項(xiàng)目三-云環(huán)境web漏洞掃描

1、云端Web漏洞手工檢測分析（課時(shí)數(shù)：6課時(shí)）云安全防護(hù)技術(shù)主 要 內(nèi) 容1 任務(wù)1Burp Suite基礎(chǔ)Proxy功能2 任務(wù)2 Burp Suite target功能使用3任務(wù)3 Burp Suite Spider功能4任務(wù)四 Burp Suite Scanner功能 應(yīng)用5任務(wù)五 Burp Suite Intruder 爆破應(yīng)用 任務(wù)1 Burp Suite基礎(chǔ)Proxy功能【學(xué)習(xí)目標(biāo)】【任務(wù)導(dǎo)入】【知識(shí)準(zhǔn)備】【任務(wù)實(shí)施】一、【學(xué)習(xí)目標(biāo)】 知識(shí)目標(biāo)：了解Web常見漏洞及攻擊原理了解Burp Suite的基本功能及Proxy功能技能目標(biāo)：掌握設(shè)置Burp Suite軟件中Proxy代理及手

2、動(dòng)配置功能應(yīng)用二、【任務(wù)導(dǎo)入】 Web環(huán)境中存在兩個(gè)主要的風(fēng)險(xiǎn)：SQL注入，它會(huì)讓黑客更改發(fā)往數(shù)據(jù)庫的查詢以及跨站腳本攻擊（XSS）。注入攻擊會(huì)利用有問題代碼的應(yīng)用程序來插入和執(zhí)行黑客指定的命令，從而能夠訪問關(guān)鍵的數(shù)據(jù)和資源。當(dāng)應(yīng)用程序?qū)⒂脩籼峁┑臄?shù)據(jù)不加檢驗(yàn)或編碼就發(fā)送到瀏覽器上時(shí)，會(huì)產(chǎn)生XSS漏洞。大多數(shù)公司都非常關(guān)注對(duì)Web應(yīng)用程序的手工測試，而不是運(yùn)行Web應(yīng)用程序掃描器。Burp Suite是Web應(yīng)用程序測試工具之一，其多種功能可以執(zhí)行各種任務(wù)，如請(qǐng)求的攔截和修改,掃描Web應(yīng)用程序漏洞,以暴力破解登陸表單,執(zhí)行會(huì)話令牌等多種的隨機(jī)性檢查。使用Burp Suite將使得測試工作變得

3、更加容易和方便，即使在不需要嫻熟的技巧的情況下，只要熟悉Burp Suite的使用，也使得滲透測試工作變得輕松和高效。Burp Suite是由Java語言編寫而成，而Java自身的跨平臺(tái)性，使得軟件的學(xué)習(xí)和使用更加方便。它需要手工配置一些參數(shù)，觸發(fā)一些自動(dòng)化流程，然后才能開始工作。三、【知識(shí)準(zhǔn)備】 - Web常見漏洞及攻擊原理根據(jù)前期各個(gè)漏洞研究機(jī)構(gòu)的調(diào)查顯示，SQL注入漏洞和跨站腳本漏洞的普遍程度排名前兩位，造成的危害也更加巨大。本項(xiàng)目主要介紹跨站腳本漏洞及攻擊原理。 跨站腳本漏洞是因?yàn)閃eb應(yīng)用程序沒有對(duì)用戶提交的語句和變量進(jìn)行過濾或限制，攻擊者通過Web頁面的輸入?yún)^(qū)域向數(shù)據(jù)庫或HTML頁

