存档

‘Web安全’ 分类的存档

在线攻击的幕后场景:对利用Web漏洞行为的分析

2015年4月28日 没有评论

原文:http://www.internetsociety.org/doc/behind-scenes-online-attacks-analysis-exploitation-behaviors-web

翻译:赵阳

摘要:现如今Web攻击已经成为了互联网安全的一个主要威胁,人们对它进行了很多研究,特别详细地分析了攻击是如何进行,如何传播的。但是,对于当Web被攻陷时的攻击者的典型行为研究却很少。本文描述了一个设计、执行、配置有500个完整功能的蜜罐技术网站,从而可以提供多种不同服务,目的就是要吸引攻击者,采集攻击者在攻击过程中和攻击后的行为信息。在100天的实验过程中,我们的系统自动采集、处理和规整了85000个在大概6000次攻击后留下的文件,并把攻击者的攻击路线标记成了不同类别,以区分它们在每次利用Web应用漏洞过程中的行为。

一、引言

Web攻击是对人们经济和知识财产造成破坏的主要原因之一。去年,这种攻击的数量不断在增长,复杂程度也在增加,并且目标多是政府和高利润的公司,窃取个人信息的同时造成了数百万欧元的经济损失。使用台式机、笔记本和智能手机上网的人数的不断增加,这就有了很吸引人的攻击目标,从而使他们走上了犯罪的道路。

这种趋势也已经成为了学术研究之一。事实上,快速的看下前些年发表的论文,会发现与Web攻击和防守相关的文章很多。这些研究大多数关注于一些普通的与Web应用、Web服务器或是浏览器相关的漏洞,通过这些漏洞来拿下目标。其余的剖析了针对内部构件的特殊攻击活动[5,13,17][……]

阅读全文

CTF领域指南

2015年2月15日 没有评论

原文:https://trailofbits.github.io/ctf/

翻译:做个好人

译者声明:本文翻译自美国trailofbits团队发布在Github上的《CTF Field Guide》手册,我们已与对方联系获得翻译授权,由于手册内容尚在更新过程中,故有部分缺失。如有翻译不当之处,请与我们联系更正:@IDF实验室。

“Knowing is not enough; we must apply. Willing is not enough; we must do.” (仅仅知道还不够,我们必须付诸实践。仅有意愿还不够,我们必须付诸行动。)

—— Johann Wolfgang von Goethe

欢迎!

很高兴你能来到这里,我们需要更多的像你这样的人。

如果你想拥有一种能够自我防卫的生活,那就必须像攻击者那样思考。

所以,学学如何在夺旗比赛(CTF)中赢得比赛吧,这种比赛将专业的计算机安全活动规则进行了浓缩,且具有可客观评判的挑战题。CTF比赛趋向关注的主要领域是漏洞挖掘、漏洞利用程序构建、工具箱构建和可实施的谍报技术(tradecraft)。

无论你想赢得CTF比赛,还是想成为一名计算机安全专家,都至少需要擅长这些方面中的其中之一,理想情况下需要擅长所有这些领域。

这就是我们编写此手册的目的。

在这些章节中,你[……]

阅读全文

年末致富有新招,写个程序抓红包

2015年2月13日 没有评论

0x00背景

大家好,我是来自IDF实验室的@无所不能的魂大人

红包纷纷何所似?兄子胡儿曰:“撒钱空中差可拟。”兄女道韫曰:“未若姨妈因风起。”

背景大家都懂的,要过年了,正是红包满天飞的日子。正巧前两天学会了Python,比较亢奋,就顺便研究了研究微博红包的爬取,为什么是微博红包而不是支付宝红包呢,因为我只懂Web,如果有精力的话之后可能也会研究研究打地鼠算法吧。

因为本人是初学Python,这个程序也是学了Python后写的第三个程序,所以代码中有啥坑爹的地方请不要当面戳穿,重点是思路,嗯,如果思路中有啥坑爹的的地方也请不要当面戳穿,你看IE都有脸设置自己为默认浏览器,我写篇渣文得瑟得瑟也是可以接受的对吧……

我用的是Python 2.7,据说Python 2和Python 3差别挺大的,比我还菜的小伙伴请注意。

0x01 思路整理

懒得文字叙述了,画了张草图,大家应该可以看懂。

envelope 01

首先老规矩,先引入一坨不知道有啥用但又不能没有的库:

import re
import urllib
import urllib2
import cookielib
import base64 
import binascii 
import os
import json
import sys 
import cPickle as[......]

