如果你認爲本系列文章對你有所幫助,請大家有錢的捧個錢場,點擊此處贊助,贊助額0.1元起步,多少隨意
聲明:本文只用於個人學習交流,若不慎造成侵權,請及時聯繫我,立即予以改正
鋒影
email:[email protected]
Web應用系統的小安全漏洞及相應的攻擊方式
接口自動化測試的"開胃小菜"
1 寫作目的
本文講述一個簡單的利用WebAPI來進行一次基本沒有破壞力的“黑客”行爲。
主要目的如下:
- 瞭解什麼叫安全漏洞
- 知道什麼是api
- 瞭解一些獲取api的工具
- 通過對API的認識瞭解白盒接口測試基本概念和技術
免責聲明:
本文主要是以學習交流爲目的,而且實驗的對象也是通過搜索引擎隨機選擇的。不以搞破壞爲目的,純粹是以教學爲目的,同時也警醒大夥重視基本的互聯網安全。當然,本文會對關鍵字打個馬賽克,防止有興趣的同學也把網站主當了靶子了。
如果網站主通過搜索引擎找到了本文,希望網站主最先能夠做的是如何使用簡單的方法堵住漏洞,當然如果網站主要求本文刪除相應的信息,本文也會全力配合的。
2 背景介紹
先說一個在互聯網上常見,但是普通人又不太理解的東西--“驗證碼”。
下面是來自 百度百科 的一段解釋:
驗證碼(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自動區分計算機和人類的圖靈測試)的縮寫,是一種區分用戶是計算機還是人的公共全自動程序。可以防止:惡意破解密碼、刷票、論壇灌水,有效防止某個黑客對某一個特定註冊用戶用特定程序暴力破解方式進行不斷的登陸嘗試,實際上用驗證碼是現在很多網站通行的方式,我們利用比較簡易的方式實現了這個功能。這個問題可以由計算機生成並評判,但是必須只有人類才能解答。由於計算機無法解答CAPTCHA的問題,所以回答出問題的用戶就可以被認爲是人類。
一般對於開放式的互聯網應用,在有需要“上行”數據接口的地方都需要加上一道驗證碼(也可以是驗證短信,但是考慮到成本問題,驗證碼還是更普遍一些),以防止機器程序使用其遠高於人的計算能力進行一些惡意破壞行爲。
所謂的惡意行爲從技術本質上講就是利用web應用已經提供的一些接口,來對網站主的後臺數據庫進行 增/刪/改/查 的操作,而且由於這種操作是由計算機來完成,計算機巨大的計算能力常常伴產生極恐怖的破壞力。
-
查詢數據
- 耗盡網絡式攻擊。攻擊者網絡帶寬資源超級豐富的,可以OS佔滿被攻擊對象的入口和出口帶寬,無法對外正常提供服務。
- 耗盡服務器負載攻擊。大量高併發的數據庫請求,超過數據庫的最大連接數,導致web應用無法完成數據庫的正常查詢。
- 耗盡服務器CPU攻擊。對於有複雜計算的應用,每次調用一次服務會造成大量的CPU消耗,導致服務異常。
- 耗盡服務器內存攻擊。通過查詢產生大量的session,耗盡服務器內存。
-
增加數據
在web應用裏面惡意註冊幾十萬級別的 殭屍 用戶。然後通過程序來操控這些用戶來投票,轉發,刷帖等等。比如,微博,廣告行業
-
刪除/修改數據
造成數據的不正常,這樣的後果也是不可估量的。比如金融行業,比如電子交易行業。
通過“圖靈測試”可以達到對自然人和機器的良好區分,以達到將機器程序抵擋在外面的目的,阻止其利用其強大的計算能力和自動化信息處理能力來實施破壞。這就是“驗證碼”的最基本作用。
那麼迴歸到今天的正題,既然是“黑客技術入門”和“接口自動化測試”的入門篇,本文就先挑一些難度低的開始,專門找“軟柿子”來捏一下。
3 主要工具
-
Google搜索引擎
搜索資料和尋找“獵物”
-
Chrome
查看web應用提供的接口的最簡單的方式
-
Wireshark
一種高級的查找接口的工具,可在某些不適合Chrome的場合進行使用
-
Python
編碼破解代碼的腳本
4 尋找攻擊對象
通過搜索引擎,找關鍵字:“意見反饋”、“用戶反饋”,得到如下的搜索結果:
“用戶反饋”模塊有如下特點:
- 有數據上行。因爲有向服務器提交數據,會通過相應的接口往網站主服務器上寫相應的數據。
- 在Web應用裏面重要性很低。很多是象徵的擺設,所以安全防範極低。
- 不涉及具體的重要業務。可以在練手的同時,也不會產生多少破壞。
