专注Web及移动安全[红日安全83期]
字数 2516 2025-08-18 11:38:36

Web及移动安全综合教学文档

一、安全动态与漏洞预警

1.1 等保2.0新标准

  • 网络安全等级保护2.0标准更新要点
  • 扩展了保护对象范围(云计算、大数据、物联网等)
  • 强化了"一个中心、三重防护"的纵深防御体系
  • 增加了风险评估、安全监测、通报预警等要求

1.2 近期重要漏洞

  • CVE-2019-5018: Sqlite3窗口函数UAF漏洞

    • 影响范围:使用Sqlite3窗口函数的应用程序
    • 危害:可能导致任意代码执行

  • CNVD-C-2019-48814: WebLogic wls9-async反序列化漏洞

    • 漏洞组件:WebLogic wls9-async组件
    • 攻击方式:通过构造恶意序列化数据进行RCE攻击

1.3 入侵溯源技术

  • 常见溯源方法:
    • 日志分析(Web日志、系统日志、安全设备日志)
    • 网络流量分析
    • 恶意样本分析
    • 攻击路径还原
  • 关键点:时间线构建、攻击者画像、证据链完整

二、Web安全核心技术

2.1 Webshell攻防

2.1.1 Webshell免杀技术

  • 代码混淆方法:
    • 变量名随机化
    • 字符串编码/加密
    • 函数动态调用
  • 特征规避技术:
    • 避开常见危险函数
    • 使用非常规通信方式
    • 内存驻留技术

2.1.2 Webshell检测

  • 静态检测:特征码匹配、语法分析
  • 动态检测:行为监控、沙箱分析
  • 机器学习检测:基于行为模式的异常检测

2.2 文件上传绕过

  • 常见绕过技术:
    • 修改Content-Type
    • 双扩展名(.php.jpg)
    • 大小写变异(.PhP)
    • 空字节截断(%00)
    • 图片马注入
  • 防御方案:
    • 白名单验证
    • 文件内容检测
    • 重命名上传文件

2.3 JSON劫持攻击

  • 攻击原理:利用JSONP回调函数窃取数据
  • 攻击场景:
    • 敏感API接口未做访问控制
    • 使用JSONP跨域请求
  • 防御措施:
    • 禁用JSONP
    • 添加CSRF Token
    • 严格设置Content-Type

三、渗透测试技术

3.1 白名单绕过技术

3.1.1 基于Zipfldr.dll的执行

  • 技术原理:利用Windows自带的zip解压组件执行恶意代码
  • 攻击步骤:
    1. 构造特殊zip文件
    2. 通过zipfldr.dll加载恶意代码
    3. 绕过应用白名单限制

3.1.2 基于Ftp.exe的执行

  • 利用Windows FTP客户端执行命令
  • 技术要点:
    • 通过脚本文件(.scr)执行命令
    • 利用ftp -s参数执行脚本

3.2 端口转发与隧道技术

3.2.1 Portfwd端口转发

  • 应用场景:内网穿透、绕过防火墙
  • 常用工具:lcx、htran、netsh

3.2.2 HTTP隧道技术

  • ABPTTS

    • 基于HTTP/HTTPS的全功能隧道
    • 支持端口转发、SOCKS代理
    • 流量加密混淆

  • ReGeorg

    • 基于Web的SOCKS代理
    • 通过上传特定脚本建立隧道
    • 支持多种Web语言(ASPX/PHP/JSP)

3.3 MSF高级应用

  • 自定义Payload生成:
    • 编码器选择与配置
    • 规避杀软检测
    • 持久化机制设置
  • 无回显渗透:
    • 基于时间的盲注技术
    • DNS外带数据
    • 延时判断技术

四、安全工具与资源

4.1 渗透测试工具

  • Kaboom:自动化渗透测试框架

    • 功能模块:
      • 信息收集
      • 漏洞扫描
      • 漏洞利用
      • 后渗透
    • 特点:高度集成化、可扩展

  • AWVS 12:Web漏洞扫描器

    • 核心功能:
      • SQL注入检测
      • XSS检测
      • 文件包含检测
      • 配置审计
    • 高级特性:
      • 深度爬虫
      • 漏洞验证
      • 报告生成

4.2 Kali Linux渗透测试

4.2.1 信息收集阶段

  • 工具集:
    • Nmap:端口扫描
    • Recon-ng:综合侦察
    • theHarvester:企业信息收集
  • 关键点:
    • DNS枚举
    • 子域名爆破
    • 员工信息收集