4、面中提交惡意代碼，當(dāng)用戶打開有惡意代碼的鏈接或頁面時(shí)，惡意代碼通過瀏覽器自動(dòng)執(zhí)行，從而達(dá)到攻擊的目的。通過跨站腳本漏洞攻擊者可以冒充受害者訪問用戶重要賬戶，盜竊企業(yè)重要信息。 跨站腳本攻擊的目的是盜走客戶端敏感信息,冒充受害者訪問用戶的重要賬戶?？缯灸_本攻擊主要有以下三種形式：三、【知識(shí)準(zhǔn)備】 - Web常見漏洞及攻擊原理1)本地跨站腳本攻擊B給A發(fā)送一個(gè)惡意構(gòu)造的WebURL，A單擊查看了這個(gè)URL，并將該頁面保存到本地硬盤。A在本地運(yùn)行該網(wǎng)頁，網(wǎng)頁中嵌入的惡意腳本可以在A電腦上執(zhí)行A權(quán)限下的所有命令。2)反射跨站腳本攻擊A經(jīng)常瀏覽某個(gè)網(wǎng)站，此網(wǎng)站為B所擁有。A使用用戶名/密碼登錄B網(wǎng)站，B

5、網(wǎng)站存儲(chǔ)下A的敏感信息（如銀行帳戶信息等）。C發(fā)現(xiàn)B的站點(diǎn)包含反射跨站腳本漏洞，編寫一個(gè)利用漏洞的URL，域名為B網(wǎng)站，在URL后面嵌入了惡意腳本（如獲取A的cookie文件），并通過郵件或社會(huì)工程學(xué)等方式欺騙A訪問存在惡意的URL。當(dāng)A使用C提供的URL訪問B網(wǎng)站時(shí)，由于B網(wǎng)站存在反射跨站腳本漏洞，嵌入到URL中的惡意腳本通過Web服務(wù)器返回給A，并在A瀏覽器中執(zhí)行，A的敏感信息在完全不知情的情況下將發(fā)送給C。三、【知識(shí)準(zhǔn)備】 - Web常見漏洞及攻擊原理3)持久跨站腳本攻擊B擁有一個(gè)Web站點(diǎn)，該站點(diǎn)允許用戶發(fā)布和瀏覽已發(fā)布的信息。C注意到B的站點(diǎn)具有持久跨站腳本漏洞，C發(fā)布一個(gè)熱點(diǎn)信息，

6、吸引用戶閱讀。A一旦瀏覽該信息，其會(huì)話cookies或者其它信息將被C盜走。持久性跨站腳本攻擊一般出現(xiàn)在論壇、留言簿等網(wǎng)頁，攻擊者通過留言，將攻擊數(shù)據(jù)寫入服務(wù)器數(shù)據(jù)庫中，瀏覽該留言的用戶的信息都會(huì)被泄漏。 三、【知識(shí)準(zhǔn)備】 -Burp Suite簡介Burp Suite是使用Java開發(fā)的安全測試工具，在Kali系統(tǒng)里面已經(jīng)安裝，Windows系統(tǒng)要先安裝好Java環(huán)境，然后可以在其官網(wǎng)/burp/download.html下載和安裝。它包含了許多模塊（功能），并為這些模塊（功能）設(shè)計(jì)了許多接口，以促進(jìn)加快攻擊應(yīng)用程序的過程。所有的工具都共享一個(gè)能處理并顯示HTTP消息、持久性、認(rèn)證、代理、日

7、志、警報(bào)的一個(gè)強(qiáng)大的可擴(kuò)展的框架。Burp Suite具有如下的功能模塊：（1）Target(目標(biāo))顯示目標(biāo)目錄結(jié)構(gòu)的的一個(gè)功能。（2）Proxy(代理)攔截HTTP/S的代理服務(wù)器，作為一個(gè)在瀏覽器和目標(biāo)應(yīng)用程序之間的中間人，允許你攔截，查看，修改在兩個(gè)方向上的原始數(shù)據(jù)流。三、【知識(shí)準(zhǔn)備】 -Burp Suite簡介（3）Spider(蜘蛛)應(yīng)用智能感應(yīng)的網(wǎng)絡(luò)爬蟲，它能完整的枚舉應(yīng)用程序的內(nèi)容和功能。（4）Scanner(掃描器)高級(jí)工具，執(zhí)行后，它能自動(dòng)地發(fā)現(xiàn)Web應(yīng)用程序的安全漏洞。（5）Intruder(入侵)一個(gè)定制的高度可配置的工具，對(duì)Web應(yīng)用程序進(jìn)行自動(dòng)化攻擊，如：枚舉標(biāo)識(shí)符，

