企业web应用系统渗透测试及防御方法(源码)【字数:10339】
摘 要由于目前的网络技术发展越来越强大,黑客们也将犯罪方向从以往对网络服务器的进攻逐渐移动到了对Web应用的进攻上,因此如何进行有效的安全性测试以保证Web应用程序的可靠性和安全性是非常有必要的。其中Web渗透测试是受信任的第三方进行的一种信息安全管理与评估的作业,它通过运用各种黑客攻击方法与攻击时使用的工具,对企业网络进行各种手段的攻击,以便找出系统存在的漏洞,给出网络系统存在的安全风险,是一种攻击模拟行为。本文主要研究Web渗透测试中有关文件上传与命令执行的攻击与防御,介绍了文件上传和命令执行的常见漏洞利用方式,模拟了黑客的攻击模式,最后总的给出关于Web服务器的系统防护,更清楚地意识到网络安全的重要性。
目录
一、引言 1
二、企业WEB应用系统渗透测试 1
(一)企业WEB应用现状及常见漏洞分析 1
1、企业WEB应用现状 1
2、常见漏洞分析 2
(二)文件上传漏洞攻击 4
1、任意文件上传 4
2、服务端验证绕过(ContentType 类型绕过) 6
3、前端JS验证绕过 11
4、服务端黑名单绕过 14
5、.htaccess绕过 16
(三) 命令执行漏洞攻击 20
三、 企业WEB应用系统常见漏洞防御措施 23
(一) 文件上传防御措施 23
1、 检查扩展名 23
2、 文件重命名&路径不可知 23
3、.htaccess防御 25
(二) 命令执行防御措施 25
四、Web服务器系统防护 25
(一) 系统开发阶段防护 25
(二) 系统运行阶段的防护 25
(三) 系统维护阶段的防护 26
五、总结 26
致谢 27
参考文献 28
一、引言
背景
在互联网刚开始发展的时候,大家都使用IE浏览器的时期,大家连入互联网的目的很明确,也很单纯,主要是通过互联网,利用浏览器分享生活、获取新闻、学习知识。但是随着互联网这些年不断的发展壮大,现在的浏览 *好棒文|www.hbsrm.com +Q: @351916072@
器网页能做的事情越来越多,除了获取新闻信息,我们还可以玩游戏,网上购物,网上聊天等等,这些功能都更加丰富了我们的互联网世界。
同时,随着网页的功能越来越多,给我们提供网页服务的企业也逐渐增加,这时就出现了一种高技术犯罪人员,也就是我们俗称的“黑客”,他们试图利用自己所学的知识,通过一系列的技术手段来牟取不当利益。他们可以通过sql注入漏洞,从而获取企业web服务器的数据库内容,可以通过文件上传漏洞上传木马文件,从而控 制企业web服务器。这些都会让企业造成重大经济损失,同时用户个人信息及隐私也得不到安全保障
渗透测试的意义
渗透测试就是模拟了黑客的攻击方式,对企业系统的安全性进行全面的测试所以可以从漏洞攻击的方向对渗透测试的内容进行全面的分析。发现最终Web遭受攻击源头,保障Web页面安全。
二、企业WEB应用系统渗透测试
(一)企业WEB应用现状及常见漏洞分析
1、企业WEB应用现状
企业中对于互联网方面的发展也越来越重视,企业中web服务器以及应用系统也是逐渐发展成熟,随着人工智能、5G、大数据、云计算等新兴技术的加入,企业面临的安全问题日益增加,企业互联网安全以及国家网络安全已经上升到国际层面,网络风险的升级,让政府、企业和个人都对该风险更加关注重视,各国也纷纷颁布了信息安全保护方面的法律法规。
企业或面临的信息安全风险或者网络威胁主要由以下几种形式:
(1)web网页内容篡改,网站入侵
