渗透测试实践指南必知必会的工具与方法(第六章、基于Web的漏洞利用)
小编:动力软件园 时间:2016-08-03 14:49:44
1.常见Web应用入侵框架:
①w3af(Web应用程序审计和攻击框架);
②Burp Suite;
③ZAP(OWASP的Zed攻击代理);
④Websecurify;
⑤Paros;
2.Web入侵的基本思路
①拦截离开浏览器的请求(通过使用代理 Proxy)
②寻找组成Web应用的所有网页、目录和其他文件
(提供对攻击面的深入理解,由自动化的“Spidering”(爬虫)完成;
Spidering这种活动没有隐蔽性;
注意设置Spidering不要访问注销用户的链接;
假如可以,注意指定Spidering搜索目标网站中的特别目录和路径)
③分析Web应用响应、检查其漏洞
(自动化Web扫描程序可以发现的Web漏洞有:
SQL注入,XSS,文件路径操纵攻击(也被称作目录遍历)等
3.Nikto
一款Web服务器漏洞扫描工具(要想运行需要事先安装Perl)
使用实例: nikto -h 192.168.13.182 -p 1-1000
nikto -h192.168.18.132 -p 80,443
< -h >:指定一个主机IP地址
< -p >:指定端口号(多个不连续的端口号用“,”分隔,例如“80,443”)
(若不指定端口号,Nikto仅会扫描80端口)
< -o >:使用“-o /path/file_name”可以将Nikto的输出结果保存在该文件中
4.w3af
①一款出色的Web资源扫描和漏洞利用工具,提供了易用的界面,渗透测试者可以用 它快速而轻松地找出几乎所有重要的Web漏洞,包括跨站请求伪造,文件包含, SQL 注入,XSS等
②强烈建议花时间探索和使用这一工具!
5.WebScarab
①与目标服务器进行交互的首选工具
②使用该工具的Spidering功能之前,确保它处于“full-featuredinterface(全功能界面)”模式,而不是“LiteInterface(精简界面)”模式
7.代码注入攻击
注入攻击最基本的类型:SQL Injection
8.XSS(Cross Site Scripting跨站脚本攻击)
将脚本程序注入到Web应用程序中的过程
①reflected(非持久化)XSS,也被称为“First Order(首选)XSS”
②stored(持久化) XSS
③掌握reflected XSS 和 stored XSS后,你应该着手研究基于DOM 的 XSS了。
9.ZAP(Zed Attack Proxy)
①全功能的Web入侵工具包
②启动命令:zap
10.如何实践
①WebGoat(OWASP开发,基于J2EE构建,运行前确保系统安装了JRE,使用链接为:http://127.0.0.1:8080/webgoat/attack)
②DVWA(Damn Vulnerable Web APP)
用PHP和MySQL制作的不安全应用程序,以提供测试环境
11.接下来该做什么
①学习Web应用Hacker更高级的主题,包括:
客户端攻击、会话管理、源代码审计
②关注OWASP的“Top Ten”项目
③《The Basic of Web Hacking:Tools and Techniques to Attackthe Web 》
——Josh Pauli