前言:
本章节将讲解各种 WEB 层面上的有那些漏洞类型,具体漏洞的危害等级,
以简要的影响范围测试进行实例分析,思维导图中的漏洞也是后面我们将
要学习到的各个知识点,其中针对漏洞的形成原理,如何发现,如何利用
将是本章节学习的重点内容!
简介
1、简要说明以上漏洞等级划分
(1)右边的属于高危漏洞
(2)反序列化逻辑安全属于中危漏洞
(3)左边的属于低危漏洞
2、简要说明以上漏洞重点内容
CTF:文件上传、sql注入、反序列化、代码执行
SRC:逻辑安全为主,以上的各种都有
红蓝对抗:sql注入、文件上传、文件包含、代码执行、命令执行
3、简要说明以上漏洞形势问题
SQL注入相比以前少,但不代表没有,可能是信息收集或者工具方面有问题,从而产生判断遗漏;
其中自己对漏洞的理解程度不够是主要原因;
漏洞的危害
注入:获取数据库中的数据,破坏网站,破坏数据库
文件上传:上传webshell,获取控制权限。提权。上传各种病毒文件。
xss:主要用来获取cookie,拿到后台的权限
文件包含:web服务器的文件被外界浏览导致信息泄露。脚本被任意执行导致篡改网站,执行非法操作等等。
反序列化:黑客能在服务器上执行任意命令,间接掌握了服务器。影响可用性。
代码执行:执行任意代码,网站被写入webshell,控制整个网站甚至服务器。
逻辑安全:
-----逻辑漏洞是指攻击者利用业务/功能上的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改,确权访问,密码找回,交易支付金额等功能处。
-----逻辑漏洞的破坏方式并非是向程序添加破坏内容,而是利用逻辑处理不严密或者代码问题或固有不足,操作上并不影响程序的允许,在逻辑上是顺利执行的。
未经授权的访问:
导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄
漏洞等级划分
漏洞的危害决定了等级:
高危
基础分60-100,高危等级漏洞包括:- 直接获取系统权限的漏洞(服务器权限、PC 客户端权限),包括但不限于远程命令执行、任意代码执行、上传获取Webshell、SQL 注入获取系统权限、缓冲区溢出(包括可利用的ActiveX缓冲区溢出)等漏洞。
- 直接导致重要业务出现拒绝服务的漏洞,包括但不限于直接导致移动网关业务或API业务拒绝服务、网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞。
- 重要的敏感信息泄漏,包括但不限于重要业务数据库的SQL注入漏洞、可获取大量企业核心业务数据等接口问题引起的敏感信息泄露。
- 严重的逻辑设计缺陷和流程缺陷,包括但不限于批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等。
- 敏感信息越权访问,包括但不限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的服务器端请求伪造(SSRF)漏洞等。
- 企业重要业务越权敏感操作,包括但不限于账号越权修改重要信息、重要业务配置修改等较为重要的越权行为。
- 大范围影响用户的其他漏洞,包括但不限于可造成自动传播的重要页面的存储型跨站脚本攻击漏洞(包括存储型 DOM-XSS)。
中危
基础分30-50,中危等级漏洞包括:- 需交互方可影响用户的漏洞,包括但不限于一般页面的存储型跨站脚本攻击漏洞,涉及核心业务的跨站请求伪造(CSRF)漏洞等。
- 普通越权操作,包括但不限于绕过限制修改用户资料、执行用户操作等。
- 普通的逻辑设计缺陷和流程缺陷,包括但不限于不限次数的短信发送、任意手机邮箱信息注册等。
低危
基础分10-20,奖励系数可为0,低危等级漏洞包括:- 本地拒绝服务漏洞,包括但不限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),以及由Android组件权限暴露、普通应用权限引起的问题等。
- 普通信息泄漏,包括但不限于客户端明文存储密码、以及web路径遍历、系统路径遍历漏洞等。
- 其他危害较低的漏洞,包括但不限于反射型跨站脚本攻击漏洞(包括反射型DOM-XSS)、普通跨站请求伪造(CSRF)、URL跳转漏洞等。
案例演示
1、SQL注入漏洞-数据库操作危害
对数据库的数据进行增加或删除操作,例如私自添加或删除管理员账号
2、目录遍历漏洞-源码结构泄漏危害
跨目录文件读取,不能读取文件内容
3、文件读取漏洞-源码内容获取危害
读取文件内容,不能读取文件夹内容
4、文件上传漏洞-WEB权限丢失危害
获取权限,将后门文件上传到对方的服务器
5、文件下载漏洞-补充演示拓展演示
通过修改下载链接后缀将网站主要文件下载下来。
简要说明以上漏洞形式问题
pikachu靶场:https://github.com/zhuifengshaonianhanlu/pikachu