hvv蓝初面试常见漏洞问题（下）

hvv蓝初面试常见漏洞问题（上）

6.ssrf

服务端伪造请求

原理

服务端提供了向其他服务器应用获取数据的功能，而没有对目标地址做任何过滤和限制。攻击者进而利用其对内部资源进行攻击。（通俗来说：就是攻击者可以伪造服务端发起请求，从而获取客户端所不能获取的数据）

常用协议

php：

1. http：超文本传输协议
2. https：安全超文本传输协议
3. file：本地文件系统协议，用于在本地文件系统中访问文件
4. gopher：用于在网络上传输文本和相关信息资源
5. dict：字典处查询协议，探测内网主机，探测端口的开放情况和指纹信息
6. ldap：用于在网络上访问和管理目录服务。常用于企业和组织中的用户身份验证和授权管理等
7. ftp：文件传输协议，用于网络上传文件
8. ssh：安全shell协议，用于远程服务器管理
9. telnet：远程控制协议，用于远程访问和控制计算机和网络设备

java：

1. http、https、file、ftp
2. jar：使用 Jar 包协议访问 Java 应用程序的 Jar 文件资源
3. rmi:// - 使用 Java 远程方法调用协议进行远程方法调用
4. mailto：用于在邮件客户端和邮件服务器之间传递电子邮件的标准协议。在 SSRF 攻击中，攻击者可以使用 mailto 协议向指定的电子邮件地址发送恶意内容

存在在那些功能中:

1. 文章分享
2. 图片下载或加载
3. 从远处服务请求资源

利用

1. 端口扫描（可扫描内网，本地等设备，可通过端口banner信息进行判断）
2. 对内网，本地运行的程序进行溢出攻击等
3. 获取本地文件（file协议）
4. 对内网，外网的web应用进行攻击（get提交）
5. 内网应用指纹识别（通过判断特定文件来识别web应用使用的框架，平台，模块及CMS等）

绕过

1. 使用ip地址代替url
2. 利用dns重绑定：欺骗dns解析器，将特定域名解析为不同的ip地址
3. 利用url编码和转义
4. 利用协议的特殊性，例如file协议直接读取本地文件

防护

1. 对用户输入的url参数进行白名单过滤和限制
2. 对url中的协议和域名进行验证，禁用不必要的字符和协议
3. 对外部请求进行限制过滤，限制远程服务器的端口和服务
4. 限制应用程序内部的访问权限和资源访问范围

Redis未授权访问漏洞

原理

1. 配置不当将redis服务器ip和端口暴露在公网
2. 未配置redis的访问口令

防御

1. 禁用root权限启动Redis服务
2. 对Redis访问启动密码认证
3. 添加IP访问限制，更改默认端口6379

ssrf漏洞利用

weblogic的10.0.2 – 10.3.6版本存在ssrf漏洞，可以进而攻击Redis进行未授权访问

与csrf区别

SSRF攻击是一种通过欺骗服务器来发送恶意请求的攻击技术，攻击者利用服务器上的漏洞进行攻击，并使服务器对指定的目标URL发起网络请求，从而达到恶意操作的目的。SSRF攻击主要针对服务器端应用程序。

而CSRF攻击则是一种利用用户身份验证信息来执行未经授权的操作的攻击，攻击者通过欺骗用户访问包含恶意代码的网站，来达到获取用户敏感信息、执行交易等攻击目的。CSRF攻击主要针对客户端浏览器。

另外，防御SSRF攻击和CSRF攻击的方法也有所不同。防御SSRF攻击需要对所有输入进行严格的验证和过滤，并使用白名单技术限制应用程序只向可信的服务器发送请求。而防御CSRF攻击需要使用随机的令牌（如CSRF Token）来验证每个请求的来源是否合法，并防止攻击者能够伪造请求或欺骗用户进行非法操作。

7.XXE

XML外部实体注入攻击

原理：

外部实体注入攻击，由于程序在解析输入的XML数据时，解析了攻击者伪造的外部实体而产生的攻击

XML语法规则

1. 所有XML标签必须有关闭标签
2. XML标签对大小写敏感
3. XML属性值必须加引号

利用方式

1. 任意文件读取
   
   a. 有回显：直接在页面看到执行结果或现象
   
   b. 无回显：使用外带数据通道提取数据
2. 内网探测
3. RCE

修复：

1. 使用开发语言提供的禁用外部实体的方法
2. 过滤用户提交的XML数据

8.逻辑漏洞

原理:

