一、掃描網(wǎng)站漏洞是要用專(zhuān)業(yè)的掃描工具,下面就是介紹幾種工具
Nikto
這是一個(gè)開(kāi)源的Web服務(wù)器掃描程序,它可以對(duì)Web服務(wù)器的多種項(xiàng)目進(jìn)行全面的測(cè)試。其掃描項(xiàng)目和插件經(jīng)常更新并且可以自動(dòng)更新。Nikto可以在盡可能短的周期內(nèi)測(cè)試你的Web服務(wù)器,這在其日志文件中相當(dāng)明顯。不過(guò),如果你想試驗(yàn)一下,它也可以支持 LibWhisker的反IDS方法。不過(guò),并非每一次檢查都可以找出一個(gè)安全問(wèn)題,雖然多數(shù)情況下是這樣的。有一些項(xiàng)目是僅提供信息類(lèi)型的檢查,這種檢查可以查找一些并不存在安全漏洞的項(xiàng)目,不過(guò)Web管理員或安全工程師們并不知道。
Paros proxy
這是一個(gè)對(duì)Web應(yīng)用程序的漏洞進(jìn)行評(píng)估的代理程序,即一個(gè)基于JAVA的web代理程序,可以評(píng)估Web應(yīng)用程序的漏洞。它支持動(dòng)態(tài)地編輯/查看 HTTP/HTTPS,從而改變cookies和表單字段等項(xiàng)目。它包括一個(gè)Web通信記錄程序,Web圈套程序,hash 計(jì)算器,還有一個(gè)可以測(cè)試常見(jiàn)的Web應(yīng)用程序攻擊的掃描器。
WebScarab:
它可以分析使用HTTP和HTTPS協(xié)議進(jìn)行通信的應(yīng)用程序,WebScarab可以用最簡(jiǎn)單地形式記錄它觀察的會(huì)話,并允許操作人員以各種方式觀查會(huì)話。如果你需要觀察一個(gè)基于HTTP(S)應(yīng)用程序的運(yùn)行狀態(tài),那么WebScarabi就可以滿足你這種需要。不管是幫助開(kāi)發(fā)人員調(diào)試其它方面的難題,還是允許安全專(zhuān)業(yè)人員識(shí)別漏洞,它都是一款不錯(cuò)的工具。
WebInspect:
這是一款強(qiáng)大的Web應(yīng)用程序掃描程序。SPI Dynamics的這款應(yīng)用程序安全評(píng)估工具有助于確認(rèn)Web應(yīng)用中已知的和未知的漏洞。它還可以檢查一個(gè)Web服務(wù)器是否正確配置,并會(huì)嘗試一些常見(jiàn)的 Web攻擊,如參數(shù)注入、跨站腳本、目錄遍歷攻擊等等。
Whisker/libwhisker :
Libwhisker是一個(gè)Perla模塊,適合于HTTP測(cè)試。它可以針對(duì)許多已知的安全漏洞,測(cè)試HTTP服務(wù)器,特別是檢測(cè)危險(xiǎn)CGI的存在。 Whisker是一個(gè)使用libwhisker的掃描程序。
Burpsuite:
這是一個(gè)可以用于攻擊Web應(yīng)用程序的集成平臺(tái)。Burp套件允許一個(gè)攻擊者將人工的和自動(dòng)的技術(shù)結(jié)合起來(lái),以列舉、分析、攻擊Web應(yīng)用程序,或利用這些程序的漏洞。各種各樣的burp工具協(xié)同工作,共享信息,并允許將一種工具發(fā)現(xiàn)的漏洞形成另外一種工具的基礎(chǔ)。
Wikto:
可以說(shuō)這是一個(gè)Web服務(wù)器評(píng)估工具,它可以檢查Web服務(wù)器中的漏洞,并提供與Nikto一樣的很多功能,但增加了許多有趣的功能部分,如后端 miner和緊密的google集成。它為MS.NET環(huán)境編寫(xiě),但用戶需要注冊(cè)才能下載其二進(jìn)制文件和源代碼。
Acunetix Web Vulnerability Scanner :
這是一款商業(yè)級(jí)的Web漏洞掃描程序,它可以檢查Web應(yīng)用程序中的漏洞,如SQL注入、跨站腳本攻擊、身份驗(yàn)證頁(yè)上的弱口令長(zhǎng)度等。它擁有一個(gè)操作方便的圖形用戶界面,并且能夠創(chuàng)建專(zhuān)業(yè)級(jí)的Web站點(diǎn)安全審核報(bào)告。
Watchfire AppScan:
這也是一款商業(yè)類(lèi)的Web漏洞掃描程序。AppScan在應(yīng)用程序的整個(gè)開(kāi)發(fā)周期都提供安全測(cè)試,從而測(cè)試簡(jiǎn)化了部件測(cè)試和開(kāi)發(fā)早期的安全保證。它可以掃描許多常見(jiàn)的漏洞,如跨站腳本攻擊、HTTP響應(yīng)拆分漏洞、參數(shù)篡改、隱式字段處理、后門(mén)/調(diào)試選項(xiàng)、緩沖區(qū)溢出等等。
N-Stealth:
N-Stealth是一款商業(yè)級(jí)的Web服務(wù)器安全掃描程序。它比一些免費(fèi)的Web掃描程序,如Whisker/libwhisker、 Nikto等的升級(jí)頻率更高。還要注意,實(shí)際上所有通用的VA工具,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 掃描部件。N-Stealth主要為windows平臺(tái)提供掃描,但并不提供源代碼。
二、漏洞類(lèi)型及解決方法
1.1. Unix/linux漏洞
升級(jí)相應(yīng)產(chǎn)商的系統(tǒng)版本或查找對(duì)應(yīng)漏洞的補(bǔ)丁文件
1.2. OpenSSH漏洞
OpenSSH 輸入驗(yàn)證錯(cuò)誤漏洞(CVE-2019-16905)
OpenSSH 命令注入漏洞(CVE-2020-15778)
OpenSSH 安全漏洞(CVE-2021-28041)
修復(fù)建議:
