工业互联网安全 课件 任务2 工业互联网应用漏洞利用.pptx

任务2工业互联网应用漏洞利用

文件包含漏洞是由攻击者向Web服务器发送请求时，在URL中添加非法参数，Web服务器端程序变量过滤不严，把非法的文件名作为参数处理。这些非法的文件名可以是服务器本地的某个文件，也可以是远端的某个恶意文件。由于这种漏洞是由PHP变量过滤不严导致的，所以以只有基于PHP开发的Web应用程序才有可能存在文件包含漏洞。任务描述本任务实现利用phpMyAdmin文件包含漏洞，远程访问了网站目录下的某文件，掌握文件包含漏洞的攻击方法以及防御措施。

工业应用软件的信息安全脆弱性1①工业应用软件的注入攻击，除了传统的SQL、OS与LDAP注入之外，应特别关注NoSQL注入以及专用工业通信协议的注入。攻击者可将恶意数据或者不受信任的数据或指令，注入到控制命令或者查询指令当中，诱使解析系统在未授权或者不当授权的情况下，执行非预期访问或者命令。②身份认证失效问题，比如在工业微服务当中就采用了多种解决身份认证及会话管理的方法，这些方法显然对工业应用软件仍适用。知识导入

工业应用软件的信息安全脆弱性1③敏感数据泄露问题，多由应用程序及API产生，应从工业数据自身及使用各环节来保证安全。④攻击者能够引用XML文件的外部实体，盗用统一资源标识符（UniformResourceIdentifier，URI）文件处理器内部文件与共享文件、监听内部扫描端口、执行远程代码并进行DoS攻击。知识导入

工业应用软件的信息安全脆弱性1⑤访问控制不当也是工业应用软件面临的主要威胁之一，可以根据具体情况选用RBAC、RAAC等细粒度访问控制机制来解决。⑥安全配置错误在工业应用中极为常见，许多工控设备采取缺省配置、临时配置，而这些配置通常安全性较差，在工业云存储中体现的也较为明显。知识导入

工业应用软件的信息安全脆弱性1⑦工业应用软件面临的跨站脚本攻击也比较严重，工业Web中含有未受信任的数据，或者数据未经恰当转义或者验证时，就可能导致XSS攻击。另一种情况是，采用可创建JS、HTML的浏览器应用程序接口实现Web升级时，可在被攻击目标浏览器当中，执行恶意脚本并劫持用户会话、攻击Web或令用户重定向至恶意URL。⑧很多工业数据具有鲜明的时间序列化特征，但不安全的反序列化可为注入攻击、重放攻击、权限提升攻击甚至是远程代码执行提供可能。知识导入

工业应用软件的信息安全脆弱性1⑨在工业App中，使用微服务组件化来实现服务组合的场景比比皆是。这就要求各组件（比如工业微服务、模型库、函数库、各种框架及模块等）与工业应用软件的权限保持一致，否则这些含有已知漏洞的组件就会成为当然的安全短板，为工业应用软件引入严重的安全风险。⑩日志记录和监控欠缺，不仅在工业应用场景中常见，而且会为APT攻击、安全事件传播等带来极大的继发危害。知识导入

知识导入工业应用软件的信息攻击防范2（1）注入攻击类漏洞攻击与防范注入攻击是指对含有语法含义的输入内容未能成功阻止，从而导致对相关数据、信息及服务的非法访问。针对工业应用软件的典型注入攻击通常为SQL、OS命令、XPATH、LDAP、JSON(JavaScriptObjectNotation)、URL等注入方式。如果工业Web应用未判断用户输入数据的合法性，攻击者通过Web页面的URL、表单等输入区域，使用精心构造的各种语句插入特殊字符和指令，获得管理员权限，在Web页面加挂木马以及各种恶意代码，通过与数据库交互来获得敏感信息或篡改数据库信息。

知识导入工业应用软件的信息攻击防范2①尽可能采用安全API。②若无参数化API可用，则应使用解释器的Escape语法来实现特殊字符的规避。③对应用程序是否安全使用解释器进行代码审查，识别出使用解释器的代码并跟踪其应用数据流。④规范输入验证方法。⑤使用第三方组件来构建合格的JSON或SQL等语句。⑥通过扫描器与模糊测试工具实现渗透测试，以发现并确认注入漏洞。

知识导入工业应用软件的信息攻击防范2（2）XML外部实体漏洞攻击与防范在工业应用软件中，大量采用XML格式。XML外部实体漏洞攻击由处理非信任外部实体数据所引发。XML支持用户自行定义标记语言来标记数据或定义数据类型，文档结构由XML声明、文档元素组成，并可选文档类型定义。

知识导入工业应用软件的信息攻击防范2XXE类与XEEE类漏洞攻击的防范建议使用以下方法。①使用必威体育精装版版XML解析库，缺省禁止XXE解析。②将XXE、参数实体和内联文档类型定义均设为false，以规避XXE漏洞攻击。

知识导入工业应用软件的信息攻击防范2（3）不安全的反序列化类漏洞攻击与防范工业应用软件采用的编程语言很多都具有序列化与反序列化功能。序列化功能将对象转换为特定的字节序列数据格式，以便实现内存、文件、数据库存