第14章 定制攻击自动化
14.1 应用定制自动化攻击
- 枚举标识符
- 获取数据
- Web应用程序模糊测试
14.2 枚举有效的标识符
14.2.1 基本步骤
- 寻找标识符
- 向应用程序提交大量自动请求,循环浏览所有潜在标识符
14.2.2 探测“触点”
- HTTP状态码
- 响应长度
- 响应主体
- Location消息头
- Set-Cookie消息头
- 时间延迟
14.2.3 编写攻击脚本
14.2.4 JAttack
14.3 获取有用的数据
14.4 常见漏洞模糊测试
14.5 整合全部功能:Burp Intruder
- 安置有效载荷
- 选择有效载荷
- 配置响应分析
- 枚举标识符
- 获取信息
- 应用程序模糊测试
14.6 实施自动化的限制
- 会话处理机制
- CAPTCHA控件