hvv蓝初面试常见漏洞问题(下)
6.ssrf
服务端伪造请求
原理
服务端提供了向其他服务器应用获取数据的功能,而没有对目标地址做任何过滤和限制。攻击者进而利用其对内部资源进行攻击。(通俗来说:就是攻击者可以伪造服务端发起请求,从而获取客户端所不能获取的数据)
常用协议
php:
- http:超文本传输协议
- https:安全超文本传输协议
- file:本地文件系统协议,用于在本地文件系统中访问文件
- gopher:用于在网络上传输文本和相关信息资源
- dict:字典处查询协议,探测内网主机,探测端口的开放情况和指纹信息
- ldap:用于在网络上访问和管理目录服务。常用于企业和组织中的用户身份验证和授权管理等
- ftp:文件传输协议,用于网络上传文件
- ssh:安全shell协议,用于远程服务器管理
- telnet:远程控制协议,用于远程访问和控制计算机和网络设备
java:
- http、https、file、ftp
- jar:使用 Jar 包协议访问 Java 应用程序的 Jar 文件资源
- rmi:// - 使用 Java 远程方法调用协议进行远程方法调用
- mailto:用于在邮件客户端和邮件服务器之间传递电子邮件的标准协议。在 SSRF 攻击中,攻击者可以使用 mailto 协议向指定的电子邮件地址发送恶意内容
存在在那些功能中:
- 文章分享
- 图片下载或加载
- 从远处服务请求资源
利用
- 端口扫描(可扫描内网,本地等设备,可通过端口banner信息进行判断)
- 对内网,本地运行的程序进行溢出攻击等
- 获取本地文件(file协议)
- 对内网,外网的web应用进行攻击(get提交)
- 内网应用指纹识别(通过判断特定文件来识别web应用使用的框架,平台,模块及CMS等)
绕过
- 使用ip地址代替url
- 利用dns重绑定:欺骗dns解析器,将特定域名解析为不同的ip地址
- 利用url编码和转义
- 利用协议的特殊性,例如file协议直接读取本地文件
防护
- 对用户输入的url参数进行白名单过滤和限制
- 对url中的协议和域名进行验证,禁用不必要的字符和协议
- 对外部请求进行限制过滤,限制远程服务器的端口和服务
- 限制应用程序内部的访问权限和资源访问范围
Redis未授权访问漏洞
原理
- 配置不当将redis服务器ip和端口暴露在公网
- 未配置redis的访问口令
防御
- 禁用root权限启动Redis服务
- 对Redis访问启动密码认证
- 添加IP访问限制,更改默认端口6379
ssrf漏洞利用
weblogic的10.0.2 – 10.3.6版本存在ssrf漏洞,可以进而攻击Redis进行未授权访问
与csrf区别
SSRF攻击是一种通过欺骗服务器来发送恶意请求的攻击技术,攻击者利用服务器上的漏洞进行攻击,并使服务器对指定的目标URL发起网络请求,从而达到恶意操作的目的。SSRF攻击主要针对服务器端应用程序。
而CSRF攻击则是一种利用用户身份验证信息来执行未经授权的操作的攻击,攻击者通过欺骗用户访问包含恶意代码的网站,来达到获取用户敏感信息、执行交易等攻击目的。CSRF攻击主要针对客户端浏览器。
另外,防御SSRF攻击和CSRF攻击的方法也有所不同。防御SSRF攻击需要对所有输入进行严格的验证和过滤,并使用白名单技术限制应用程序只向可信的服务器发送请求。而防御CSRF攻击需要使用随机的令牌(如CSRF Token)来验证每个请求的来源是否合法,并防止攻击者能够伪造请求或欺骗用户进行非法操作。
7.XXE
XML外部实体注入攻击
原理:
外部实体注入攻击,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的攻击
XML语法规则
- 所有XML标签必须有关闭标签
- XML标签对大小写敏感
- XML属性值必须加引号
利用方式
- 任意文件读取
a. 有回显:直接在页面看到执行结果或现象
b. 无回显:使用外带数据通道提取数据 - 内网探测
- RCE
修复:
- 使用开发语言提供的禁用外部实体的方法
