项目10 其他安全漏洞实践.pptxVIP

Web安全基础及项目实践郑丽

项目10其他安全漏洞实践任务1点击劫持任务2URL跳转与钓鱼任务3命令执行

项目10其他安全漏洞实践项目导读Web应用攻击与其他攻击的不同之处，在于它们很难被发现，可能来自任何在线用户，甚至是经过验证的用户。Web应用攻击可能给企业的财产、资源和声誉造成重大破坏。除了前面介绍的XSS漏洞、CSRF漏洞、SQL注入漏洞、文件上传和文件包含漏洞外，点击劫持漏洞、URL跳转与钓鱼以及命令执行漏洞也不容忽视。本项目将对这三个漏洞进行介绍。教学目标掌握点击劫持漏洞原理掌握URL跳转漏洞与钓鱼操作的原理掌握命令执行漏洞的原理熟悉漏洞利用过程

任务1点击劫持任务描述点击劫持（ClickJacking）因为需要诱使用户与页面产生交互行为，所以它较XSS和CSRF的攻击成本更高。但点击劫持的危害不容小觑，可能被攻击者利用于钓鱼、欺诈和广告作弊等方面，需要重视。本任务将介绍点击劫持的原理及防御建议，并使用实例实践点击劫持攻击。环境：Windows1064位操作系统、PhpStudy。

任务1点击劫持任务要求? 掌握点击劫持的原理? 熟悉点击劫持攻击流程? 熟悉点击劫持防御方法

知识链接1.点击劫持的原理点击劫持是一种视觉上的欺骗手段，攻击者精心构造一个透明的、不可见的iframe，覆盖在原网页上，通过调整iframe页面的位置，使得伪造的页面恰好与iframe里受害页面中的一些功能重合。然后诱使用户在页面上进行操作，使得用户在毫不知情的情况下点击攻击者的页面，以达到窃取用户信息或者劫持用户操作的目的。2.点击劫持防御建议针对传统的点击劫持，一般是通过禁止跨域的iframe来防范。对于点击劫持漏洞的防御方法主要有三种：（1）使用HTTP的X-Frame-Options头，通常设置为DENY。当值为DENY时，浏览器会拒绝当前页面加载任何frame页面。（2）设置Firefox的Content-Security-Policy:frame-ancestorsself或none，但不适用于Safari和IE；Firefox的NoScript扩展也能够有效防御ClickJacking。（3）JS层面，使用iframe的sandbox属性，判断当前页面是否被其他页面嵌套。

实现方法现在使用一个实例来模拟点击劫持攻击。假如攻击者想要让用户下载一个可执行文件，于是构造了一个页面hack.html，在页面中插入了一个指向目标网站的iframe。这里，出于演示的目的，这个目标网址设置为/heji/7840/。hack.html页面源代码如图10-1所示。图10-1hack.html页面源代码

实现方法在源代码中，攻击者通过控制iframe的长、宽，以及调整top、left的位置，可以把iframe页面内的任意部分覆盖到任何地方。这里是设置了一个button，覆盖原始网页的“立即下载”按钮。设置iframe的position为absolute，并将z-index的值设置为最大，使得iframe处于页面的最上层。再通过设置iframe的opacity来控制iframe页面的透明程度，值为0表示完全不可见。攻击者再在页面中写入吸引人的内容，如hack.html的页面效果如图10-2所示。图10-2hack.html页面效果

实现方法可以把源代码中的iframe透明度设置为0.3，也就是修改源代码：iframe{opacity:0.3;filter:alpha(opacity=0.3);position:absolute;z-index:2;}这样能看到底层的原始页面，如图10-3所示。可以看到，“查看详情”其实是覆盖了底层页面中某个软件的“立即下载”按钮。如果用户点击了“查看详情”，实际上是点击了“立即下载”，就会自动将软件下载到自己的电脑中。图10-3iframe覆盖的底层页面

任务2URL跳转与钓鱼任务描述URL跳转是网站应用中比较常见的功能，比如登录网页后，从登录页面跳转到另一个页面；再比如，进行支付时，跳转到支付页面，这些都是URL跳转。URL跳转漏洞也称为URL重定向漏洞，由于网站信任了用户输入的URL从而导致了恶意攻击。URL跳转漏洞一般用于钓鱼攻击，通过跳转到恶意页面从而盗取用户敏感信息或者欺骗用户进行金钱交易等。本任务将介绍URL跳转与钓鱼的概念、URL跳转漏洞的原因、URL跳转漏洞的原理，提出了一些防御建议，并使用实例模拟URL跳转与钓鱼。环境：Windows1064位操作系统、PhpStudy。

任务2URL跳转与钓鱼任务要求掌握URL跳转与钓鱼的概念了解URL跳转漏