05-Web源碼拓展

Web源碼拓展

一、前言：

為什麼要從 WEB 層面為主為首？

WEB 源碼在安全測試中是非常重要的資訊來源，可以用來代碼審計漏洞也可以用來做資訊突破口，其中 WEB 源碼有很多技術需要簡明分析。
           

知識點

• 關于 WEB 源碼目錄結構
• 關于 WEB 源碼腳本類型
• 關于 WEB 源碼應用分類
• 關于 WEB 源碼其他說明

資訊敏感點

• 敏感目錄結構：資料庫配置檔案，背景目錄，模版目錄，資料庫目錄等
• web腳本類型：ASP,PHP,ASPX,JSP,JAVAWEB 等腳本類型源碼
• 應用分類：社交，論壇，門戶，第三方，部落格等不同的代碼機制對應漏洞
• 開源，未開源問題，架構非架構問題，關于 CMS 識别問題及後續等
• 關于源碼擷取的相關途徑：搜尋，鹹魚淘寶，第三方源碼站

web組成架構：

• 網站源碼：分腳本類型，分應用方向
• 作業系統：windows Linux
• 中間件（搭建平台）：apache ，iis， tomcat ，nginx等
• 資料庫：access，mysql，mssql，oracle，sybase，db2，postsql等

二、知識點：

1.WEB 相關安全漏洞

• WEB 源碼類對應漏洞：SQL 注入，上傳，XSS，代碼執行，變量覆寫，邏輯漏洞，反序列化等
• WEB 中間件對應漏洞：未授權通路，變量覆寫…
• WEB 資料庫對應漏洞：弱密碼，權限提升…
• WEB 系統層對應漏洞：提權，遠端代碼執行
• 其他第三方對應漏洞
• APP 或 PC 應用結合類

2.關于Web源碼目錄結構

資料庫配置檔案，背景目錄，模闆目錄，資料庫目錄等

index.php 根據檔案字尾判定

admin 網站背景路徑

data 資料相關目錄

install 安裝目錄

member 會員目錄

template 模闆目錄(和網站相關的整體架構)

data => confing.php 資料庫配置檔案，網站和資料庫的通訊資訊，連接配接賬号密碼，可以去連接配接對方資料庫，從資料庫去得到這個網站的源碼裡面涉及到的管理者的賬号密碼。

3.關于Web源碼腳本類型

• ASP,PHP,ASPX,JSP,JAVAWEB等腳本類型源碼安全問題

• 關于Web源碼應用分類

  社交，論壇，門戶，第三方，部落格等不同的代碼機制對應漏洞,根據目标應用采取不同的手段。

• 開源，未開源問題，架構非架構問題，關于CMS識别問題及後續等
• 總結：拿到對方的源碼或者判斷這個網站的應用類型之後應該側重在哪些漏洞上做文章
• 關注應用分類及腳本類型估摸出可能存在的漏洞(其中架構類例外)，在擷取源碼後可進行本地安全測試或代碼審計，也可以分析其目錄工作原理(資料庫備份，bak檔案等)，未擷取到的源碼采用各種方法想辦法擷取!

三、示範案例

案例一：ASP,PHP 等源碼下安全測試

• 通路網站，随意點開，檢視字尾，判定程式。

• 網站底部關鍵詞XYCMS

搜尋XYCMS，下載下傳

• 下載下傳打開之後找尋關鍵資料庫路徑檔案xydata，找到檔案xycms.mdb(asp特有檔案)

• 檔案裡存有管理者的賬号密碼

• 根據下載下傳的源碼路徑，嘗試去通路網站目錄 http://xxx.xxx.xxx.xxx:8003/xydata/xycms.mdb,下載下傳到檔案
• 嘗試通路到背景 system或admin,根據剛才得到的管理者賬号密碼就可以登入

案例二：平台識别-某CMS有漏洞-漏洞利用

1. 先判斷網站程式

1. 根據底部資訊去網站搜尋漏洞

1. 根據搜尋到的漏洞提示來進行安全測試攻擊，如果網上沒有漏洞資訊，也可以下載下傳程式再做漏洞分析

案例三：源碼應用分類下的針對漏洞

十大漏洞之邏輯漏洞

簡介：

在十大漏洞中，邏輯漏洞被稱為“不安全的對象引用，和功能級通路控制缺失”。現如今，越權和邏輯漏洞占用比例比較高，包括任意查詢使用者資訊，重置任意使用者密碼，驗證碼爆破等。

邏輯漏洞是指攻擊者利用業務/功能上的設計缺陷，擷取敏感資訊或破壞業務的完整性。一般出現在密碼修改，确權通路，密碼找回，交易支付金額等功能處。

邏輯漏洞的破壞方式并非是向程式添加破壞内容，而是利用邏輯處理不嚴密或者代碼問題或固有不足，操作上并不影響程式的允許，在邏輯上是順利執行的。

這種漏洞一般防護手段或裝置無法阻止，因為走的是合法流量也沒有防禦标準。

一分錢購買商品

實驗原理：

利用邏輯漏洞，修改内部源代碼

一句話概括來說：

攻擊者可能使用很少的錢來換取貴重的商品，也就是“四兩撥千斤”

實驗工具：

kali系統：浏覽器安裝FoxyProxy ，Burpsuite

windows：下載下傳安裝phpstudy，模拟購物網站

實驗步驟：

1. window開啟靶場

   将建構好的網址放到phpstudy配置下www目錄下，然後開啟phpstudy服務。

   

2. kali配置

   首先啟動火狐浏覽器，然後點選進入擴充與主題

   

   然後在搜尋框上輸入FoxyProxy

搜尋結果傳回的第一個就是我們要添加的代理插件

打開浏覽器安裝插件FoxyProxy，點選OPtions

輸入代理的IP位址：127.0.0.1和端口号：8080

啟動

1. kali打開軟體burpsuite，然後浏覽器，進入網址

intercept is off 抓包為關閉狀态

1. kali浏覽器進入靶場，付款時抓取流量修改值

1. 修改值，點選forward應用。

   

案例4：簡要目标從識别到源碼擷取

• 本地示範個人部落格-手工發現其CMS-漏洞搜尋或下載下傳分析

  右鍵-檢查源代碼，通過對網站資料包的請求，看一下在請求網站的時候有哪些檔案名和特殊的檔案

  

• 在google搜尋