- 过滤用户提交的XML数据
8.逻辑漏洞
原理:
攻击者利用应用程序设计上的逻辑缺陷或不一致性,绕过应用程序的访问控制、身份认证、授权等保护机制,从而实现非授权的操作。逻辑漏洞一般不涉及任何技术上的漏洞,而是利用应用程序设计上的漏洞
常见逻辑漏洞
- 短信轰炸漏洞
- 越权漏洞
a. 垂直越权:普通用户可以访问到高等级用户下的资源
b. 水平越权:可以访问到同等用户下的资源 - 支付漏洞
- 注册时绕过验证
防护
- 增强用户输入和校验:例如在涉及到金额时要对金额数据进行合理性校验,限制最大最小金额等
- 实施权限控制,并对用户操作进行适当限制
- 对代码进行审计
- 实现日志记录
9.RCE
远程代码执行漏洞
原理
应用程序对用户的输入没有进行充分的验证和过滤,导致攻击者可以向应用程序中注入恶意代码,从而执行任意操作
修复
- 通用的修复方案,升级插件/框架/服务最新版。
- 如若必须使用危险函数,那么针对危险函数进行过滤。
常见RCE漏洞
- Windows远程桌面服务漏洞(cve-2019-0708):通过远程桌面端口3389,RDP远程桌面协议进行攻击
- Linux破壳漏洞(CVE-2014-6271):攻击者可以利用Shellshock漏洞向受影响的服务器发送特定构造的请求,通过在HTTP头部或环境变量中注入恶意代码,从而在服务器上执行任意命令。这可能导致攻击者完全控制服务器,并在系统上执行任何操作,如窃取敏感信息、植入后门等。
常用函数
- system()函数:允许调用操作系统命令,例如system("ls")将列出当前目录下的文件
- exec(): 执行一个系统命令或程序,与system()函数类似。
- popen(): 打开一个进程,并通过管道执行一个命令,然后读取输出。
- eval(): 解析并执行字符串中的 PHP 代码。
防范
- 输入过滤:在Web应用程序中,对用户输入进行过滤是防御RCE的第一道防线。应该使用白名单过滤用户输入,只允许特定的字符或命令。例如,禁止输入命令分隔符,或将所有输入转义为字符串形式
- 输入验证:在Web应用程序中,验证用户输入的类型和格式是防御RCE的另一个重要步骤。应该验证用户输入的数据类型和长度,并在输入值不符合要求时拒绝提交。
- 权限控制:在Web应用程序中,应该实现最小权限原则。即每个用户只能访问他需要访问的资源。如果用户没有访问某些敏感资源的权限,则应该拒绝其访问。
- 安全编码实践:在Web应用程序的开发过程中,应该使用安全编码实践,如避免使用eval()函数、限制文件的读写权限、使用可信的库等等。
- 安全配置:在Web服务器和操作系统级别上,应该实施安全配置,如禁止执行特定命令、关闭不必要的服务等等。
- 更新补丁:在Web应用程序、Web服务器和操作系统上安装及时更新补丁,以修补已知的安全漏洞,防止黑客利用已知漏洞进行攻击。
10.反序列化
原理:
反序列化是将序列化的数据流还原为对象的过程,序列化是将对象转换为数据流以便于存储或传输。反序列化常见于网络传输或数据存储中
常用函数
- php:serialize()序列化和unserialize()反序列化
- java:readObject()反序列化和writeObject()序列化
魔术方法
- __wakeup(): 当一个对象被反序列化时,如果存在该方法,该方法会被调用。可以在这里进行一些对象的重建或重置操作
- __toString(): 当一个对象被当作字符串使用时自动调用的方法。
- __sleep(): 当一个对象需要被序列化时,该方法会被调用。可以在这里定义哪些属性需要被序列化。
- __isset(): 在对一个对象属性进行 isset() 或 empty() 操作时自动调用的方法。在反序列化时,该方法可能会被调用,可以在这里进行一些自定义的属性判断操作。
- __construct(): 在实例化对象时自动调用的方法。反序列化时,该方法会被调用,可以在这里进行一些初始化操作。
防御
防止序列化非信任数据,只接受信任源的序列化
对反序列化数据进行校验
避免使用不受信任的序列化库
限制反序列化操作权限