1. 目录遍历

    • 在搜索引擎里搜"Index of"
    • 由于文件名可以任意更改而服务器支持“ ~/” ,“ /..” 等特殊符号的目录回溯,从而使攻击者越权访问或者覆盖敏感数据,如网站的配置文件、系统的核心文件

  1. 任意文件下载和读取

    • 任意文件读取和下载漏洞隐藏一般在文件读取或者展示图片功能块这样的通过参数提交上来的文件名,从这可以看出来过滤交互数据是完全有必要的。恶意攻击者当然后会利用对文件的读取权限进行跨越目录访问,比如访问一些受控制的文件," ../../../../../../../etc/passwd“ 或者” ../../../../boot.ini“

    • 绕过:

      • 加密参数传递的数据;在Web应用程序对文件名进行加密之后再提交,比如:“ downfile.jsp?filename= ZmFuLnBkZg- “ ,在参数filename用的是Base64加密,而攻击者要想绕过,只需简单的将文件名加密后再附加提交即可。所以说,采用一些有规律或者轻易能识别的加密方式,也是存在风险的。
      • 编码绕过,尝试使用不同的编码转换进行过滤性的绕过,比如Url编码,通过对参数进行Url编码提交,“ downfile.jsp?filename=%66%61%6E%2E%70%64%66“ 来绕过。
      • 目录限定绕过;在有些Web应用程序是通过限定目录权限来分离的。当然这样的方法不值得可取的,攻击者可以通过某些特殊的符号“ ~“ 来绕过。形如这样的提交“ downfile.jsp?filename=~/../boot” 。能过这样一个符号,就可以直接跳转到硬盘目录
      • 绕过文件后缀过滤;一些Web应用程序在读取文件前,会对提交的文件后缀进行检测,攻击者可以在文件名后放一个空字节的编码,来绕过这样的文件类型的检查。例如:../../../../boot.ini%00.jpg,Web应用程序使用的Api会允许字符串中包含空字符,当实际获取文件名时,则由系统的Api会直接截短,而解析为“ ../../../../boot.ini” 。在类Unix的系统中也可以使用Url编码的换行符,例如:../../../etc/passwd%0a.jpg如果文件系统在获取含有换行符的文件名,会截短为文件名。也可以尝试%20,例如: ../../../index.jsp%20。
      • 绕过来路验证。在一些Web应用程序中,会有对提交参数的来路进行判断的方法,而绕过的方法可以尝试通过在网站留言或者交互的地方提交Url再点击或者直接修改HttpReferer即可,这主要是原因Http Referer是由客户端浏览器发送的,服务器是无法控制的,而将此变量当作一个值得信任源是错误的。

    • 常见的编码方式:base64编码和URL编码

    • 防范:

      • 任意文件读取和下载漏洞的方法中,最有效的是权限的控制,谨慎的处理向文件系统API传递过来的参数路径。主要是因为大多数的目录或者文件权限均没有得到合理的配置,而Web应用程序对文件的读取大多依赖于系统本身的API,在参数传递的过程,如果没有得严谨的控制,则会出现越权现象的出现。在这种情况下,Web应用程序可以采取以下防御方法,最好是组合使用。
      • 数据净化,对网站用户提交过来的文件名进行硬编码或者统一编码,对文件后缀进行白名单控制,对包含了恶意的符号或者空字节进行拒绝。
      • Web应用程序可以使用chrooted环境访问包含被访问文件的目录,或者使用绝对路径+参数来控制访问目录,使其即使是越权或者跨越目录也是在指定的目录下。

  2. 越权访问:

    • 在未登录状态下直接访问后台文件,若存在越权漏洞则可直接访问

    • 越权漏洞主要发生在后台,可以对后台常见的文件进行猜解访问,常见的后台文件:

      • Left.asp(后缀更具网站支持的语言判断)
      • Right.asp,main.asp,system_main.asp,passwordupdate.asp
      • Admin_main.asp,admin_list.asp,upload.asp,upfile.asp等

    • 越权防范:应从代码中进行有效的验证,尽量使用session验证

  3. 命令执行:没有针对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造语句提交,并交由服务器端执行。命令注入攻击中WEB服务器没有过滤类似system(),eval(),exec()等函数是该漏洞攻击成功的最主要原因。

    • 命令执行的防御:

      • php中用于执行系统命令的函数:system,exec,passthru,shell_exec,popen,proc_open,pcntl_exec
      • 一般而言在web应用中是不会调用系统命令的!所以一般服务器管理员都会在php.ini 中disable_functions禁止这些函数!
      • 建议假定所有输入都是可疑的,尝试对所有输入提交可能执行命令的构造语句进行严格的检查或者控制外部输入,系统命令执行函数的参数不允许外部传递。• 不仅要验证数据的类型,还要验证其格式、长度、范围和内容。• 对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查。

  4. 心脏出血

  5. Padding Oracle Atack