1)常见安全扫描软件
2)常见web漏洞原理
3)SSL 自签名漏洞原理和解决方案
4)第三方插件漏洞原理和解决方案
1)常见安全扫描软件
HP WebInspect
Nessua
Burpsuit
appscan
绿盟
Owszap
2)常见web漏洞原理
CSRF跨站请求伪造
原因:
攻击者采用伪造的http请求,包括会话cookie/refer/token/自动填充的身份信息等,发送给web server,让web server认为是合法用户数据。
原理:
1)由于服务器端对用户的设置报文没有校验,该报文被扫描软件获取后,可以使用相同报文进行操作
2)OWZAP 和webinspect 的部分漏洞认定策略是对页面中form 表单要求显式的token控件或者refer 字段检查。 如果没有对单一form进行token处理,而是在form发送的公共函数中增加token处理,导致被误报为漏洞。需要澄清或者增加对refer字段的检查来规避
反CSRF令牌扫描程序Absence of Anti-CSRF Tokens
Owszap 扫描程序针对html中form表单的扫描,发现没有显式定义token字段,一般就会上报漏洞。对于其他方式增加token校验的方案,可以增加refer检查或者cookie 检查试一下,如果仍然存在漏洞,建议澄清处理。
XSS跨站脚本攻击
原因:
由于服务器端对用户的报文没有合法性校验,在没有转义的情况下讲该报文发送给浏览器,在浏览器端执行非法操作.
扫描软件原理:该报文被扫描软件获取后,修改参数js脚本,该js脚本可以获取关键信息,如果webserver正常返回数据,扫描软件认为漏洞成立
解决方案:
在服务器端增加对报文中<script>关键字的校验
injection注入
原因:
攻击者把攻击命令作为查询数据或者配置数据的一部分发给web server, web server没有校验,直接发给sql / os 等命令解释器执行。
原理:
由于服务器端对用户的报文没有合法性校验,仅在web前端进行合法性校验,该报文被扫描软件获取后,修改报文内容为sql脚本,shell脚本命令等等,该脚本可以获取关键信息。
解决方案:在服务器端增加对报文中sql和shell关键字的校验。
Password Field Auto Complete Active
原理:
带有password的文本框,浏览器可以把保存的用户名和密码自动填入。 需要在其属性字段设置AUTOCOMPLETE="off"来禁用该功能,
解决方案:
页面主要有主要有wifi 密码,远程,注册密码,宽带pppoe,t 远程注册,用户管理,ddns管理,前端html中设置AUTOCOMPLETE="off"
SLOWLORIS DDOS 拒绝攻击服务
原理:
以极低的速率向web server 发送HTTP请求,长时间不断开,占用SERVER 处理资源,导致正常的连接无法接入。
解决方案:iptables规则暂时可以解决,最好使用nginx安全配置来防护。
增加防火墙规则,限制单个IP连接80/443端口的请求数目,以及80/443端口总连接数
iptables -I INPUT -p tcp –dport 80 -m connlimit –connlimit-above 20 -j REJECT
iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 40 --connlimit-mask 0 -j DROP
File upload functionality
备份文件泄露
原理:
搜索常见备份目录以及备份文件名,如果web server 可以返回数据,说明存在漏洞
解决方案:
一般属于误报,如果对不存在文件返回到登录页面,被误以为是漏洞,需要返回400 错误
HTTP Parameter Override
Unspecified form action: HTTP parameter override attack potentially possible. This is a known problem with Java Servlets but other platforms may also be vulnerable.
原因:
软件的漏洞认定形式上是form没有action.
解决方案:
去掉此类form,或者增加action
3)SSL 自签名漏洞原理和解决方案
SSL Certificate with Wrong Hostname
SSL Certificate Cannot Be Trusted
SSL Self Signed Certificate
自签名证书澄清报告:
要使用第三方认证 CA 证书,必须要具备域名,而且一个域名对应一个 CA 证书, 无域名设备不具备第三方认证证书申请条件。第三方证书机构有关规定:不允许向保留 IP 颁发证书,并且自 2016 年 10 月 1 日起,以前发布到保留 IP地址的所有证书均被撤销。保留 IP参考 IANA IPv4 Address Space Registry 定义,包含私网网段 192.168.0.0/16。
Jquery漏洞
jquery 1.4.0 --1.11.3
jquery2.0--Jquery 2.2.4
存在xss漏洞,
可以采用jquery 4.0版本来避免漏洞。但Jquery 2.0以上不支持ie6/7/8,如果想保持兼容性。
可以通过修改源码漏洞和混淆方式处理
openssl漏洞
在https://www.openssl.org/source升级openssl 到1.0.2(2019.5发布)以上, 应用中采用tls1.1 及以上版本通信