阅读全文

学点Unicode又不会死——Unicode的流言终结者和编码大揭秘

2014年2月12日 1 条评论

原文:http://10kloc.wordpress.com/2013/08/25/plain-text-doesnt-exist-unicode-and-encodings-demystified/

翻译:封畅

如果你是一个生活在2003年的程序员,却不了解字符、字符集、编码和Unicode这些基础知识。那你可要小心了,要是被我抓到你,我会让你在潜水艇里剥六个月洋葱来惩罚你。

这个邪恶的恐吓是Joel Spolsky在十年前首次发出的。不幸的是,很多人认为他只是在开玩笑,因此,现在仍有许多人不能完全理解Unicode,以及Unicode、UTF-8、UTF-16之间的区别。这就是我写这篇文章的原因。

言归正传,设想在一个晴朗的下午,你收到一封电子邮件,它来自一个你高中之后就失去联系的朋友,并带有一个txt格式(也称为纯文本格式)的附件。这个附件包含下面这样一串二进制bits:

0100100001000101010011000100110001001111

Email的正文是空的,这使它更加神秘。在你启动常用的文本编辑器打开这个附件之前,你有没有想过,文本编辑器是怎么将二进制形式翻译成字符的?这其中有两个关键问题:

  1. 字节是怎样分组的?(例如1个字节的字符和2个字节的字符)

  2. 一个或多个字节是怎么映射到字符上的?

这些问题的答案就在这篇文档(Character Encoding)中[……]

阅读全文

分类: Web安全 标签: , , ,

关于口令强度等级的设计

2013年12月25日 没有评论

原创:裴伟伟(做个好人)

近来在笔者所参与的一款产品中涉及到口令安全的功能设计,其中一项功能是有关于口令强度的。在设计该功能过程中势必涉及到口令强度的划分设计,怎样的口令才算是低强度的,怎样的口令才算是高强度的。目前诸多的Web系统注册功能中的口令强度设计及划分也无统一标准,更有甚者是直接根据口令长度来设计的口令强度划分。

如果要评判一则口令是强是弱,就必须先考虑影响口令强度的因素:复杂性和长度,因为我们在输入口令时只有这两种维度的选择:要么多输入一些特殊字符增强复杂性,要么多输入一些混合字符/字母增加口令长度。在不考虑拖库、社工等口令获取方式的前提条件下,通常情况下,破解口令仅有暴力破解的方式可以选择,其中亦包括字典攻击和彩虹表破解。

在纯粹的暴力破解中,攻击者需要逐一长度地尝试口令可能组合的方式,是ATM机般的纯数字组合,还是12306般的纯数字字母组合,亦或是正常电商那般可以混合输入数字、字母和特殊字符。假设一则口令P的长度是L,可选择的组合形式范围的长度是S,那么即便是在“暴力破解”这种残暴字眼的手段中,运气不好的情况下仍然需要最多尝试SL次。口令是否安全的原则取决于攻击者能否在可容忍的时间内破解出真实口令,而是否有耐心进行暴力破解往往决定于攻击者的目的及成效:一名仅为破解电子书小说压缩包的宅男不大可能会浪费一天以上时间等待口令的“出现”。

既然暴力破解需要尝试最多达SL次方能破解出口令,那么破解口令的速度即是破解成效的约束条件。在许多情况下,破解速度取[……]

阅读全文

关于Linkedin-Intro的钓鱼研究

2013年12月11日 没有评论

原文:http://jordan-wright.github.io/blog/2013/10/26/phishing-with-linkedins-intro/

翻译:陈民慧

2013年10月28日,我联系了Linkedin的安全团队,并会在近期发布修复补丁来解决下面的问题。这个修复程序适用于随机生成ID的styling规则,同下面介绍的基于class的styling有所区别。

我并不是CSS专家,所以或许有其他技巧可以绕过这个限制和删除内容(甚至只是隐藏或覆盖它)————如果你知道,请email通知我!我将继续与Linkedin的安全团队合作来修复任何我们能找到的BUG。而用户需要注意的是世上没有完美的解决方案,即便在邮件中你所看到的这些数据也不能明确证明发送人的合法性。

我还要感谢Linkedin的安全团队,他们快速且有效地处理了这些问题。

有关“Intro”

10月23日,Linkedin推出一个名为"Intro"的应用程序。程序的运行条件很简单:允许iPhone用户看到本机Mail App里发件人的详细信息。这跟iPhone Mail App的Rapportive差不多,这两个app在本质上一样(且由相同的人所开发)。

然而,在看Intro最初的介绍中,有一个地方引起了我的注意:

“David说Crosswise很想和你合作。这是垃圾邮[……]

阅读全文

目录遍历漏洞简述

2013年10月21日 没有评论

原创:Archer

如果脚本的检验,那么渗透人员可通过目录遍历攻击获取服务器的配置文件等等资料。一般的说,它调用服务器的标准API、使用的是文件的标准权限。所以它攻击的不是什么漏洞,而是网站设计人员的思想“缺陷”。

常见的目录遍历攻击,访问“../”这类的上级文件夹的文件。“../”和转译攻击在2000年前后就存在了,只是那时候的攻击直接在URL里放字符串就ok了。今天的目录遍历攻击进化了很多。

那么请允许我犯懒,摘取Wiki的几个例子:

<?php
$template = 'red.php';
if (isset($_COOKIE['TEMPLATE']))
   $template = $_COOKIE['TEMPLATE'];
include ("/home/users/phpguru/templates/" . $template);
?>

那么一般来说就可以在Cookie做手脚(当然这是数次测试之后才能推测的path):

GET /vulnerable.php HTTP/1.0
Cookie: TEMPLATE=../../../../../../../../../etc/passwd

然后服务器乖乖的给了回答:

HTTP/1.0 200 OK
Content-Type: text/html[......]

阅读全文