Web安全测试基础-3

新书

速递

吴老的java版《selenium webdriver 实战宝典》和python版《selenium Webdriver 3.0 自动化测试框架实战指南》出版了,代码拿来就能用。

文 | 李文祥

一、Web安全漏洞概念及原理分析

1.3

命令执行漏洞

漏洞产生原因:程序中因为某些功能需要执行系统命令,并通过网页传递参数到 后台执行。然而最根本的原因是没有对输入框的内容做代码过滤,正常情况下输 入框只能接收指定类型的数据。

漏洞影响:命令注入漏洞可以使攻击在受攻击的服务器上执行任意的系统命令。

示例:

正常情况下,在 ip 地址输入框中输入 127.0.0.1,结果如下:

但是,当我们输入 127.0.0.1&&net user 时,输出结果如下:

结果显示不仅仅执行了 ping 127.0.0.1 操作,而且也执行了 net user 命令,我们可 以把 net user 换成其他任意命令进行攻击。

1.4

跨站请求伪造(CSRF)

概念:Cross-Site request forgery,利用用户已登录的身份,在用户毫不知情的情 况下,以用户的名义完成非法操作。

CSRF 攻击迫使终端用户在通过验证后 web 应用中执行不必要的操作。在社会工 程帮助下(如通过电子邮件/聊天发送的链接),攻击者可能会迫使 Web 应用程序 用户执行攻击者所选择的行动。

危害:执行恶意操作(“被转账”、“被发表垃圾评论”等)、制造蠕虫等 漏洞影响:当一个成功的 CSRF 漏洞的目标是普通用户时,它能够危害终端用户 的数据操作。但如果最终的目标用户是管理员账户,一个 CERF 攻击可以损害整 个 Web 应用程序。

示例:

如下,正常修改密码页面,New password 输入 test,Confirm new password 输入 test,然后提交,密码修改成功。

我们发现,这个修改密码的请求为 “ http://10.4.70.188/DVWA-1.9/vulnerabilities/csrf/?password_new=test&password_ conf=test&Change=Change ”, 此 时 , 我 们 打 开 新 的 窗 口 , 修 改 password_new=password 和 password_conf=password,访问显示如下:

此时,密码已经被修改成功,如果该 URL 被黑客通过电子邮件或其他途径精心 伪造,诱惑你触发点击,则可直接修改当前用户配置,后果不堪设想。

下期预告

文件上传漏洞

安装喜马拉雅app,搜索“光荣之路”可以收听吴老和他的朋友们分享的35小时测试知识语音

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171220B0XREH00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券