4.2.2 漏洞扫描技术

  • 工具选择:
    • OpenVAS:综合漏洞扫描
    • Nikto:Web应用扫描
    • WPScan:WordPress专项扫描
  • 扫描策略:
    • 非破坏性扫描优先
    • 针对性插件选择
    • 扫描频率控制

五、代码审计技术

5.1 PHP代码审计

5.1.1 文件包含漏洞

  • 自包含技巧:
    • 通过__FILE__常量实现
    • 利用文件上传+包含组合攻击
  • 审计要点:
    • include/require参数可控
    • 路径穿越检测
    • 远程包含检测

5.1.2 PHPWIND审计案例

  • 常见漏洞点:
    • 模板注入
    • 未过滤的用户输入
    • 不安全的直接对象引用
  • 审计方法:
    • 危险函数追踪
    • 数据流分析
    • 权限校验检查

六、防御与最佳实践

6.1 企业安全建设

  • 员工安全培训要点:
    • 钓鱼邮件识别
    • 密码管理规范
    • 社会工程防范
  • 内部安全监控:
    • 异常行为检测
    • 数据泄露防护
    • 终端安全管理

6.2 安全开发实践

  • 安全编码规范:
    • 输入验证原则
    • 输出编码规范
    • 错误处理机制
  • 安全测试流程:
    • 静态代码分析
    • 动态应用测试
    • 渗透测试验证

七、新兴威胁与防御

7.1 无文件攻击技术

  • SQL Server Transact-SQL无文件攻击:
    • 利用特性:CLR集成、PowerShell调用
    • 攻击链:SQL注入→内存加载恶意代码
    • 防御:禁用不必要组件、严格权限控制

7.2 域名前置技术(Domain Fronting)

  • 工作原理:
    • 利用CDN域名解析特性
    • 隐藏真实C&C服务器
  • 检测方法:
    • TLS SNI监控
    • HTTP Host头分析
    • 流量行为分析

7.3 勒索病毒防护

  • CryptON勒索病毒特征:
    • 采用AES+RSA加密
    • 通过RDP爆破传播
    • 删除卷影副本
  • 防御措施:
    • 定期备份
    • 关闭不必要端口
    • 终端防护软件

八、学习资源与进阶

8.1 CTF入门指南

  • 学习路径:
    1. Web安全基础
    2. 逆向工程基础
    3. 密码学基础
    4. 二进制漏洞利用
  • 推荐资源:
    • CTF比赛平台(CTFHub、BugKu)
    • 漏洞实验环境(DVWA、WebGoat)

8.2 SQL注入深入研究

  • 高级注入技术:
    • 布尔盲注优化
    • 时间盲注精准控制
    • OOB(Out-of-Band)注入
  • 防御绕过:
    • 注释符变异
    • 等价函数替换
    • 编码混淆

本教学文档涵盖了Web及移动安全的核心知识点,从基础概念到高级技术均有涉及。建议学习者按照模块系统学习,并结合实际环境进行实践验证。安全技术更新迅速,需持续关注最新漏洞和防御技术发展。