体现方式:互联网不法人员利用web网页漏洞对其内容进行篡改,利用服务器或者系统漏洞侵入网站。
影响:侵入网站内部后可以挂黑页,甚至标明一些反动的语言,对企业及政府造成了严重的负面影响以及政治影响,阻碍了企业正常业务发展,造成严重经济损失。
(2)数据泄漏
体现方式:互联网不法人员利用WEB服务器的漏洞侵入服务器,控制服务器以达到获取企业数据的目的
影响:企业在业务发展与运营中积累了大量用户的个人信息数据,甚至还有企业内部产品研发的核心数据,这些遭到互联网不法人员的攻击后,流露在外可用于非法用途,如诈骗等等。如果产品研发的核心数据遭到外泄,则会造成严重的商业犯罪,造成重大经济损失。
(3)网络勒索
体现形式:互联网不法人员利用WEB服务器系统漏洞或者服务器漏洞侵入企业内部网络,利用网络勒索软件进行攻击,对其企业内部员工的文档或者相关数据进行加密,需要企业方支付一定金额后即可解锁数据。
影响:网络勒索严重造成企业瘫痪,停止工作,造成企业内部恐慌以及严重的经济损失。
(4)分布式拒绝服务供给
体现形式:企业WEB服务器受到来自多个站点的一起攻击,使得WEB服务器需要回复大量的信息,消耗网络资源和带宽,导致WEB服务器瘫痪。
影响:WEB服务器瘫痪导致WEB服务器无法正常提供服务,进行的订单可能被中止,严重影响业务进行,造成严重的经济损失。
2、常见漏洞分析
(1)文件上传漏洞概述
文件上传是企业WEB服务中不可或缺的功能,通常对于企业的正常业务进行以及运营的网站来说,必定会有一些模块是用来给用户注册账号登录账号的,而用户注册了账号就可以使用企业WEB服务器提供的服务,而通常企业运营的网站有很多地方是可能需要用户上传一些文件,图片,音频到服务器中,我们常见的就是账号头像上传更换。文件上传本身没有问题,出现问题的地方在于用户上传的文件是不是恶意文件,如果有恶意程序、服务器解析后,对其进行处理就将会使得系统不安全,出现严重的后果。如果没有对文件上传进行很好的限制,网上不法分子就会利用上传恶意文件,服务器对其进行解析,从而攻击者就能获得服务器的控制权。
文件上传漏洞常见的几种类型分类如图21所示。
目录
一、引言 1
二、企业WEB应用系统渗透测试 1
(一)企业WEB应用现状及常见漏洞分析 1
1、企业WEB应用现状 1
2、常见漏洞分析 2
(二)文件上传漏洞攻击 4
1、任意文件上传 4
2、服务端验证绕过(ContentType 类型绕过) 6
3、前端JS验证绕过 11
4、服务端黑名单绕过 14
5、.htaccess绕过 16
(三) 命令执行漏洞攻击 20
三、 企业WEB应用系统常见漏洞防御措施 23
(一) 文件上传防御措施 23
1、 检查扩展名 23
2、 文件重命名&路径不可知 23
3、.htaccess防御 25
(二) 命令执行防御措施 25
四、Web服务器系统防护 25
(一) 系统开发阶段防护 25
(二) 系统运行阶段的防护 25
(三) 系统维护阶段的防护 26
五、总结 26
致谢 27
参考文献 28
一、引言
背景
在互联网刚开始发展的时候,大家都使用IE浏览器的时期,大家连入互联网的目的很明确,也很单纯,主要是通过互联网,利用浏览器分享生活、获取新闻、学习知识。但是随着互联网这些年不断的发展壮大,现在的浏览 *好棒文|www.hbsrm.com +Q: @351916072@
器网页能做的事情越来越多,除了获取新闻信息,我们还可以玩游戏,网上购物,网上聊天等等,这些功能都更加丰富了我们的互联网世界。
