關(guān)于自動化web安全測試動態(tài)fuzz的思路與實踐分析圖文電腦資料_第1頁
關(guān)于自動化web安全測試動態(tài)fuzz的思路與實踐分析圖文電腦資料_第2頁
關(guān)于自動化web安全測試動態(tài)fuzz的思路與實踐分析圖文電腦資料_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

關(guān)于自動化web安全測試動態(tài)fuzz的思路與實踐分析(圖文)-電腦資料

很久之前就想寫這么一篇文章,來談?wù)勎艺J(rèn)為的的web2.0甚至是3.0時代,web應(yīng)用安全測試遇到的幾個問題,以及目前知道的解決辦法,關(guān)于自動化web安全測試動態(tài)fuzz的思路與實踐分析(圖文)。發(fā)出來供大家討論學(xué)習(xí),算是拋磚引玉吧。什么叫自動化web安全測試?這其實是一個很大的概念,因為web安全包含很多方面,比如代碼審計,比如黑盒測試,甚至還有灰盒測試。還有性能測試,壓力測試等等。代碼審計其實也不僅僅是審計安全問題,也有審計代碼質(zhì)量的。目前市場的代碼審計軟件,商業(yè)的好像都是有代碼質(zhì)量檢查的。我們今天其實主要還是講fuzz測試中web應(yīng)用的安全問題,也就是我理解的黑盒測試web應(yīng)用安全的問題。涵蓋的主要是如何用工具發(fā)現(xiàn)類似SQL注入,xss,命令執(zhí)行,文件包含,代碼注入等等一系列的安全問題。

一直以來,我們檢測一個WEB應(yīng)用的安全漏洞,無非就是兩種手段,一種是手動加參數(shù)比如and1=1或者對數(shù)字型的做一些運算,-1-2看是否參數(shù)進(jìn)行了傳遞并且在后端數(shù)據(jù)庫里正確的執(zhí)行了操作,根據(jù)頁面的內(nèi)容變化來判讀。當(dāng)然還有類似||1=1這種的。其實都是做的一個運算。只要符合SQL標(biāo)準(zhǔn)能夠正確的執(zhí)行就OK了。第二種是工具,這里指的工具,更多的含義還是指webinspect,appscan,awvs這類的基于爬蟲類的掃描工具。先去抓取整個網(wǎng)站的目錄結(jié)構(gòu),然后根據(jù)爬出來的鏈接,測試他的動態(tài)參數(shù)。無論是上述手段的哪一種,都會有一些缺陷。第一種不適合在大批量目標(biāo)的攻擊,因為顯然手工測試的范圍有限,第二種解決了第一個手段的缺陷,可以在一個比較大的應(yīng)用中,快速發(fā)現(xiàn)應(yīng)用程序的漏洞。但是目前來說,仍然存在很多的問題。比如,現(xiàn)在比較大型的應(yīng)用,都是采用類似前端反向代理,后端動態(tài)解析的架構(gòu)。這種架構(gòu)的出現(xiàn),大量的使用ajax的應(yīng)用,交互式連接,json接口等等。這些東西用爬蟲是識別不到的。因此用類似webinspect這樣的工具,根本就掃不到什么問題。前陣子看到說awvs可以做web2.0的掃描,可以識別到ajax請求,但是我用最新版的對比測試,發(fā)現(xiàn)還是不行?,F(xiàn)在解決這類的問題,貌似有很多辦法,國內(nèi)的我看到aiscanner號稱可以用web2.0的引擎或者js引擎解決這個問題,用javascript虛擬引擎加上沙盒技術(shù)。這個我查了一些資料,包括在developerworks上也是只看到寥寥的幾個介紹。我猜是不是類似用node.js運行一些東西,模仿類似XHR的方式去獲取一些交互式的,ajax的鏈接?希望有大牛能給我指點下。

0×02基于代理攔截的WEBFUZZ工具

當(dāng)然,隨著技術(shù)的發(fā)展,很早的時候就出現(xiàn)過一些比較好的辦法,比如用代理中轉(zhuǎn)的方式來獲取連接,工具類似有的fiddler和burpsuite之類的。fiddler目前官方有一個比較好的插件是Ammonite,運行后如下

在results里,可以看到發(fā)包和收包后的過程

首先說說這個插件,我目前測試的情況來說,準(zhǔn)確率是比較差的,電腦資料《關(guān)于自動化web安全測試動態(tài)fuzz的思路與實踐分析(圖文)》。其實他準(zhǔn)確率差和誤報率高的一個原因,是因為檢測漏洞類型和檢測方法都比較的簡單。打一個比方,這種類似中間代理的軟件,大多數(shù)都是延續(xù)這種思路的,他們在檢測SQL注入的時候,一般都是要不就是取網(wǎng)頁內(nèi)容里的SQL錯誤關(guān)鍵字,要不就是根據(jù)HTTP狀態(tài)碼來判斷。這其實在現(xiàn)在來說,是比較老的檢測方法,更多的,在做了相關(guān)的運算后,則需要取頁面長度啊,是否跳轉(zhuǎn)啊這些來判斷的。這里先留一個坑,等會我說基于瀏覽器的自動化fuzz工具的時候,會說到。

除此之外,fiddler上其實還有很多類似的插件,比如這個日本人寫的

這個插件比較類似burpsuite+fuzzdb的效果

先是攔截請求.

講請求發(fā)送到攻擊模塊

在burpsuite里加載fuzzdb的數(shù)據(jù)進(jìn)行進(jìn)行測試

可以選擇fuzz的模式

也可以自己加payloads,fuzz對比里也有

設(shè)置相關(guān)的測試參數(shù)

點擊startattack開始攻擊

開始攻擊,攻擊后的結(jié)果.

看來比fiddler復(fù)雜許多是嗎?呵呵。其實這里有許多選項是可調(diào)的。這個自己研究下就可以了。設(shè)置好相關(guān)的參數(shù)后,測試起來也是相對要方便很多的。

關(guān)于主動掃描和被動掃描這個,我還想在這里多說一句,無論是burpsuite還是fiddler,這種基于代理攔截的工具其中一個缺點就是主動掃描的功能太弱。當(dāng)然,現(xiàn)在burpsuite有一些改進(jìn),可以做一些主動掃描的事,但還是太弱。

Burpsuite和fiddler其實都是一個原理,通過代理中轉(zhuǎn)攔截所有htt

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論