Web及移动安全综合教学文档 一、安全动态与漏洞预警 1.1 等保2.0新标准 网络安全等级保护2.0标准更新要点 扩展了保护对象范围(云计算、大数据、物联网等) 强化了"一个中心、三重防护"的纵深防御体系 增加了风险评估、安全监测、通报预警等要求 1.2 近期重要漏洞 CVE-2019-5018 : Sqlite3窗口函数UAF漏洞 影响范围:使用Sqlite3窗口函数的应用程序 危害:可能导致任意代码执行 CNVD-C-2019-48814 : WebLogic wls9-async反序列化漏洞 漏洞组件:WebLogic wls9-async组件 攻击方式:通过构造恶意序列化数据进行RCE攻击 1.3 入侵溯源技术 常见溯源方法: 日志分析(Web日志、系统日志、安全设备日志) 网络流量分析 恶意样本分析 攻击路径还原 关键点:时间线构建、攻击者画像、证据链完整 二、Web安全核心技术 2.1 Webshell攻防 2.1.1 Webshell免杀技术 代码混淆方法: 变量名随机化 字符串编码/加密 函数动态调用 特征规避技术: 避开常见危险函数 使用非常规通信方式 内存驻留技术 2.1.2 Webshell检测 静态检测:特征码匹配、语法分析 动态检测:行为监控、沙箱分析 机器学习检测:基于行为模式的异常检测 2.2 文件上传绕过 常见绕过技术: 修改Content-Type 双扩展名(.php.jpg) 大小写变异(.PhP) 空字节截断(%00) 图片马注入 防御方案: 白名单验证 文件内容检测 重命名上传文件 2.3 JSON劫持攻击 攻击原理:利用JSONP回调函数窃取数据 攻击场景: 敏感API接口未做访问控制 使用JSONP跨域请求 防御措施: 禁用JSONP 添加CSRF Token 严格设置Content-Type 三、渗透测试技术 3.1 白名单绕过技术 3.1.1 基于Zipfldr.dll的执行 技术原理:利用Windows自带的zip解压组件执行恶意代码 攻击步骤: 构造特殊zip文件 通过zipfldr.dll加载恶意代码 绕过应用白名单限制 3.1.2 基于Ftp.exe的执行 利用Windows FTP客户端执行命令 技术要点: 通过脚本文件(.scr)执行命令 利用ftp -s参数执行脚本 3.2 端口转发与隧道技术 3.2.1 Portfwd端口转发 应用场景:内网穿透、绕过防火墙 常用工具:lcx、htran、netsh 3.2.2 HTTP隧道技术 ABPTTS : 基于HTTP/HTTPS的全功能隧道 支持端口转发、SOCKS代理 流量加密混淆 ReGeorg : 基于Web的SOCKS代理 通过上传特定脚本建立隧道 支持多种Web语言(ASPX/PHP/JSP) 3.3 MSF高级应用 自定义Payload生成: 编码器选择与配置 规避杀软检测 持久化机制设置 无回显渗透: 基于时间的盲注技术 DNS外带数据 延时判断技术 四、安全工具与资源 4.1 渗透测试工具 Kaboom :自动化渗透测试框架 功能模块: 信息收集 漏洞扫描 漏洞利用 后渗透 特点:高度集成化、可扩展 AWVS 12 :Web漏洞扫描器 核心功能: SQL注入检测 XSS检测 文件包含检测 配置审计 高级特性: 深度爬虫 漏洞验证 报告生成 4.2 Kali Linux渗透测试 4.2.1 信息收集阶段 工具集: Nmap:端口扫描 Recon-ng:综合侦察 theHarvester:企业信息收集 关键点: DNS枚举 子域名爆破 员工信息收集 4.2.2 漏洞扫描技术 工具选择: OpenVAS:综合漏洞扫描 Nikto:Web应用扫描 WPScan:WordPress专项扫描 扫描策略: 非破坏性扫描优先 针对性插件选择 扫描频率控制 五、代码审计技术 5.1 PHP代码审计 5.1.1 文件包含漏洞 自包含技巧: 通过 __FILE__ 常量实现 利用文件上传+包含组合攻击 审计要点: include/require参数可控 路径穿越检测 远程包含检测 5.1.2 PHPWIND审计案例 常见漏洞点: 模板注入 未过滤的用户输入 不安全的直接对象引用 审计方法: 危险函数追踪 数据流分析 权限校验检查 六、防御与最佳实践 6.1 企业安全建设 员工安全培训要点: 钓鱼邮件识别 密码管理规范 社会工程防范 内部安全监控: 异常行为检测 数据泄露防护 终端安全管理 6.2 安全开发实践 安全编码规范: 输入验证原则 输出编码规范 错误处理机制 安全测试流程: 静态代码分析 动态应用测试 渗透测试验证 七、新兴威胁与防御 7.1 无文件攻击技术 SQL Server Transact-SQL无文件攻击: 利用特性:CLR集成、PowerShell调用 攻击链:SQL注入→内存加载恶意代码 防御:禁用不必要组件、严格权限控制 7.2 域名前置技术(Domain Fronting) 工作原理: 利用CDN域名解析特性 隐藏真实C&C服务器 检测方法: TLS SNI监控 HTTP Host头分析 流量行为分析 7.3 勒索病毒防护 CryptON勒索病毒特征: 采用AES+RSA加密 通过RDP爆破传播 删除卷影副本 防御措施: 定期备份 关闭不必要端口 终端防护软件 八、学习资源与进阶 8.1 CTF入门指南 学习路径: Web安全基础 逆向工程基础 密码学基础 二进制漏洞利用 推荐资源: CTF比赛平台(CTFHub、BugKu) 漏洞实验环境(DVWA、WebGoat) 8.2 SQL注入深入研究 高级注入技术: 布尔盲注优化 时间盲注精准控制 OOB(Out-of-Band)注入 防御绕过: 注释符变异 等价函数替换 编码混淆 本教学文档涵盖了Web及移动安全的核心知识点,从基础概念到高级技术均有涉及。建议学习者按照模块系统学习,并结合实际环境进行实践验证。安全技术更新迅速,需持续关注最新漏洞和防御技术发展。