同时,随着网页的功能越来越多,给我们提供网页服务的企业也逐渐增加,这时就出现了一种高技术犯罪人员,也就是我们俗称的“黑客”,他们试图利用自己所学的知识,通过一系列的技术手段来牟取不当利益。他们可以通过sql注入漏洞,从而获取企业web服务器的数据库内容,可以通过文件上传漏洞上传木马文件,从而控 制企业web服务器。这些都会让企业造成重大经济损失,同时用户个人信息及隐私也得不到安全保障
渗透测试的意义
渗透测试就是模拟了黑客的攻击方式,对企业系统的安全性进行全面的测试所以可以从漏洞攻击的方向对渗透测试的内容进行全面的分析。发现最终Web遭受攻击源头,保障Web页面安全。
二、企业WEB应用系统渗透测试
(一)企业WEB应用现状及常见漏洞分析
1、企业WEB应用现状
企业中对于互联网方面的发展也越来越重视,企业中web服务器以及应用系统也是逐渐发展成熟,随着人工智能、5G、大数据、云计算等新兴技术的加入,企业面临的安全问题日益增加,企业互联网安全以及国家网络安全已经上升到国际层面,网络风险的升级,让政府、企业和个人都对该风险更加关注重视,各国也纷纷颁布了信息安全保护方面的法律法规。
企业或面临的信息安全风险或者网络威胁主要由以下几种形式:
(1)web网页内容篡改,网站入侵
体现方式:互联网不法人员利用web网页漏洞对其内容进行篡改,利用服务器或者系统漏洞侵入网站。
影响:侵入网站内部后可以挂黑页,甚至标明一些反动的语言,对企业及政府造成了严重的负面影响以及政治影响,阻碍了企业正常业务发展,造成严重经济损失。
(2)数据泄漏
体现方式:互联网不法人员利用WEB服务器的漏洞侵入服务器,控制服务器以达到获取企业数据的目的
影响:企业在业务发展与运营中积累了大量用户的个人信息数据,甚至还有企业内部产品研发的核心数据,这些遭到互联网不法人员的攻击后,流露在外可用于非法用途,如诈骗等等。如果产品研发的核心数据遭到外泄,则会造成严重的商业犯罪,造成重大经济损失。
(3)网络勒索
体现形式:互联网不法人员利用WEB服务器系统漏洞或者服务器漏洞侵入企业内部网络,利用网络勒索软件进行攻击,对其企业内部员工的文档或者相关数据进行加密,需要企业方支付一定金额后即可解锁数据。
影响:网络勒索严重造成企业瘫痪,停止工作,造成企业内部恐慌以及严重的经济损失。
(4)分布式拒绝服务供给
体现形式:企业WEB服务器受到来自多个站点的一起攻击,使得WEB服务器需要回复大量的信息,消耗网络资源和带宽,导致WEB服务器瘫痪。
影响:WEB服务器瘫痪导致WEB服务器无法正常提供服务,进行的订单可能被中止,严重影响业务进行,造成严重的经济损失。
2、常见漏洞分析
(1)文件上传漏洞概述
文件上传是企业WEB服务中不可或缺的功能,通常对于企业的正常业务进行以及运营的网站来说,必定会有一些模块是用来给用户注册账号登录账号的,而用户注册了账号就可以使用企业WEB服务器提供的服务,而通常企业运营的网站有很多地方是可能需要用户上传一些文件,图片,音频到服务器中,我们常见的就是账号头像上传更换。文件上传本身没有问题,出现问题的地方在于用户上传的文件是不是恶意文件,如果有恶意程序、服务器解析后,对其进行处理就将会使得系统不安全,出现严重的后果。如果没有对文件上传进行很好的限制,网上不法分子就会利用上传恶意文件,服务器对其进行解析,从而攻击者就能获得服务器的控制权。
文件上传漏洞常见的几种类型分类如图21所示。
版权保护: 本文由 hbsrm.com编辑,转载请保留链接: www.hbsrm.com/jsj/rjgc/176.html