只需要找出裏面沒有驗證碼的頁面就可以了,主要的搜索結果如下:
有驗證碼的網站:
- 360好搜
- 鳳凰網
- 56.com
無驗證碼的網站:
- 新浪微博
- 搜狗網址導航
- 百度音樂
- 百度百科
- 網易163
- 有道詞典
- 易車
- 114la
- 中科大教務處
這只是Google的前兩頁的搜索結果,發現已經有一大半在這一塊是沒有進行任何防守的。既然已經找到了這麼一個簡單的安全“漏洞”,下面就開始實施無關痛癢的“攻擊”行爲。
由於本文主要是出於學習和交流目的,爲了保護實驗對象的一些隱私,所以下面的圖片和相應的URL都會進行一些簡單的馬塞克。
5 收集api信息
由於Web應用系統本身是不對外開放api的,但是互聯網公司的產品爲了追求高擴展性和前後端完全分離獨立,通常使用如下技術架構:
互聯網應用的架構,客戶端和服務器一般都是基於Http API來進行通訊,所以對於B/S的程序來說,可以很容易通過一些輔助工具來找到通訊的接口。
某個網站“有幸”被選中了:
http://x.xxx.xx/ugc/out/feedback/
使用Chrome瀏覽器打開頁面
然後填寫好表單之後,點擊提交按鈕。當然,因爲提交按鈕之後,會跳轉到另外一個頁面,不便於我們查看提交的數據值,所以要做一些簡單的修改,就是表單提交的服務器API簡單修改成一個不存在的即可:
然後在Chrome的Network裏面可以看到接口信息:
然後將右側的接口詳細數據信息展開,就可以查看到表單值:
這個表單就告訴了我們此網站應用的服務器端API所接收的合法的數據的格式,這樣就相當於知道了調用的方式了。
知道了接口,知道了調用方式,那麼接下來就可以通過寫程序來實施“黑客”行爲了。
6 編寫crack腳本
由於本人python比較熟悉,所以就使用python來進行相應的操作演示。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
|
返回值
|
1 2 3 4 |
|
根據200的狀態碼,明顯是成功了。因爲有經驗的Web開發人員都清楚,Http的200狀態碼就表示成功調用的返回值了。
如果我使用個for循環,將此程序運行100萬次,那麼這個網站主的這個地方的數據庫估計就要抓狂了。如果使用多個機器連續瘋狂的刷,而且恰好這個數據表和他們的核心業務數據庫放在一起,那麼這將會導致數據庫連接數量超過極限,導致正常的服務無法被提供了。
7 後續展望和總結
本文只是演示瞭如何利用Chrome去尋找Web應用的接口及調用。而對於看不到前端代碼的App應用,則可以通過抓包工具Wireshark來輕鬆獲得相應的接口及調用。
網站主避免此漏洞的方法:給相應的位置加上可靠的“驗證碼”即可。 PS:傳統的字符型驗證碼,稍微會一些圖片識別技術,或者機器學習技術,也是相當好破解的。目前的OCR技術已經相當發達了,想想註冊Gmail的時候,那一串人都不認識的字符,結果程序可以進行90%的成功破解率,可想而之機器遠比人類想像得要厲害。
當然,如何做好“圖靈測試”對“自然人”和“機器人”進行區分,已經成爲安全領域的一個重要的課題,也非本文重點討論的問題了,有興趣的同學可以在相關領域繼續研究吧。
這個事情給做Web應用系統的人員兩個警鐘:
- 所有涉及到數據交互的地方,最好加上驗證碼。
- 數據儘量要按照重要等級分開部署。
8 免責聲明
- 本文只是以學習交流爲目的
- 本文沒有產生破壞行爲
- 本文所獲取的信息都是通過正常的暴露在外部的信息得到的
- 本文隱藏了具體的URL目標的信息
- 如果實在是有人有要求認爲本文造成了事實傷害,作者會按照要求刪除此文
- 最後希望此文能夠給有志做接口自動化測試的朋友提供了一個好的“開胃菜”
| 作者: | Harmo哈莫 |
|---|---|
| 作者介紹: | https://zhengwh.github.io |
| QQ: | 1295351490 |
| 時間: | 2015-08-24 |
| 版權說明: | 未經許可,嚴禁用於商業目的的非法傳播 |
| 聯繫或打賞: | http://zhengwh.github.io/contact-donate.html |