8、收集有用的數(shù)據(jù)，以及使用fuzzing 技術(shù)探測常規(guī)漏洞。（6）Repeater(中繼器)一個(gè)靠手動(dòng)操作來觸發(fā)單獨(dú)的HTTP 請(qǐng)求，并分析應(yīng)用程序響應(yīng)的工具。三、【知識(shí)準(zhǔn)備】 -Burp Suite簡介（7）Sequencer(會(huì)話)用來分析那些不可預(yù)知的應(yīng)用程序會(huì)話令牌和重要數(shù)據(jù)項(xiàng)的隨機(jī)性的工具。（8）Decoder(解碼器)進(jìn)行手動(dòng)執(zhí)行或?qū)?yīng)用程序數(shù)據(jù)者智能解碼編碼的工具。（9）Comparer(對(duì)比)通常是通過一些相關(guān)的請(qǐng)求和響應(yīng)得到兩項(xiàng)數(shù)據(jù)的一個(gè)可視化的“差異”。（10）Extender(擴(kuò)展)可以讓你加載Burp Suite的擴(kuò)展，使用你自己的或第三方代碼來擴(kuò)展Burp Suite的

9、功能。（11）Options(設(shè)置)對(duì)Burp Suite的一些設(shè)置。掃描之前，需要對(duì)常用功能按鈕進(jìn)行基本配置，如監(jiān)聽攔截的配置如圖4-1所示。三、【知識(shí)準(zhǔn)備】 -Burp Suite簡介三、【知識(shí)準(zhǔn)備】 -Burp Suite簡介通過代理可以記錄全部請(qǐng)求和響應(yīng)的歷史，History(代理歷史)總在更新，即使把Interception turned off(攔截關(guān)閉)， 也可以通過單擊任何列標(biāo)題進(jìn)行升序或降序排列。如果在表中雙擊選擇一個(gè)項(xiàng)目地址，會(huì)顯示出一個(gè)詳細(xì)的請(qǐng)求和響應(yīng)的窗口，如圖4-2所示。三、【知識(shí)準(zhǔn)備】 -Burp Suite簡介Display Filter：Proxy histro

10、y有一個(gè)可以用來在視圖中隱藏某些內(nèi)容的功能。 History Table上方的過濾欄描述了當(dāng)前的顯示過濾器。單擊過濾器欄打開要編輯的過濾器選項(xiàng)。該過濾器可以基于以下屬性進(jìn)行配置，如圖4-3所示。三、【知識(shí)準(zhǔn)備】 -Burp Suite簡介Proxy Listeners：代理監(jiān)聽器是監(jiān)聽從瀏覽器傳入的HTTP/HTTPS連接。它允許監(jiān)視和攔截所有的請(qǐng)求和響應(yīng)，默認(rèn)情況下Burp默認(rèn)監(jiān)聽地址，端口8080。要使用這個(gè)監(jiān)聽器，需要配置瀏覽器使用:8080作為代理服務(wù)器,如圖4-4所示，綁定代理監(jiān)聽器如圖4-5所示。三、【知識(shí)準(zhǔn)備】 -Burp Suite簡介三、【知識(shí)準(zhǔn)備】 -Burp Suite簡

11、介四、【任務(wù)實(shí)施】 實(shí)訓(xùn)任務(wù)： 配置Burp Suite的Proxy標(biāo)簽并設(shè)置本機(jī)瀏覽器代理，同時(shí)測試目標(biāo)網(wǎng)站的連接訪問。四、【任務(wù)實(shí)施】 實(shí)訓(xùn)環(huán)境：（1） VMware中創(chuàng)建Windows Server 2008與Kali Linux虛擬機(jī)，并配置這2臺(tái)虛擬機(jī)構(gòu)成一局域網(wǎng)，設(shè)置Windows Server 2008虛擬機(jī)ip地址為08，Kali Linux虛擬機(jī)的ip地址為01.（2）Windows Server 2008虛擬機(jī)中配置IIS，并創(chuàng)建好測試網(wǎng)站dvwa。 實(shí)驗(yàn)拓?fù)鋱D如圖四、【任務(wù)實(shí)施】 實(shí)訓(xùn)步驟： 步驟1 :在Kali虛擬機(jī)中，打開Burp Suite工具步驟2 :啟動(dòng)Kali

