Web应用安全测试-专项漏洞(一)
专项漏洞部分注重测试方法论,每个专项仅列举一个例子。实际测试过程中,需视情况而定。
Web组件(SSL/WebDAV)漏洞
漏洞描述: Web组件漏洞泛指Web组件存在的通用漏洞。
测试方法: 根据目标系统所使用的Web组件版本,查找其公开漏洞及其利用脚本。如目标使用了SSL协议,可测试是否存在SSL v3重协商漏洞、POODLE信息泄漏漏洞等。下面以SSL v3重协商漏洞为例进行说明:
-
通过web漏洞扫描工具进行检测。
-
通过利用SSLciphercheck软件,通过CMD下运行,检测命令:
sslciphercheck.exe -h ip地址或者域名 -p 443
风险分析:
SSL\TSL是位于一种可靠地网络层协议TCP协议之上的一个协议 ,该协议是为了在客户端和服务器之间生成一个安全的连接,这种连接是私密的、可靠的并且通信双方可以互相验证双方的身份 。所以SSI\TSI 协议应该具有机密性 、完整性和确定性。而对于重新协商,一个SSL协议一旦建立起来,客户端 (C )和服务器 (S)都可以再一次重新协商,也称为重新握手,这将会导致在加密的信道上进行一次握手,C 可以通过发送一个新的client Hello消息来创建一次重新协商。同样地,S可以发送一个Hello request消息,从而使C回应一个新的client Hello,以创建一个重新协商,建立重新协商的目的是更新密钥,增强所用密码组的保密性和从C到S的身份认证等等。
在中间人攻击中,攻击者会主动窃听,他将截获客户端和服务器之间的连接,并使他们认为他们是在直接通话,而实际上他们是通过攻击者的转接来通话的。要完成中间人攻击,中间人必须截获客户端和服务器间的所有通信信息,这样中间人可以选择有用的信息并且它可 以将新的信息随意的插入。
风险等级:
【低危】
修复方案:
- 关闭
renegotiation
协议或限制SSL重协商数,以防止TLS DOS攻击:在Apache 2.2.15以上版本中,可以通过在配置文件httpd.conf中,添加如下字串:SSLInsecureRenegotiation Off;
如使用的Apache版本低于2.2.15,则可以通过限制SSL重协商的次数防止DOS攻击。 - 使用WEB应用防火墙防止中间人攻击:通过WEB应用防火墙,对HTTP Header请求头进行过滤和监控,舍弃嵌入式的HTTP请求行,以防止中间人攻击。
注意事项: 暂无
中间件相关漏洞
漏洞描述: 包括Apache、Nginx、IIS、Tomcat、Weblogic、Jboss
以及其他的中间件的漏洞。
测试方法: 根据目标系统所使用的中间件版本,查找其公开漏洞及其利用脚本。如Tomcat/Weblogic/WebSphere管理控制台弱口令、java发序列化、IIS短文件名泄漏、JBoss远程代码执行等。下面以JBoss远程代码执行漏洞为例进行说明:
-
对于采用JBOSS的网站,首先判断其版本,如果版本为1.0.x版本,则可通过对其控制台的访问来判断,访问
http://127.0.0.1:8080/jmx-console/
,出现以下页面,则此漏洞可被利用:
-
或者用工具
jboss_exploit_fat.jar
来判断是否存在漏洞,如图所示:
风险分析: JBOSS默认配置会有一个后台漏洞,漏洞发生在jboss.deployment命名空间,中的addURL()函数,该函数可以远程下载一个war压缩包并解压。 如果压缩包里含有webshell文件,是直接可以解析的。
风险等级:
【高危】
修复方案: 给jmx-console加上访问密码并且执行以下修复方式:
-
在
${jboss.server.home.dir}/deploy
下面找到jmx-console.war
目录编辑WEB-INF/web.xml
文件去掉security-constraint
块的注释,使其起作用。 -
编辑以下文件:
编辑 WEB-INF/classes/jmx-console-users.properties
或 server/default/conf/props/jmx-console-users.properties (version >=4.0.2)
和 WEB-INF/classes/jmx-console-roles.properties
或server/default/conf/props/jmx-console-roles.properties(version >=4.0.2)
添加用户名密码
-
编辑
WEB-INF/jboss-web.xml
去掉security-domain
块的注释,security-domain
值的映射文件为login-config.xml
(该文件定义了登录授权方式)。 -
对于invoker,采用以下方案:升级相关的JBOSS中间件到最新版本,或者删除
$JBOSS_HOME/[server]/all/deploy
和$JBOSS_HOME/[server]/default/deploy
下的Jmx-console.war
、Web-console.war
这两个.War
文件来禁止对Jmx-console
和Web-console
的访问。
注意事项: 暂无
第三方应用相关漏洞
漏洞描述: Redis和Memcached等非关系型数据库,Zabbix等其他第三方应用存在的漏洞。