专注Web及移动安全[红日安全71期]
字数 1577 2025-08-18 11:37:57

Web及移动安全综合教学文档

一、Web安全核心知识

1.1 文件上传漏洞

  • 漏洞原理:未严格校验上传文件类型、内容及路径
  • 攻击方式
    • 上传WebShell脚本(如.php, .jsp)
    • 利用解析漏洞(如IIS6.0分号截断)
    • 修改Content-Type绕过检测
  • 防御措施
    • 白名单文件类型校验
    • 文件内容检测(魔术字节)
    • 随机重命名上传文件
    • 禁用脚本执行权限

1.2 XXE漏洞(XML External Entity)

  • 攻击场景
    • 读取服务器敏感文件(file:///etc/passwd)
    • 发起SSRF攻击
    • 拒绝服务攻击
  • 利用方式
    <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<foo>&xxe;</foo>
  • 防护方案
    • 禁用外部实体(DISABLE_DTD)
    • 使用JSON替代XML
    • 输入过滤<!DOCTYPE<!ENTITY

1.3 WAF绕过技术

  • 数据库特性利用
    • Oracle:使用CHR()函数替代引号
    • Access:利用IIF条件语句
  • 编码混淆
    • 十六进制编码(0x前缀)
    • URL双重编码
    • Unicode规范化
  • 注释分割
    SELECT/*!50000*/user FROM/*!50000*/admin

二、移动安全专题

2.1 Android Hook技术

  • Xposed框架
    • 原理:替换/system/bin/app_process
    • 关键API:
      • XposedHelpers.findAndHookMethod
      • XC_MethodReplacement
  • Frida工具链
    • 动态插桩技术
    • JavaScript脚本注入
    • 内存dump分析

2.2 iOS安全测试

  • 工具集
    • bfinject:非越狱环境注入
    • class-dump:提取头文件信息
    • Cycript:运行时分析
  • 防护方案
    • SSL Pinning防中间人
    • 反调试检测(ptrace)
    • 代码混淆(OLLVM)

三、渗透测试方法论

3.1 标准流程

  1. 信息收集
    • 子域名枚举(Sublist3r)
    • 端口扫描(Masscan/Nmap)
  2. 漏洞探测
    • 自动化扫描(Burp Suite)
    • 手工验证(HTTP头注入)
  3. 权限提升
    • Linux内核漏洞提权(DirtyCow)
    • Windows服务权限滥用

3.2 内网渗透要点

  • 横向移动技术
    • Pass-the-Hash攻击
    • 445端口利用(EternalBlue)
    • 票据传递攻击(Kerberoasting)
  • 隐蔽通道
    • DNS隧道(dnscat2)
    • ICMP隐蔽通信

四、代码审计技术

4.1 PHP审计要点

  • 危险函数
    • 文件操作:include/require
    • 命令执行:system/exec
    • 反序列化:unserialize
  • 典型漏洞
    • ECShop注入漏洞: 
      $sql = "SELECT * FROM ".$ecs->table('goods')." WHERE goods_id = '$id'";

4.2 ASP审计要点

  • 敏感组件
    • FileSystemObject文件操作
    • ADODB.Connection数据库连接
  • 防护缺失
    • 未过滤Request.QueryString
    • 硬编码数据库凭据

