在线发布、提交软件

当前位置:首页 > 电脑教程 > 网络安全

渗透测试实践指南必知必会的工具与方法(第六章、基于Web的漏洞利用)

时间:2016-08-03 14:42:33  来源:软件园  作者:动力软件园

1.常见Web应用入侵框架:

       ①w3af(Web应用程序审计和攻击框架);

       ②Burp Suite;

       ③ZAP(OWASP的Zed攻击代理);

       ④Websecurify;

       ⑤Paros

2.Web入侵的基本思路

       ①拦截离开浏览器的请求(通过使用代理 Proxy)

       ②寻找组成Web应用的所有网页、目录和其他文件

         (提供对攻击面的深入理解,由自动化的“Spidering”(爬虫)完成;

              Spidering这种活动没有隐蔽性;

              注意设置Spidering不要访问注销用户的链接;

              假如可以,注意指定Spidering搜索目标网站中的特别目录和路径)

       ③分析Web应用响应、检查其漏洞

              (自动化Web扫描程序可以发现的Web漏洞有:

               SQL注入,XSS,文件路径操纵攻击(也被称作目录遍历)等

3.Nikto

       一款Web服务器漏洞扫描工具(要想运行需要事先安装Perl)

       使用实例:   nikto -h 192.168.13.182 -p   1-1000

                            nikto -h192.168.18.132 -p 80,443

       < -h >:指定一个主机IP地址

       < -p >:指定端口号(多个不连续的端口号用“,”分隔,例如“80,443”)

                     (若不指定端口号,Nikto仅会扫描80端口)

       < -o >:使用“-o /path/file_name”可以将Nikto的输出结果保存在该文件中

4.w3af

①一款出色的Web资源扫描和漏洞利用工具,提供了易用的界面,渗透测试者可以用       它快速而轻松地找出几乎所有重要的Web漏洞,包括跨站请求伪造,文件包含,       SQL 注入,XSS等

       ②强烈建议花时间探索和使用这一工具!

5.WebScarab

①与目标服务器进行交互的首选工具

②使用该工具的Spidering功能之前,确保它处于“full-featuredinterface(全功能界面)”模式,而不是“LiteInterface(精简界面)”模式

7.代码注入攻击

       注入攻击最基本的类型:SQL Injection

8.XSS(Cross Site Scripting跨站脚本攻击)

              将脚本程序注入到Web应用程序中的过程

       ①reflected(非持久化)XSS,也被称为“First Order(首选)XSS”

       ②stored(持久化) XSS

       ③掌握reflected XSS 和 stored XSS后,你应该着手研究基于DOM 的 XSS了。

9.ZAP(Zed Attack Proxy)

       ①全功能的Web入侵工具包

       ②启动命令:zap

10.如何实践

       ①WebGoat(OWASP开发,基于J2EE构建,运行前确保系统安装了JRE,使用链接为:http://127.0.0.1:8080/webgoat/attack)    

       ②DVWA(Damn Vulnerable Web APP)

              用PHP和MySQL制作的不安全应用程序,以提供测试环境

11.接下来该做什么

①学习Web应用Hacker更高级的主题,包括:

       客户端攻击、会话管理、源代码审计

②关注OWASP的“Top Ten”项目

③《The Basic of Web Hacking:Tools and Techniques to Attackthe Web 》

                                                                                                         ——Josh Pauli