12、虛擬機(jī)中的瀏覽器，單擊右上角的菜單，選擇“Preferences”選項(xiàng)步驟3：打開“連接”選項(xiàng)卡，進(jìn)行手動(dòng)代理設(shè)置步驟4：在Kali中 檢查“Intercept”按鈕， “Intercept”中的“Intercept is on”表示開啟數(shù)據(jù)包攔截功能，反之即是放行所有Web流量 步驟5:打開Kali中的瀏覽器，并在地址欄中輸入08步驟6:在Burp Suite中，單“forwards” 可以看到所攔截的數(shù)據(jù)任務(wù)2 Burp Suite target功能使用【學(xué)習(xí)目標(biāo)】【任務(wù)導(dǎo)入】【知識(shí)準(zhǔn)備】【任務(wù)實(shí)施】一、【學(xué)習(xí)目標(biāo)】 知識(shí)目標(biāo)：掌握Burp Suite target的功能技能目標(biāo)：使用Bu

13、rp Suite的Target功能搜索目標(biāo)漏洞二、【任務(wù)導(dǎo)入】 信息收集是整個(gè)滲透測試中的第一個(gè)環(huán)節(jié)，也是最重要的步驟，信息收集做的越全面，后續(xù)滲透成功的幾率就越高。安全管理人員需要學(xué)習(xí)Burp Suite的Target在漏洞測試中的功能。Target功能模塊分為site map和scope兩個(gè)選項(xiàng)卡，它可以定義哪些對(duì)象為目前手動(dòng)測試漏洞的對(duì)象。三、【知識(shí)準(zhǔn)備】-Site MapSite Map匯總所有經(jīng)過Burp代理的Web應(yīng)用地址?？梢赃^濾并標(biāo)注此信息來管理它，也可以使用Site map來手動(dòng)測試。如圖4-13所示，默認(rèn)所有的網(wǎng)站都會(huì)顯示在這里，可以右鍵單擊目標(biāo)網(wǎng)站選擇“add to sc

14、ope”，然后單擊Filter勾選Show only in-scope items，此時(shí)再看Site map就只有百度一個(gè)地址了，這里filter可以過濾一些參數(shù)，show all顯示全部，hide隱藏所有。此上只是簡要說明site map標(biāo)簽的功能及簡單設(shè)置。一些界面可以根據(jù)操作提示或用戶定制而選擇參數(shù)。三、【知識(shí)準(zhǔn)備】-Site MapSiteMap以樹形和表形式顯示，并且還可以查看完整的請(qǐng)求和響應(yīng)。樹視圖包含內(nèi)容的分層表示，隨著細(xì)分為地址、目錄、文件和參數(shù)化請(qǐng)求的URL。三、【知識(shí)準(zhǔn)備】-ScopeScope主要是配合Site map做一些過濾的功能。圖4-14顯示了一個(gè)包含在目標(biāo)域范圍

15、內(nèi)的網(wǎng)址以及對(duì)應(yīng)原排除規(guī)則。三、【知識(shí)準(zhǔn)備】-ScopeInclude in scope就是在掃描地址或者攔截歷史記錄中通過鼠標(biāo)右鍵，選中“add to scope”然后單擊，就可以添加到所包含的范圍,如圖4-15所示。四、【任務(wù)實(shí)施】 實(shí)訓(xùn)任務(wù)：使用Burp Suite的target標(biāo)簽定義掃描目標(biāo)范圍四、【任務(wù)實(shí)施】 實(shí)訓(xùn)環(huán)境：（1） VMware中創(chuàng)建Windows server 2008與Kali Linux虛擬機(jī)，并配置這2臺(tái)虛擬機(jī)構(gòu)成一局域網(wǎng)，設(shè)置Windows server 2008虛擬機(jī)ip地址為08，Kali Linux虛擬機(jī)的ip地址為01.（2）Windows serve

