服務(wù)人工
漏洞檢測項目所有
優(yōu)勢服務(wù)好
APP漏洞檢測支持
服務(wù)地區(qū)全國
許多客戶在網(wǎng)站,以及APP上線的同時,都會提前的對網(wǎng)站進(jìn)行全面的滲透測試以及安全檢測,提前檢測出存在的網(wǎng)站漏洞,以免后期網(wǎng)站發(fā)展過程中出現(xiàn)重大的經(jīng)濟(jì)損失,前段時間有客戶找到我們SINE安全公司做滲透測試服務(wù),在此我們將把對客戶的整個滲透測試過程以及安全測試,發(fā)現(xiàn)的漏洞都記錄下來,分享給大家,也希望大家更深地去了解滲透測試。
假如你是hack,準(zhǔn)備攻擊一家企業(yè),那么首先要做的件事就是識別盡可能多的API。我首先按常規(guī)方式使用目標(biāo)應(yīng)用程序,在瀏覽器中打開Web應(yīng)用程序或者在手機(jī)端安裝移動應(yīng)用程序,然后使用代理監(jiān)視通信。代理能夠捕獲瀏覽器或移動應(yīng)用程序?qū)蠖薟eb服務(wù)器發(fā)出的所有請求,從而使攻擊者可以對所有可用的API端點進(jìn)行分類。例如,大多數(shù)API都將API/V1/login作為身份驗證端點。
如果目標(biāo)也是移動應(yīng)用程序,則將應(yīng)用程序包拆開,并查看應(yīng)用程序內(nèi)部可用的API調(diào)用。考慮到所有可能的活動,攻擊者可以搜索無確保護(hù)用戶數(shù)據(jù)的常見配置錯誤或API。后,攻擊者尋找API文檔。一些組織為第三方發(fā)布API文檔,但為所有用戶使用相同的API端點。有了一個不錯的端點清單,攻擊者就可以測試標(biāo)準(zhǔn)用戶行為和異常行為測試,可以通過兩種方法找到有趣的漏洞。
其實從開發(fā)的角度,如果要保證代碼至少在邏輯方面沒有明顯的漏洞,還是有些繁瑣的。舉個簡單的例子,如網(wǎng)站的數(shù)據(jù)檢驗功能,不允許前端提交不符合當(dāng)前要求規(guī)范的數(shù)據(jù)(比如年齡文本框部分不能提交字母)。那么為了實現(xiàn)這個功能,首先開發(fā)者肯定要在前端實現(xiàn)該功能,直接在前端阻止用戶提交不符規(guī)范的數(shù)據(jù),否則用戶體驗會很差,且占用服務(wù)器端的資源。
但是沒有安全意識或覺得麻煩的開發(fā)者就會僅僅在前端用Js進(jìn)行校驗,后端沒有重復(fù)進(jìn)行校驗。這樣就很容易給惡意用戶機(jī)會:比如不通過前端頁面,直接向后端接口發(fā)送數(shù)據(jù):或者,前端代碼編寫不規(guī)范,用戶可以直接在瀏覽器控制臺中用自己寫的Js代碼覆蓋原有的Js代碼;或者,用戶還可以直接在瀏覽器中禁用Js;等等。總之,前端的傳過來的數(shù)據(jù)可信度基本上可以認(rèn)為比較低,太容易被利用了。
而我的思路都是很簡單的,就是關(guān)注比較重要的幾個節(jié)點,看看有沒有可乘之機(jī)。如登錄、權(quán)限判定、數(shù)據(jù)加載等前后,對方是怎么做的,用了什么樣的技術(shù),有沒有留下很明顯的漏洞可以讓我利用。像這兩個網(wǎng)站,加載的Js文檔都沒有進(jìn)行混淆,注釋也都留著,還寫得很詳細(xì)。比較湊巧的是,這兩個網(wǎng)站都用到了比較多的前端的技術(shù),也都用到了sessionStorage。
下面開始我們的整個滲透測試過程,首先客戶授權(quán)我們進(jìn)行網(wǎng)站安全測試,我們才能放開手的去干,首先檢測的是網(wǎng)站是否存在SQL注入漏洞,我們SINE安全在檢測網(wǎng)站是否有sql注入的時候都會配合查看mysql數(shù)據(jù)庫的日志來查詢我們提交的SQL語句是否成功的執(zhí)行,那么很多人會問該如何開啟數(shù)據(jù)庫的日志,如何查看呢?首先連接linux服務(wù)器的SSH端口,利用root的賬號密碼進(jìn)服務(wù)器,打開mysql的配置文件mysqld.cnf編輯general_log_file=(log日志的),general_log=1,在服務(wù)器里輸入tail -f (log),來查看實時的數(shù)據(jù)庫語句執(zhí)行日志。當(dāng)我們SINE安全技術(shù)在測試SQL注入漏洞的時候,就會實時的看到是否有惡意的SQL語句執(zhí)行成功,如果有那么數(shù)據(jù)庫日志就會出現(xiàn)錯誤提示,在滲透測試中是很方便的,也更利于查找漏洞。
命令執(zhí)行的漏洞。應(yīng)用程序的某些函數(shù)需要調(diào)用可以執(zhí)行系統(tǒng)命令的函數(shù)。如果這些功能或者功能的參數(shù)可以被用戶控制,那么惡意的命令就有可能通過命令連接器拼接成正常的功能,從而可以隨意執(zhí)行系統(tǒng)命令。這就是命令執(zhí)行漏洞,這是高風(fēng)險漏洞之一。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復(fù)漏洞,對各項功能都進(jìn)行了全面的安全檢測。
http://www.58seesohu.com
