浅谈基于HTTP数据包的Web安全逻辑漏洞挖掘思路.pdf
《浅谈基于HTTP数据包的Web安全逻辑漏洞挖掘思路.pdf》由会员分享,可在线阅读,更多相关《浅谈基于HTTP数据包的Web安全逻辑漏洞挖掘思路.pdf(5页珍藏版)》请在咨信网上搜索。
1、Computer Era No.9 20230 引言网络攻击,根据攻击手段一般可分为“硬攻击”和“软攻击”两类。SQL注入、信息监听、DDOS攻击和暴力破解等主动或被动攻击,都属于“硬攻击”1,而“软攻击”主要的攻击方法为社会工程攻击,通过欺诈、诱骗等手段来获取收集信息和入侵计算机系统2。而逻辑漏洞攻击更像是两者的融合。Web安全逻辑漏洞是软件开发者在设计与开发系统过程中存在的逻辑缺陷所造成的2。随着软件系统框架的成熟以及网络安全设备的部署,传统网络攻击的成本和难度不断加大,但仍无法检测与阻止基于系统逻辑的网络攻击。网络安全设备是对数据流进行检测与分析,作用于网络层与应用层3,一旦攻击者出现攻
2、击行为,其流量特征与正常流量相比存在异常,则会进行会话阻断。逻辑漏洞是系统HTTP协议接口本身存在的逻辑问题,短信轰炸、敏感信息泄露、更改任意用户密码、越权、价格篡改、未授权登录等都属于逻辑漏洞范畴,其作用范围广、时间长,且无法被安全设备感知4,在实际环境中只能通过手工分析HTTP数据包的方法来挖掘此类漏洞。本文结合实际生产过程中Web系统常用的软件功能模块,详细分析其 HTTP 数据包内容以及上下接口逻辑关系,探讨Web安全逻辑漏洞的挖掘思路,帮助用户更好地进行网络安全防护。1 验证码机制缺陷1.1 图片验证码图片验证码被广泛应用在Web系统的各个场景中,用户登录认证和用户注册是其中使用最多
3、的两个DOI:10.16644/33-1094/tp.2023.09.006浅谈基于HTTP数据包的Web安全逻辑漏洞挖掘思路吴盼盼,俞嘉雯,韩冰青(南京审计大学,江苏 南京 211815)摘要:漏洞扫描、WAF、IPS、APT探针平台等网络安全防护设备虽然能根据实体设置策略来动态侦测和阻止外部以及内部的网络攻击,但无法检测到基于系统逻辑漏洞的网络安全攻击,所以系统逻辑漏洞的挖掘十分重要。本文主要基于HTTP协议的数据包之间逻辑的分析,来进行Web系统的逻辑漏洞的挖掘,从而进一步加强系统的安全性。关键词:网络安全;漏洞挖掘;Web系统;逻辑漏洞中图分类号:TP393文献标识码:A文章编号:10
4、06-8228(2023)09-24-05Web security logic vulnerability mining based on HTTP packetsWu Panpan,Yu Jiawen,Han Bingqing(Nanjing Audit University,Nanjing,Jiangsu 211815,China)Abstract:Although network security protection devices such as vulnerability scanning,WAF,IPS,and APT probe platforms candynamically
5、 detect and block external and internal system attacks according to entity setting policies,they cannot detect networksecurity attacks based on system logic vulnerabilities,so it is very important to mine the system logic vulnerabilities.In this paper,we analyze the packet logic of the HTTP protocol
6、 to mine the logical vulnerabilities of the Web system,so as to furtherstrengthen the security of the system.Key words:network security;vulnerability mining;Web system;logic vulnerability收稿日期:2023-04-17作者简介:吴盼盼(1998-),男,江苏徐州人,硕士研究生,主要研究方向:网络安全。24计算机时代 2023年 第9期场景。图片验证码认证机制一旦存在问题,那么很有可能导致整个用户登录整体模块被完
7、全攻破和任意用户无限次注册的问题。图片验证码机制缺陷一般可分为两类。GET/POST方法请求验证码接口时返回的验证码格式为文本格式而不是图片格式,这样可以直接通过报文进行读取,如图1所示。机制缺陷为验证码认证机制缺陷。由于系统开发人员的失误,仅仅依靠Web前端来进行验证码的验证。直接删除报文信息中的验证码字段(将code=*删除或者将*置空),这就会导致空验证码绕过。对于独立验证 码 认 证 接 口,可 尝 试 将 认 证 接 口 数 据 包 通 过Burpsuit工具直接丢弃,如若未报错则存在问题。图1文本格式验证码回显1.2 短信验证码短信验证码常存在的问题有短信轰炸和认证缺陷。短信轰炸是
