准备ASP.NET网站进行渗透测试
-
29-09-2019 - |
题
多年来,我已经开发了一些网站,该网站已由客户提交了渗透测试。在大多数情况下,当结果返回与ASP .NET的默认行为相关时,突出显示的问题(例如跨站点脚本攻击等)
默认情况下,在ASP .NET应用程序中默认存在哪些漏洞,其次有任何漏洞,其次有任何好的清单需要遵循,这将有助于提前准备站点?
解决方案
我认为检查清单随时间而变化及其理论,并共同经验。我总是检查我的日志文件,并查看他们尝试渗透我的网站的新方法 - 就像在“非现有”文件上扫描或尝试运行随机查询。
一个很好的页面 许多有关穿透的文章: http://www.cgisecurity.com/pentest.html
尝试在我的网站上渗透的一些方法。
最常见的
- SQL注射, ,因此我检查并阻止用户在URL行上使用“选择”命令调用我的站点的用户。我还检查其他SQL命令。
- 忘记了JavaScript FileBrowser 我看到最近他们搜索链接,例如:wwwmysite.com/plugins/editors/tinymce/jscripts/jscripts/tiny_mce/plugins/tinybrowser/tinybrowser/tinybrowser.php?
为了找到它们,我监视“未找到页面”事件。当然,如果找到了页面,那么它们会穿透。看到失败的尝试并看到他们在寻找什么。
甲骨文攻击
这些天我也看到了 很多甲骨文攻击. 。我发现它们并使用此代码阻止攻击者的完整IP: 加密摄影感:填充无效,无法删除,ViewState Mac的验证失败了
偷饼干
我也遵循这个问题的答案: 某些黑客可以从用户窃取cookie并在网站上使用该名称登录吗?
要点:始终在登录cookie上使用SSL加密(需求= true),而不将角色放在cookie(cacherolesincookies = false)上。
高级块
我还从系统/程序/IIS内部封锁了黑色列出的IP,但是过去我使用了Peerguardian。另外,您可以找到很多不良的IP列表,您可以在高级中阻止。我对这些不良IP的唯一注释是,我不会永远不会阻止它们,但只有几天。不良IP的块也为我提供了数百封垃圾邮件的电子邮件。http://phoenixlabs.org/pg2/
调查日志
我认为人们可以通过多种方式思考并尝试在您的网站上渗透。关键是您如何在发生之前预测它们并记录它们,并使始终成为避免它们的更好机制。正如我说的, 我监视找不到的页面,以及页面投掷的内部错误。 这两种方法向我展示了很多渗透尝试。
上传脚本。
如果您可以访问上传文件,图像和其他内容,请确保无法在上传目录上运行它们。这可以通过仔细检查文件的扩展以及通过以下方式将web.config放置在该目录上,并在上载目录上放置程序和脚本来完成以太elth的操作:
<configuration>
<system.web>
<authorization>
<deny users="*" />
</authorization>
</system.web>
</configuration>
其他提示
清单:
此外,许多免费工具可用于测试Web应用程序安全性,您可以尝试以下操作:
- NetSparker: :NetSparker Community Edition是SQL注射扫描仪。
- Webscurify
- 观察者 :Watcher是一个提琴手插件,旨在帮助渗透测试人员被动寻找网络应用漏洞。
- 麋鹿: :Web应用程序漏洞扫描仪 /安全审核员
- N stalker
- skipfish :Skipfish是一种活动的Web应用程序安全侦察工具。它通过执行递归爬网和基于字典的探针为目标位点准备了一个交互式站点。然后将所得的映射带有来自许多活动(但希望无干扰)安全检查的输出的注释。该工具生成的最终报告旨在作为专业Web应用程序安全评估的基础。
- Scrawlr
- X5S: :X5S是一个提琴手插件,旨在帮助渗透测试人员找到跨站点脚本漏洞。它的主要目标是帮助您确定可能发生XSS的热点:1。检测未将安全编码应用于发射的用户输入的位置。 2.检测Unicode字符转换可能绕过安全过滤器的位置。 3.检测非最短的UTF-8编码可能绕过安全过滤器的位置
- 漏洞我: :exploit-me是一套Firefox Web应用程序安全测试工具,旨在轻巧且易于使用。
不想用链接掩盖Aristos的好答案 Google-Gruyere.
比清单相比,它更多地了解可能的利用方式,但 表中的内容 可以帮助您完成清单。
以下是一些要考虑的类别:
- 跨站点脚本(XSS)
- 文件上传XSS
- 反映XSS
- 存储的XSS
- 通过HTML属性存储XSS
- 通过Ajax存储的XSS
- 通过AJAX反映XSS
- 客户国家操纵
- 特权高程
- 饼干操纵
- 跨站点伪造(XSRF)
- 跨站点脚本包含(XSSI)
- 路径遍历
- 通过路径遍历的信息披露
- 通过路径遍历篡改数据
- 拒绝服务
- DOS-退出服务器
- DOS-超载服务器
- 代码执行(远程)
- 配置漏洞(信息披露)
- AJAX漏洞
- 通过Ajax的dos
- 通过Ajax网络钓鱼
- 缓冲区溢出和整数溢出
- SQL注入