渗透测试Web篇

渗透测试Web篇，各式各样关於Web的常见攻击手法。

关於Web的一些网页攻击防御手法，不管今年还是往年的it铁人赛，
都有不少的优质文章，大家有兴趣都可以多看看～

其实今天的内容，尤其前面三题，几乎是面试常见的题目了，
除了了解如何利用与原理以外，对於各种风险的修补与预防方式也建议都要了解。

照惯例，每篇文章都会附上第一篇的文章，让大家了解一下这系列文章说明
https://ithelp.ithome.com.tw/articles/10264252

1.甚麽是SQL Injection？有甚麽样的防御方式？

SQL Injection是由於网页应用程序接受传递的参数当中，输入的参数存在SQL语法，导致这些字串中的指令就会被认为是SQL指令而执行，影响了原本预期执行的指令。可以利用参数化查询或是黑名单、白名单，检查验证输入的参数内容。

2.甚麽事XSS？有甚麽样的防御方式？

XSS攻击是网页应用程序未确实将输入的JavaScript语法过滤与编码，显示於回应当中，而浏览器将此JS语法执行。验证参数输入的内容，将输出的内容进行HTML编码。

3.甚麽是CSRF？有甚麽样的防御方式？

CSRF是跨站请求伪造。简单讲，就是被害者点击了攻击者提供的网页後，网页里面埋了一些恶意的程序码，而这些恶意程序码的目的为假冒被害者的身份去对目标网站发出请求，请求可以是删除资源或是转帐等动作，通常由於利用cookie 做身份认证的情况，利用这种恶意网页方式让cookie会随着请求一起被送出的特性来达到攻击的效果。可以利用CSRF Token来防御。

4.甚麽是Clickjacking

Clickjacking是点击劫持技术，是结合iframe技术的一种视觉上的欺骗手段。攻击者可以将目标网站使用iframe覆盖在自己的钓鱼网页上，将iframe设为透明，然後使用者在该网页上进行操作时，当使用者在要点击钓鱼的按钮时，其实是点到透明的iframe内容。当然这只是其中一种的手法。

5.甚麽是SSRF

SSRF是Server-side request forgery，攻击者可以利用该漏洞诱使服务器端应用程序向攻击者选择的任意网域发出HTTP请求，通常可以用来探刺服务器自身或是内网的其他服务。

6.甚麽是不安全的反序列化

不安全的反序列化是指网站对使用者可控制的数据进行了反序列化。因为攻击者能够操纵序列化的对象，所以可能将有害的序列化数据传递到应用程序中让网站对此不安全的序列化数据进行反序列化。

7.甚麽是LFI跟RFI

File Inclusion可以允许攻击者包含文件，攻击者可以透过修改可控的参数，达到包含服务器当中的文件的效果。LFI为本低端的Include，RFI为远端include。LFI通常的威害可允许攻击者能够获得未经授权可以存取的档案，例如一些设定档案，机敏资讯的档案和网页的原始码资讯。

8.甚麽是Session Fixation攻击

Session Fixation的攻击利用的是网站登入後不会更新Session ID。攻击者可以先尝试登入网站，取得一组Session ID。接着攻击者会利用各种手法将此Session ID设给受害者的浏览器，当使用者进行登入後，因为Session ID并没有更新，攻击者便可使用此组ID查看会是伪造该受害者的帐户。

9.甚麽是HTTP请求走私攻击

多数HTTP请求走私漏洞的出现是因为HTTP规范提供了两种不同的方法来指定请求的结束位置，Content-Length和Transfer-Encoding这两个HTTP Header。HTTP请求走私攻击利用的就是前端和後端服务器使用不同的方式处理这两个Header。

10.有研究过甚麽你觉得比较有趣或是特别的Web攻击手法吗？

XML Signature Wrapping (XSW)攻击，可以在通过签名验证的情况下更改窜改部分已签名内容。
Server-side template injection(SSTI)攻击，利用模板引擎进行注入攻击。

今年我在Hitcon Training也有开课唷，欢迎报名^^
网站渗透测试入门 Web Security - From Zero to Hero
https://hitcon.kktix.cc/events/hitcon-training-2021

若有要补充也都欢迎留言