怎么手艺浸透测验Web应用程序(一):入门
在这个系列文章中,咱们将演示怎么手艺浸透测验web应用程序而不运用自动化东西。世界上大多数公司都十分重视对web应用程序的手艺测验,而不是运转web应用程序扫描器——由于它会约束你的常识和技术,影响在测验中寻觅缝隙的视界。
在整个系列文章中,我将运用下面的程序:
NOWASP Mutiliadae
BURP Proxy
NOWASP Mutiliadae
NOWASP Mutiliadae是一个包含了40多个缝隙的web应用程序。它包含OWASP的top 10缝隙,也有其它安排的列表中的缝隙。其中有能够运用web应用程序扫描器(比方Vega, Acunetix, Nikto, w3af等)扫描出的小型和中型缝隙。我将运用这个程序的最新版别,它以面向对象的办法规划,这能够让咱们更好地了解web应用程序的一切缝隙。
Burp Suite
我将用到的别的一个东西是Burp Proxy。它是一个介于客户端(阅读器程序,比方Firefox或许Chrome)和网站或服务器之间的署理。它将在我的本地核算机上运转,截获阅读器和方针机(在咱们的环境中,方针机是NOWASP Mutiliadae)之间的出站或入站流量。这个东西的首要效果在于,当你恳求拜访一个服务器时,Burp Suite阻拦从你的机器发往服务器的恳求,你能够依据需求改动恳求的内容。它也能够显现恳求的类型,是GET或是POST恳求,或许是其它类型的恳求。Burp也有别的一个功用,能够显现你发往网站的参数列表。你能够依据检查web应用程序的安全性的需求操作恳求内容。为了阻拦恳求,你的Burp Proxy listener有必要装备成监听127.0.0.1 localhost的8080端口。然后你还需求设置阅读器的署理装备,完结之后,挑选Suite => proxy tab => Intercept,敞开阻拦。我不会深化介绍一切的tab选项卡以及他们的功用。你能够检查Burp的手册和文档。
Web的作业流程
在开端之前,你应该了解web在后端是怎么作业的,这些你在web阅读器是看不到的。当你拜访一个网站时,你的阅读器拜访web服务器上的一个文件,这个文件能够是HTML, PHP, js (JavaScript), CSS, ASPX等等。运用Burp Suite,咱们能调查到下图所示的恳求。为了检查恳求,我按上面的办法装备了Burp和阅读器,然后拜访下图所示的HTML5 storage page。
一旦我点击了超链接,Burp就会阻拦这个恳求,内容如下。你能够看到它是一个拜访服务器上的index.php页面的恳求。这儿的参数是page,参数的值是html5-storage.PHP。
GET /chintan/index.php?page=html5-storage.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:27.0) Gecko/20100101 Firefox/27.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://localhost/chintan/
Cookie: showhints=0; username=chintan; uid=19; PHPSESSID=j53u16lcdkjq0eec6nfijphkd4
Connection: keep-alive
我想要拜访这个页面,所以我转发这个恳求。怎么你检查response选项卡,会发现我收到了一个“200 OK”的呼应。
HTTP/1.1 200 OK
Date: Sat, 28 Dec 2013 23:30:08 GMT
Server: Apache/2.4.3 (Win32) OpenSSL/1.0.1c PHP/5.4.7
X-Powered-By: PHP/5.4.7
Logged-In-User: chintan
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html
Content-Length: 46178
“200 OK”表明我的恳求被成功履行,并给我返回了呼应。假如调查阅读器,就会发现一切的web页面都现已加载了。
留意:你每次发送恳求的时分,都会动态创立一个HTML文件。后台的PHP文件会接纳到你的恳求,创立一个HTML文件并发送给你的阅读器,阅读器担任烘托页面。你在web阅读器上看到的并不是一个web页面,而是阅读器对页面该怎样图形化展现的解说。
“不要只看在web阅读器上看到的图画,要常常操练以源代码的办法检查web页面以便了解它。你要尽或许了解JavaScript, XML, 以及一切的HTML标签。”
怎么下手
当开端测验时,初学者普遍存在的问题是该从哪里下手。咱们都知道黑客的作业周期。第一个阶段是信息搜集或许侦办。在这个比如中,我将尽或许多得获取关于网站和服务器的信息,并不需求阅读一切的web页面。假如你留意到上面的恳求和呼应,咱们现已得到了一些东西。有如下信息:
有很多种搜集信息的办法。人们大多运用Google,Recon-ng结构等应用程序安全测验东西。我将运用Burp Suite中的spider列出方针的一切页面和文件夹。首要,翻开history,选中你拜访的第一个页面。右击它,挑选add to the scope选项。
现在,假如你翻开target选项卡,你会看到网站的规模。在我的比如中是localhost,如下图所示。
[1] [2] 黑客接单网
