python+web日志的入侵检测日志恶意行为检测系统

web日志的入侵检测 Apache日志恶意行为检测系统（使用正则的方式或是根据Get,Post参数？=获取后面的值进行匹配检测是否是恶意行为） 前端框架：html + css + jquery + echart 后端框架：flask + python + mysql truncate table logvulnerabilityinformation.vulnerabilityinformation; 用户介绍 管理员 admin 123456 模块介绍 管理员 登录模块 系统首页 漏洞分布 日志分析 密码修改 导出报告 其他功能 退出系统 数据库设计说明logvulnerabilityinformation admin管理员表 id userName pwd vulnerabilityInformation漏洞信息表 id(漏洞的编号) vname(漏洞的名称sql,xss) loginfor(日志的信息URL) vType漏洞的类型(sql:字符型，数字型，联合查询，报错注入，xss:反射型，存储型) analysisTime(分析时间） xss漏洞类型： 假设读者已经明白了XSS的概念以及三个类型XSS的原理了，那么我们就来对比下他们之间的不同！ 一、被攻击对象的不同 反射型XSS的被攻击对象一般是攻击者去寻找的，就比如说：一个攻击者想盗取A的QQ号，那么攻击者就可以将一个含有反射型XSS的URL链接给A，此时我们可以看出，需要将特定的URL，注意是特定的URL给A，当A点击进入链接时，就受到XSS攻击，所以这种攻击范围不是特别的广。 而存储型XSS是广撒网的方式或者指定的方式，就是攻击者将存储型XSS放在一些有XSS漏洞的网站上，只要有用户访问这个链接就会中招，而攻击者也可以寻找被攻击对象，比如说上面的例子，所以我们可以看出，存储型XSS的危害性更大，范围更广，可以不需要寻找被攻击对象，只要存储型XSS在服务器上就能实施攻击。 DOM型XSS的被攻击对象其实和反射型XSS被攻击对象差不多，就是给攻击对象放送URL。 二、解析位置不同（个人感觉是反射型与存储型区别的本质） 反射型XSS的脚本被解析的地方是浏览器，而存储型XSS的脚本被解析的地方是服务器，DOM型XSS也是浏览器，所以DOM型又叫DOM反射型XSS。但是反射型XSS需要联网，而DOM型不需要！ 三、存储时间不同 反射型XSS是既有即用，没有持久性，而存储型XSS是存储在服务器上，只要服务器不挂机或者是被干掉，就一直会有，DOM型XSS和反射型差不多，但是用人就扯淡了，那反射型只要不改变源代码不就是一直存在吗？不是的，反射型XSS是必须得特定的URL才能使得被攻击对象中招，如果是单单官方网页，就没有了咯，存储型就不同，只要服务器里面有存储型XSS，不论是不是官网，被攻击对象都会被攻击。 四、允许输入点的不同（这是DOM型与其他两种的区别） 一般情况下，反射型XSS在搜索框啊，或者是页面跳转啊这些地方，而存储型XSS一般是留言，或者用户存储的地方，而DOM呢？是在DOM位置上，不取决于输入环境上。 随着安检的提高，现在有很多防注入程序都屏蔽 and、1=1、1=2 类似这样的关键字，如果再使用这样的方法有时将不能探测到注入点了。 举例：http://www.somboy.com/news.asp?id=123 1、打开地址，我们可以看到是一个正常的页面。 2.、然后在地址后面加上-1，变成：http://www.somboy.com/news.asp?id=123-1，若返回的页面和前面不同，是另一个正常的页面，则表示存在注入漏洞，而且是数字型的注入漏洞 3、若在地址后面加上 -0，变成 http://www.somboy.com/news.asp?id=123-0，返回的页面和之前的页面相同，然后加上-1，返回错误页面，则也表示存在注入漏洞，而且是数字型的。 4、 若在地址后面加上’%2B’，变为：http://www.somboy.com/news.asp?id=123′%2B’，返回的页面和之前的相同； 再加上’2%2B’sb，地址变为：http://www.somboy.com/news.asp?id=123′%2Bsb，返回另一个正常的页面， 或者说未发现该条记录，或者错误，则表示存在注入漏洞，而且是文本型的。 原因分析： 如果SQL语句是这样执行的(数字)：select * from news where id=123 当在后面加上 -1 后，语句变为select * from news where id=123-1 但是SQL服务器在执行这条语句时会先进行运算123-1即为122，然后执行的是：select * from news where id=122 这样选出来的就是另外一条页面记录了。如果该页面存在，就是另一个页面；否则将会显示记录不存在，或者出错。这也同时表示程序未对输入的数据进行过滤，存在数值型的注入漏洞。 如果SQL语句是这样执行的(字符)：select * from news where id=’123′ 在后面加上 ‘%2B’ 之后，语句变为：select * from news where id=’123′+”  （%2B 是 + 的URL编码） 这时SQL服务器实际执行的是：select * from news where id=’123′，会返回同样的页面。 在后面加上 ‘%2B’sb之后，语句变为：select * from news where id=’123′+’sb’  （同样道理，SQL会先执行’123′+’sb’） 则SQL实际执行的是：select * from news where id=’123sb’，返回页面不存在，或者显错，就表示有文本型的注入漏洞。 ----------------------------------- Sql注入的分类：数字型+字符型 Sql注入： 就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。通过构造恶意的输入，使数据库执行恶意命令，造成数据泄露或者修改内容等，以达到攻击的目的。主要是由于应用程序对用户的输入没有进行严格的过滤而造成的。 一、万能密码 在说sql注入分类之前，先来看一下万能密码的构成原理。万能密码是由于某些程序，通过采用判断sql语句查询结果的值是否大于0，来判断用户输入数据的正确性造成的。当查询之大于0时，代表用户存在，返回true,代表登录成功，否则返回false 代表登录失败。由于 ‘or 1=1--' 在执行后，结果始终为1，所以可以登录成功。因此，被称为万能密码。 二、注入的分类 注入的分类：数字型和字符型。攻击者目的只有一点，那就是绕过程序的限制，使用户输入的数据带入数据库执行，利用数据库的特殊性获取更多的信息或者更大的权限。 1、数字型注入 当输入的参数为整形时，如果存在注入漏洞，可以认为是数字型注入。 测试步骤： （1） 加单引号，URL：www.text.com/text.php?id=3’ 对应的sql：select * from table where id=3’ 这时sql语句出错，程序无法正常从数据库中查询出数据，就会抛出异常； （2） 加and 1=1 ,URL：www.text.com/text.php?id=3 and 1=1 对应的sql：select * from table where id=3’ and 1=1 语句执行正常，与原始页面如任何差异； （3） 加and 1=2，URL：www.text.com/text.php?id=3 and 1=2 对应的sql：select * from table where id=3 and 1=2 语句可以正常执行，但是无法查询出结果，所以返回数据与原始网页存在差异 如果满足以上三点，则可以判断该URL存在数字型注入。 2、字符型注入 当输入的参数为字符串时，称为字符型。字符型和数字型最大的一个区别在于，数字型不需要单引号来闭合，而字符串一般需要通过单引号来闭合的。 例如数字型语句：select * from table where id =3 则字符型如下：select * from table where name=’admin’ 因此，在构造payload时通过闭合单引号可以成功执行语句： 测试步骤： （1） 加单引号：select * from table where name=’admin’’ 由于加单引号后变成三个单引号，则无法执行，