8、由于开发人员未设置接口请求时间间隔限制造成的或是时间判断完全依靠前端提交的Unix时间戳,通过无间隔的调用短信发送接口或更改时间戳来实现无限制短信发送。认证缺陷是指用户已经收到服务器发送的短信验证码并填写提交给服务器认证时,服务器认证过程中存在的缺陷。关于绕过过程,可参考第 1 章中的图片验证码机制缺陷。对于短信验证码的绕过,本文主要分析根据服务器回显状态码绕过,由于认证的特殊性,将此类方法结合密码认证绕过放在第 2 章的Response状态值进行阐述。2 密码认证绕过2.1 Response状态值在用户提交登陆凭证请求后,HTTP 的 Response中会根据用户的凭证返回特定的响应值(1/
9、0、yes/no、fail/success等)。如若系统存在校验值不严格,并且返回 的 状 态 值 是 在 前 端 进 行 校 验 的,那 么 就 可 对Response状态值进行修改,用户密码/手机验证码的非法登录请求就能够被成功执行。如图 2 所示,上面Response 中的 json 状态值为用户输入的正确密码,下面为错误的,可以在正常登录流程中更改状态值为正确的再提交给前端,非法用户就能在不需要密码的情况下登录账户。如若系统用session、taken、JWT等会话控制功能,凭证校验在服务端操作,则不存在此类问题。图2response状态值对比2.2 暴力破解穷举所有的可能性就是暴力破
10、解。暴力破解在计算机安全领域中应用极广,不仅可以用来爆破用户名和口令,也可以对session、taken甚至是JWT进行破解。Web系统中如未配有验证码(图片、滑动、识别、计算)和登录失败锁定等防暴力破解的功能,那么攻入系统只是时间问题。本节主要介绍用户名和口令的暴力破解。用户名和口令暴力破解的核心是字典,字典囊括了所有用户名和口令的可能字符串。因为大多数人的密码会包括自己信息,所以最好的字典是根据受害者的信息使用字典工具(Cupp、Cewl、Crunch)自动生成的,比如受害者名字、生日、手机号、身份证号、亲人信息等等。一旦发现系统并不存在防暴力破解机制,则可以使用暴力破解工具抓取登录接口信
11、息并导入字典信息进行暴力破解。正确和错误的用户口令,服务器返回信息是不同的,字节长度不同,暴力破解结果根据response的Length长度来甄别,如图3所示。图3暴力破解结果3 敏感信息泄露3.1 JWTJWT(Json Web Token)是认证授权会话机制的一种5,JWT的验证方式适用于分布式站点的单点登录(SSO)场景,JWT的验证流程如图4所示。25Computer Era No.9 2023图4JWT验证流程JWT由header、Payload、signature三个部分表示并使用“.”来分割这三串字符,header部分用来描述元素对象,由type(声明对象是JWT)与alg(声明
12、Hash算法)构成。Payload表示有效荷载,传递的数据都在这个字段中,除了官方提供的七个声明字段(iss、sub、aud、exp、nbf、iat、jti),也可以自定义字段,但存在开发人员将密码的密文字符存放在Payload中,而header与Paylaod均使用base64进行编码,十分容易做逆向解析,一旦存在上述情况,就导致了JWT中的敏感信息泄露。3.2 JavaScript冗余信息JavaScript 是一种非常简单且强大的前段脚本语言,但是在系统开发时开发人员为了方便,将密码、后台路径、对称密钥、API注释在JavaScript中,这就导致了敏感信息泄露6。此类泄露找寻方法非常简
13、单,只需要查看源代码并在其中输入关键字段(login、adminlogin、user/login、password、phone、id 等等)进行搜索(Ctrl+F)。前端已经匿名或者打码的敏感信息也可能由于开发人员的疏忽在前端代码中找寻到,另外也可以右击页面找到匿名信息的前端代码,修改元素type为“text”种类后,查看匿名信息是否直接明文显示在前端页面上。开发人员需要对前端代码进行混淆压缩,并仔细检查是否留下关于敏感信息的备注3.3 中间件版本信息中间件是介于操作系统与应用软件的一类软件,用来发布应用软件。B/S(浏览器/服务器)架构系统常用的中间件有tomcat、apache、weblo
14、gic等。中间件版本信息泄露主要有两个来源,一是HTTP 数据包中的 Response 返回信息泄露,主要是Server 与 X-Powered-By 字段泄露,如图 5 所示。但Apache-Coyote/1.1可以作为例外,它不会暴露tomcat的具体版本号,可以不隐藏版本号。同时构造报错页面影响的请求,比如访问未被授权的页面的URL构造401错误、访问不存在的页面的URL构造404错误和篡改http method改为站点不允许的http method构造405错误,查看报错页面是否存在版本号并与漏洞库进行对比。图5字段泄露版本信息近些年来不同版本的中间件存在的安全漏洞非常之多(CVE-2
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 浅谈 基于 HTTP 数据包 Web 安全 逻辑 漏洞 挖掘 思路
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。