） • 漏洞之间的依赖关系 漏洞检测 漏洞利用 漏洞x 依赖于x 的漏洞y 数据提取 URL 爬取 服务器信息 攻击尝试 误报排除 尝试 确认 权限获得 提取扫描器特征 安全站点 对比 扫描 扫描器 扫描器 流量特征 漏洞站点 服务器日志 扫描报告 案例：通用型扫描器 SQL 注入 • id=1 → id=0+0+0+1 → id=12345+12345+1 基于时间的盲注 • if(now()=sysdate(),sleep(6),0)