16、r 2008虛擬機(jī)中配置IIS，并創(chuàng)建好測試網(wǎng)站dvwa。 實(shí)驗(yàn)拓?fù)鋱D如圖4-16所示。四、【任務(wù)實(shí)施】 實(shí)訓(xùn)步驟： 步驟1：啟動(dòng)Burp Suite，單擊“Target ”-單擊“site map”。步驟2：根據(jù)上圖中展示的相關(guān)聯(lián)的網(wǎng)址，右擊選中左邊樹形結(jié)構(gòu)的某個(gè)網(wǎng)址，在彈出的菜單中，單擊“add to scope”，即把某個(gè)網(wǎng)址設(shè)置為目標(biāo)范圍步驟3：Target Scope目標(biāo)域規(guī)則設(shè)置步驟4：單擊圖4-19的“Add”按鈕，即可編輯包含規(guī)則或去除規(guī)則任務(wù)3 Burp Suite Spider功能【學(xué)習(xí)目標(biāo)】【任務(wù)導(dǎo)入】【知識(shí)準(zhǔn)備】【任務(wù)實(shí)施】一、【學(xué)習(xí)目標(biāo)】 知識(shí)目標(biāo)：掌握Burp Su

17、ite 的Spider功能介紹。技能目標(biāo)：掌握通Burp Suite 的Spider功能配置與應(yīng)用。二、【任務(wù)導(dǎo)入】 Burp Spider是一個(gè)映射WebWeb應(yīng)用程序的工具。它使用多種智能技術(shù)對(duì)一個(gè)應(yīng)用程序的內(nèi)容和功能進(jìn)行全面的清查。Burp Spider通過跟蹤 HTML和 JavaScript以及提交的表單中的超鏈接來映射目標(biāo)應(yīng)用程序，它還使用了一些其他的線索，如目錄列表，資源類型的注釋，以及 robots.txt文件。結(jié)果會(huì)在站點(diǎn)地圖中以樹和表的形式顯示出來，提供了一個(gè)清楚并非常詳細(xì)的目標(biāo)應(yīng)用程序視圖。Burp Spider能讓使用者清楚地了解到一個(gè)WebWeb應(yīng)用程序是怎樣工作的，

18、讓使用者避免進(jìn)行大量的手動(dòng)任務(wù)而浪費(fèi)時(shí)間，在跟蹤鏈接，提交表單，精簡 HTNL源代碼。可以快速地確人應(yīng)用程序的潛在的脆弱功能，還允許指定特定的漏洞，如 SQL注入，路徑遍歷。三、【知識(shí)準(zhǔn)備】-使用Spider使用 Burp Spider 需要兩個(gè)簡單的步驟：首先使用 Burp Proxy 配置為瀏覽器的代理服務(wù)器，瀏覽目標(biāo)應(yīng)用程序，然后到站點(diǎn)地圖的“target”選項(xiàng)上，選中目標(biāo)應(yīng)用程序駐留的主機(jī)和目錄。選擇上下文菜單的“spider this host/branch”選項(xiàng)，如圖4-21所示。三、【知識(shí)準(zhǔn)備】-使用Spider三、【知識(shí)準(zhǔn)備】-OptionsOptions選項(xiàng)里包含了許多控制 Burp Spider 動(dòng)作的配置選項(xiàng)，這些配置在 spider 啟動(dòng)后還可以修改，且修改對(duì)先前的結(jié)果也有效。還有些可以調(diào)整的選項(xiàng)，如user-agent ，或者爬蟲應(yīng)該爬多深，兩個(gè)重要的設(shè)置是表單提交和應(yīng)用登錄，設(shè)置好之后爬蟲可以自動(dòng)填寫表單，如圖4-22所示。三、【知識(shí)準(zhǔn)備】-Options三、【知識(shí)準(zhǔn)備】-掃描結(jié)果分析WebInspect帶來了最新的評(píng)估技術(shù)，能夠適應(yīng)任何企業(yè)環(huán)境的Web應(yīng)用安全產(chǎn)品。當(dāng)您開始進(jìn)行漏洞評(píng)估時(shí)，WebInspect的“評(píng)估代理”（assessm