Web頁面安全-web***安全測試與對策

web***安全測試與對策
web***方式

--------------------------------------------------------------------

獲取目標信息

一、篩選

（一）該方式主要包含：

1.html代碼嵌入的註釋

2.html代碼中的敏感信息

3.服務器端的出錯信息和http響應

4.應用程序出錯信息

（二）***方法

在源代碼中尋找信息，包括：數據庫名稱，用戶名和密碼等。要發現這些信息需要有一個進程用於映射web應用

程序框架，並分析源代碼。

影射web應用程序的框架

1.工具影射程序頁面：wget，blackwindow

2.手工影射網頁：從應用程序的第一個頁面開始，點每個鏈接進入到子頁面，歸納所訪問的頁面，直到訪問所

有的頁面爲止。web代理程序可以發現頁面之間傳遞的參數和數據，工具有：IEHttpHeaders和Paros之類。

分析源代碼

1.映射程序後返回到頁面去閱讀原代碼並搜索HTML註釋（通常用2個破折號括起來，如<!--...-->）大部分web

設計者都用註釋來標記頁面中的引導部分，有時這裏會包含對***者有用的線索。應用編程語言（PHP，ASP，

Perl等）的註釋方法（如//或*/.../*）有時被漏到客戶機上。一些不再使用的舊代碼只是被註釋而非從代碼中

刪除。

2.除在源文件中手工尋找，還可以自動搜索字符串。工具：grep（Cygwin4是在windows下的免費的類linux環境

，集成大部分UNIX平臺工具，包括grep），Regulator是一個幫助你創建自己的搜索表達的免費工具。

以下是HTML源代碼中搜索的類型和使用grep所採用的表達式模式：
項目 描述 grep模式
HTML註釋 大部分HTML註釋是平常的引導信息或分頁符，但有時候也會包含一些有用的內容 <!--[^

-][\W\w]*?[^-]-->
應用程序註釋 應用程序註釋在服務器執行代碼的時候都應當被去掉，如果留下來一定會包含一些***者需

要的信息。
<!---[\w\W]*?--->

//.* 單行註釋

/\*[\w\W]*?\*/ C風格的塊註釋

^'.*

rem\s.* VB的註釋
IP地址 源代碼中的IP地址都是值得注意的，因爲其中可能有除了主服務器以外的服務器的地址（比如數據庫

服務器或者一個面向羣組用戶的獨立服務器的IP地址）
[0-9]{1,3}\.[0-9]{1,3}\.

[0-9]{1,3}\.[0-9]{1,3}
電子郵件地址 可能是開發人員的私人郵件地址
[\w]*(\.[\w]*)*@[\w]*(\.[\w]*)
SQL查詢 在網頁的源代碼中找到，不僅能反映數據庫結構而且可以反映查詢的構成方式
SELECT\s[\w\*\)\(\,\s]+\sFROM\s[\w]+UPDATE\s[\w]+sSET\s[\w\,\'\=]+INSERT\sINTO\s[\d\w]+[\s\w\d)

\(\,]*\sVALUES\s\([\d\w\'\,\)]+DELETE\sFROM\s[\d\w\'\=]+
數據庫連接字符串 在數據庫鏈接字符串中搜索一般關鍵字的基本模式，通常因爲使用的語言和數據庫

中的變量名不同，會造成很多的錯誤。 Provider\Data\sSource\Driver
隱藏的輸入域
<input\s[\w\W]*?type=(")?hidden(")?[\w\W]*?>



3.檢查頁面之間傳遞的參數，這些參數能迫使程序產生出錯信息。通過把參數修改爲超出正常範圍或數據類型

限制之外的結果可以發現有用信息或得到錯誤頁面。

a.錯誤的數據庫連接造成的信息泄露。

當數據庫連接出現ColdFusion腳本無法處理的錯誤時，出錯頁面不僅會提示信息，還會把出錯點附近的相關代

碼顯示出來。通常服務器會處理<cfinsert>標籤，但可能會顯示數據庫中的表單名稱，和數據庫名稱。利用這

些信息可以用於SQL******。

b.強行產生語法錯誤或異常產生大量出錯信息。

在某些環境下，如ColdFusion或JavaServerlets,試圖通過強行產生語法錯誤或無法處理的異常來破壞應用程序

會使得服務器器響應一系列的函數調用，而這些函數中包含出錯的代碼段。如：上網登錄錄，使用錯誤的用戶

名返回出錯信息，使用錯誤密碼返回另一出錯信息，根據2個返回值猜到正確用戶名。

（三）防範

1.在產品化的代碼中刪除註釋，只在開發者內部服務器上保留帶有註釋的版本。

2.儘可能避免泄露出錯信息，反饋簡介有價值的信息給用戶。如：對錯誤登錄信息應當返回“您輸入的用戶名

或密碼出錯”，讓用戶知道發生了什麼錯誤，避免***者確定是用戶名還是密碼錯誤。再如：進行sql查詢時發

生錯誤，只讓用戶知道出錯，但不用把具體查詢操作返回給用戶。

3.將出錯信息記錄到服務器端的日誌文件裏。定期掃描日誌文件瞭解用戶被應用拒絕的情況。



--------------------------------------------------------------------

二、猜測文件與目錄

（一）方式和時段

方式：通過預測文件和目錄路徑，訪問web服務器和應用程序，獲取目標系統控制權

時間：對目標系統進行映射，仔細分析頁面和內容進行之後。

（二）***方法

1.查找頁面命名轉換模式。

通過提交頁面文檔請求獲得文檔編號升序或降序排列方式來訪問受限頁面。

確定模式後，指定搜索樣式，通過工具iDefence's session ID auditor搜索所有情況，直達最底層