五、安全工具集

5.1 Web扫描器

  • Sitadel
    • 支持多种指纹识别
    • 自动化漏洞探测
    • 可视化报告输出

5.2 取证工具

  • Foremost
    • 文件头恢复技术
    • 支持300+文件格式
    • 磁盘镜像分析

六、漏洞管理

6.1 漏洞跟踪

  • CVE分析流程
    1. 漏洞复现环境搭建
    2. 利用代码分析
    3. 补丁对比研究

6.2 等级保护要点

  • 等保2.0变化
    • 新增云计算安全要求
    • 强化风险评估
    • 细化无线安全控制项

七、防御体系建设

7.1 HIDS部署

  • 检测规则
    • 敏感文件修改监控
    • 异常进程行为检测
    • 网络连接审计

7.2 WAF策略

  • 规则优化
    • 误报率统计调整
    • 语义分析引擎
    • 机器学习模型

附录:相关CVE漏洞参考

  • CVE-2019-6707:SQL注入漏洞
  • CVE-2019-6708:命令执行漏洞
  • phpMyAdmin 4.8.5修复漏洞清单
Web及移动安全综合教学文档 一、Web安全核心知识 1.1 文件上传漏洞 漏洞原理 :未严格校验上传文件类型、内容及路径 攻击方式 : 上传WebShell脚本(如.php, .jsp) 利用解析漏洞(如IIS6.0分号截断) 修改Content-Type绕过检测 防御措施 : 白名单文件类型校验 文件内容检测(魔术字节) 随机重命名上传文件 禁用脚本执行权限 1.2 XXE漏洞(XML External Entity) 攻击场景 : 读取服务器敏感文件( file:///etc/passwd ) 发起SSRF攻击 拒绝服务攻击 利用方式 : 防护方案 : 禁用外部实体(DISABLE_ DTD) 使用JSON替代XML 输入过滤 <!DOCTYPE 和 <!ENTITY 1.3 WAF绕过技术 数据库特性利用 : Oracle:使用 CHR() 函数替代引号 Access:利用 IIF 条件语句 编码混淆 : 十六进制编码( 0x 前缀) URL双重编码 Unicode规范化 注释分割 : 二、移动安全专题 2.1 Android Hook技术 Xposed框架 : 原理:替换 /system/bin/app_process 关键API: XposedHelpers.findAndHookMethod XC_MethodReplacement Frida工具链 : 动态插桩技术 JavaScript脚本注入 内存dump分析 2.2 iOS安全测试 工具集 : bfinject:非越狱环境注入 class-dump:提取头文件信息 Cycript:运行时分析 防护方案 : SSL Pinning防中间人 反调试检测(ptrace) 代码混淆(OLLVM) 三、渗透测试方法论 3.1 标准流程 信息收集 : 子域名枚举(Sublist3r) 端口扫描(Masscan/Nmap) 漏洞探测 : 自动化扫描(Burp Suite) 手工验证(HTTP头注入) 权限提升 : Linux内核漏洞提权(DirtyCow) Windows服务权限滥用 3.2 内网渗透要点 横向移动技术 : Pass-the-Hash攻击 445端口利用(EternalBlue) 票据传递攻击(Kerberoasting) 隐蔽通道 : DNS隧道(dnscat2) ICMP隐蔽通信 四、代码审计技术 4.1 PHP审计要点 危险函数 : 文件操作: include / require 命令执行: system / exec 反序列化: unserialize 典型漏洞 : ECShop注入漏洞: 4.2 ASP审计要点 敏感组件 : FileSystemObject 文件操作 ADODB.Connection 数据库连接 防护缺失 : 未过滤 Request.QueryString 硬编码数据库凭据 五、安全工具集 5.1 Web扫描器 Sitadel : 支持多种指纹识别 自动化漏洞探测 可视化报告输出 5.2 取证工具 Foremost : 文件头恢复技术 支持300+文件格式 磁盘镜像分析 六、漏洞管理 6.1 漏洞跟踪 CVE分析流程 : 漏洞复现环境搭建 利用代码分析 补丁对比研究 6.2 等级保护要点 等保2.0变化 : 新增云计算安全要求 强化风险评估 细化无线安全控制项 七、防御体系建设 7.1 HIDS部署 检测规则 : 敏感文件修改监控 异常进程行为检测 网络连接审计 7.2 WAF策略 规则优化 : 误报率统计调整 语义分析引擎 机器学习模型 附录 :相关CVE漏洞参考 CVE-2019-6707:SQL注入漏洞 CVE-2019-6708:命令执行漏洞 phpMyAdmin 4.8.5修复漏洞清单