攻击者利用应用程序设计上的逻辑缺陷或不一致性，绕过应用程序的访问控制、身份认证、授权等保护机制，从而实现非授权的操作。逻辑漏洞一般不涉及任何技术上的漏洞，而是利用应用程序设计上的漏洞

常见逻辑漏洞

1. 短信轰炸漏洞
2. 越权漏洞
   
   a. 垂直越权：普通用户可以访问到高等级用户下的资源
   
   b. 水平越权：可以访问到同等用户下的资源
3. 支付漏洞
4. 注册时绕过验证

防护

1. 增强用户输入和校验：例如在涉及到金额时要对金额数据进行合理性校验，限制最大最小金额等
2. 实施权限控制，并对用户操作进行适当限制
3. 对代码进行审计
4. 实现日志记录

9.RCE

远程代码执行漏洞

原理

应用程序对用户的输入没有进行充分的验证和过滤，导致攻击者可以向应用程序中注入恶意代码，从而执行任意操作

修复

1. 通用的修复方案，升级插件/框架/服务最新版。
2. 如若必须使用危险函数，那么针对危险函数进行过滤。

常见RCE漏洞

1. Windows远程桌面服务漏洞（cve-2019-0708）：通过远程桌面端口3389，RDP远程桌面协议进行攻击
2. Linux破壳漏洞（CVE-2014-6271）：攻击者可以利用Shellshock漏洞向受影响的服务器发送特定构造的请求，通过在HTTP头部或环境变量中注入恶意代码，从而在服务器上执行任意命令。这可能导致攻击者完全控制服务器，并在系统上执行任何操作，如窃取敏感信息、植入后门等。

常用函数

1. system（）函数：允许调用操作系统命令，例如system（"ls"）将列出当前目录下的文件
2. exec(): 执行一个系统命令或程序，与system()函数类似。
3. popen(): 打开一个进程，并通过管道执行一个命令，然后读取输出。
4. eval(): 解析并执行字符串中的 PHP 代码。

防范

1. 输入过滤：在Web应用程序中，对用户输入进行过滤是防御RCE的第一道防线。应该使用白名单过滤用户输入，只允许特定的字符或命令。例如，禁止输入命令分隔符，或将所有输入转义为字符串形式
2. 输入验证：在Web应用程序中，验证用户输入的类型和格式是防御RCE的另一个重要步骤。应该验证用户输入的数据类型和长度，并在输入值不符合要求时拒绝提交。
3. 权限控制：在Web应用程序中，应该实现最小权限原则。即每个用户只能访问他需要访问的资源。如果用户没有访问某些敏感资源的权限，则应该拒绝其访问。
4. 安全编码实践：在Web应用程序的开发过程中，应该使用安全编码实践，如避免使用eval()函数、限制文件的读写权限、使用可信的库等等。
5. 安全配置：在Web服务器和操作系统级别上，应该实施安全配置，如禁止执行特定命令、关闭不必要的服务等等。
6. 更新补丁：在Web应用程序、Web服务器和操作系统上安装及时更新补丁，以修补已知的安全漏洞，防止黑客利用已知漏洞进行攻击。

10.反序列化

原理：

反序列化是将序列化的数据流还原为对象的过程，序列化是将对象转换为数据流以便于存储或传输。反序列化常见于网络传输或数据存储中

常用函数

1. php：serialize()序列化和unserialize()反序列化
2. java：readObject()反序列化和writeObject()序列化

魔术方法

1. __wakeup(): 当一个对象被反序列化时，如果存在该方法，该方法会被调用。可以在这里进行一些对象的重建或重置操作
2. __toString(): 当一个对象被当作字符串使用时自动调用的方法。
3. __sleep(): 当一个对象需要被序列化时，该方法会被调用。可以在这里定义哪些属性需要被序列化。
4. __isset(): 在对一个对象属性进行 isset() 或 empty() 操作时自动调用的方法。在反序列化时，该方法可能会被调用，可以在这里进行一些自定义的属性判断操作。
5. __construct(): 在实例化对象时自动调用的方法。反序列化时，该方法会被调用，可以在这里进行一些初始化操作。

防御

防止序列化非信任数据，只接受信任源的序列化

对反序列化数据进行校验

避免使用不受信任的序列化库

限制反序列化操作权限