一般也是升級(jí)相應(yīng)的OpenSSH版本
1.3Nginx漏洞
1.3.1導(dǎo)致拒絕服務(wù)漏洞
HTTP/2是超文本傳輸協(xié)議的第二版,主要用于保證客戶機(jī)與服務(wù)器之間的通信。HTTP/2中存在資源管理錯(cuò)誤漏洞。攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)
修復(fù)建議:
目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,詳情請(qǐng)關(guān)注廠商主頁(yè): https://http2.github.io/
1.3.2SSL證書(shū)漏洞
SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)
TLS是安全傳輸層協(xié)議,用于在兩個(gè)通信應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性。
TLS, SSH, IPSec協(xié)商及其他產(chǎn)品中使用的DES及Triple DES密碼存在大約四十億塊的生日界,這可使遠(yuǎn)程攻擊者通過(guò)Sweet32攻擊,獲取純文本數(shù)據(jù)
修復(fù)建議:
對(duì)于nginx、Apache、lighttpd等服務(wù)器禁止使用DES加密算法,主要是修改conf文件。
SSL/TLS 受誡禮(BAR-MITZVAH)攻擊漏洞(CVE-2015-2808)
SSL/TLS協(xié)議是一個(gè)被廣泛使用的加密協(xié)議,Bar Mitzvah攻擊實(shí)際上是利用了"不變性漏洞",這是RC4算法中的一個(gè)缺陷,它能夠在某些情況下泄露SSL/TLS加密流量中的密文,從而將賬戶用戶名密碼,信用卡數(shù)據(jù)和其他敏感信息泄露給黑客
修復(fù)方法:
禁止使用RC4算法
1、 Windows禁用RC4算法
(1)首先更新微軟發(fā)布的補(bǔ)丁
https://support.microsoft.com/en-us/topic/microsoft-security-advisory-update-for-disabling-rc4-479fd6f0-c7b5-0671-975b-c45c3f2c0540
(2)修改注冊(cè)表
使用regedit命令打開(kāi)注冊(cè)表,添加以下內(nèi)容進(jìn)行限制RC4
[HKEY_LOCAL_macHINE SYSTEM CurrentControlSet Control SecurityProviders SCHANNEL Ciphers RC4 128/128]
“Enabled”= dword:00000000
[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SecurityProviders SCHANNEL Ciphers RC4 40/128]
“Enabled”= dword:00000000
[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SecurityProviders SCHANNEL Ciphers RC4 56/128]
“Enabled”= dword:00000000
[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SecurityProviders SCHANNEL Ciphers RC4 64/128]
“Enabled”= dword:00000000
2、 禁止apache服務(wù)器使用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf
修改為如下配置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
重啟apache服務(wù)
3、 關(guān)于nginx加密算法
1.0.5及以后版本,默認(rèn)SSL密碼算法是HIGH:!aNULL:!MD5
0.7.65、0.8.20及以后版本,默認(rèn)SSL密碼算法是HIGH:!ADH:!MD5
0.8.19版本,默認(rèn)SSL密碼算法是 ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM
0.7.64、0.8.18及以前版本,默認(rèn)SSL密碼算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
低版本的nginx或沒(méi)注釋的可以直接修改域名下ssl相關(guān)配置為
ssl_ciphers “ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES
256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC
M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4”;
ssl_prefer_server_ciphers on;
需要nginx重新加載服務(wù)
4、 關(guān)于lighttpd加密算法
在配置文件lighttpd.conf中禁用RC4算法,例如:
ssl.cipher-list = “EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4”
重啟lighttpd 服務(wù)。
5、 Tomcat參考:
https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html
https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html
SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)
安全套接層(Secure Sockets Layer,SSL),一種安全協(xié)議,是網(wǎng)景公司(Netscape)在推出Web瀏覽器首版的同時(shí)提出的,目的是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性。SSL在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。傳輸層安全(Transport Layer Security),IETF對(duì)SSL協(xié)議標(biāo)準(zhǔn)化(RFC 2246)后的產(chǎn)物,與SSL 3.0差異很小。
SSL/TLS內(nèi)使用的RC4算法存在單字節(jié)偏差安全漏洞,可允許遠(yuǎn)程攻擊者通過(guò)分析統(tǒng)計(jì)使用的大量相同的明文會(huì)話,利用此漏洞恢復(fù)純文本信息。
修復(fù)建議:
禁用RC4算法,參考上一漏洞處理方法
1.3.3 弱密碼套件漏洞
解決方法:修改Nginx配置
ssl_protocols TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCSHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE;
ssl_prefer_server_ciphers on;
1.3.4 TLS協(xié)議漏洞
.解決方法:
把協(xié)議版本升高,意味不兼容老的套件協(xié)議,根據(jù)掃描出來(lái)的說(shuō)明修改TLSv版本
1.4 API參數(shù)漏洞
1、在請(qǐng)求地址后拼接參數(shù)
2、請(qǐng)求方式修改
.解決方法:
API接口參數(shù)簽名(MD5摘要算法),請(qǐng)求所有的參數(shù)進(jìn)行加密生成小于32位的摘要。前端程序在發(fā)送請(qǐng)求前首先對(duì)請(qǐng)求參數(shù)進(jìn)行MD5加密形成摘要(約定規(guī)則),后端收到請(qǐng)求后對(duì)請(qǐng)求參數(shù)進(jìn)行同前端相同的操作(MD5摘要),之后進(jìn)行前端形成的加密串與后端形成的加密串進(jìn)行比對(duì),如果相等則是合法請(qǐng)求,反之則非法請(qǐng)求。
1.5 應(yīng)用漏洞
1.5.1.盲LDAP注入(Blind LDAP Injection)
表現(xiàn)形式是將參數(shù)篡改成sql或其它的值,導(dǎo)致在執(zhí)行真實(shí)業(yè)務(wù)sql被注入了存在風(fēng)險(xiǎn)的sql
修復(fù)方式:
建議的修復(fù)方式是在sql拼接是盡量是采用占位符的形式設(shè)置sql的參數(shù),避免風(fēng)險(xiǎn)sql注入
1.5.2API 成批分配
表現(xiàn)形式:篡改了接口參數(shù)的key或值,并且接口成功響應(yīng)了
修復(fù)方式:
在參數(shù)傳遞時(shí)加上一個(gè)加密的摘要信息,后端通過(guò)統(tǒng)一的方法對(duì)摘要信息進(jìn)行驗(yàn)證
1.5.3.SQL注入 (Blind SQL Injection)
Veb程序中對(duì)于用戶提交的參數(shù)未做過(guò)濾直接拼接到sL語(yǔ)句中執(zhí)行,導(dǎo)致參數(shù)中的特殊字符破壞了SL語(yǔ)句原有邏輯,攻擊者可以利用該漏洞執(zhí)行任意sQL語(yǔ)句,如查詢(xún)數(shù)據(jù)、下載數(shù)據(jù)、寫(xiě)入webshell、執(zhí)行系統(tǒng)命令以及繞過(guò)登錄限制等。
修復(fù)方式:
在sql查詢(xún)的過(guò)程中不能采用sql字符拼接的方式,而應(yīng)該采用占位符的方式進(jìn)行sql查詢(xún)等操作
1.5.4反射式跨站點(diǎn)腳本(Reflected Cross Site Scripting)
表現(xiàn)形式:
在接口傳參中注入一段html或js腳本
修復(fù)方式:
此種問(wèn)題在修復(fù)的時(shí)候無(wú)法大規(guī)模的采用參數(shù)校驗(yàn)的方式進(jìn)行修復(fù),我們選擇在過(guò)濾中集中處理,利用工具類(lèi)對(duì)html標(biāo)簽或js的標(biāo)簽進(jìn)行轉(zhuǎn)義(HtmlUtils.htmlEscape(data)),具體實(shí)現(xiàn)可參考平臺(tái)1.0中的
com.szjz.common.utils.filter.NonlicetFilter。
1.5.5.鏈接注入(促進(jìn)跨站點(diǎn)請(qǐng)求偽造)
表現(xiàn)形式:
篡改接口傳參的值,進(jìn)行鏈接注入
修復(fù)方式:
此種問(wèn)題在修復(fù)的時(shí)候無(wú)法大規(guī)模的采用參數(shù)校驗(yàn)的方式進(jìn)行修復(fù),我們選擇在過(guò)濾中集中處理,利用工具類(lèi)對(duì)html標(biāo)簽或js的標(biāo)簽進(jìn)行轉(zhuǎn)義(HtmlUtils.htmlEscape(data))
————————————————
版權(quán)聲明:本文為CSDN博主「你頭發(fā)掉啦」的原創(chuàng)文章,遵循CC 4.0 BY-SA版權(quán)協(xié)議,轉(zhuǎn)載請(qǐng)附上原文出處鏈接及本聲明。
原文鏈接:
https://blog.csdn.net/qq_41831448/article/details/125142555
