Web入侵安全测试与对策学习笔记之(二)——获取目标信息之淘金

最新推荐文章于 2022-04-12 13:27:12 发布
最新推荐文章于 2022-04-12 13:27:12 发布
阅读量2.2k 收藏 7
点赞数
分类专栏: 安全测试 文章标签: web 测试 浏览器 coldfusion web服务 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aovenus/article/details/7893296
版权

Web安全测试之——获取正确的目标信息

在战争中,通常都会需要花费大量时间去搜索、收集敌人的情报信息,用于及时了解敌人的动态,便于及时准备和调整战争部署,充分合理的利用自身的攻击能力——知彼知己者,百战不殆《孙子.谋攻》

Web安全测试也是如此,为了尽可能多的找出系统存在的重大安全bug,就需要进行“攻击”,而在攻击之前,首先要做就是收集、获取目标相关信息——通常所说的踩点。

 

1、淘金

Web安全测试需要从正确的着眼点入手,而不是盲目进行,误入歧途,就像淘金一样,需要首先选择存在金子的小溪,从其中含有砂子和岩石、金子等的小溪中去淘金,过滤掉砂子、岩石,从而获取到需要的金子。

如何使用、实施这种攻击?

主要从哪些方面进行:

       1HTML代码中嵌入的注释

       HTML中的注释方法为:

       <!—注释的内容 -->

     其他的ASPPHPPerl等的注释为//*/…*/等。

      ColdFusion使用的注释为:<!---注释的内容 --->

     常用的搜索汇总如下:

       

      

      

       2HTML代码中的敏感信息

      源代码中寻找的信息包括一些不应该泄露的秘密,例如数据库名称、用户名和密码等。

       3、服务器端的出错信息和HTTP响应

检查页面之间传递的参数,通过把参数修改为超出其正常值范围或数据类型限制之外的结果,可以发现一些对于攻击者而言很有用的细节或是得到错误的页面。

对于需要查看使用POST提交方式传递的数据,可以使用web代理程序,如webscarabburpsuite等。

POST请求时用于提交复杂表单最常见的方法,不同于GET取值,我们无法仅通过查看网页浏览器窗口顶部的URL来得知所有被传递的参数,参数经由连接从我们的浏览器传送到服务器。

我们可以使用web代理工具,观察提交的POST数据,而WebScarab就是一种web代理,代理介于浏览器与真实的web服务器之间,所以利用它可以截获消息并阻止或更改这些消息。

下面是通用的代理架构:

WebScarab与常见的web代理有以下两点不同:

WebScarab通常与web客户端运行在一台计算机上,而常规代理则搭建起来作为网络环境的一部分。

WebScarab用于显示、存储、操纵HTTP请求和响应中与安全有关的内容。

 

要使用WebScarab截获数据包,需要先进行浏览器网络代理设置,设置步骤如下:

启动WebScarab

打开浏览器工具—>选项下的网络,设置代理为127.0.0.1localhost,端口8008.

设置完成后,在浏览器中访问需要提交POST数据的页面,可以在WebScarab查看到截获的数据信息,如下图所示:

按照以上步骤,我利用WebScarab捕获登录CSDN论坛,从捕获的数据可以看到提交的用户名、密码均明文显示,同时还可以看到登录用户的隐藏信息(包括用户IDuserid、登录用户名username、登录密码password、注册邮箱email、上次登录时间lastlogintime、登录次数logintimes、上次登录ip地址lastloginip、是否删除isdeleted、注册ip地址registerip、注册时间registertime、是否激活isActived、角色组role、是否锁定isLocked),有兴趣的同学可以尝试看下。

其他类似的web代理工具还有IEHttpHeaders(访问地址:http://www.blunck.info/iehttpheaders.html)、Paros(访问地址:http://www.parosproxy.org/225235.html)等,有兴趣的同学可以访问了解、使用。

 

       4、应用程序出错信息

       对于出错信息,比较经典的例子是用户登录,输入登录用户名和密码,如果应用程序对于错误的用户名返回了一个出错信息,而对于错误的密码返回了另外一个错误信息,那么攻击者就可以根据返回值猜到正确的用户名。

 

      前两个方面需要阅读应用程序的源代码以寻找对于攻击者有用的信息,后两个方面要提交错误的输入并仔细分析所产生的出错信息以获得有用的信息。

      源代码和错误信息对于攻击者是很有价值的,它们能够帮助攻击者确定,那个web页面包含了“黄金”,而那些只有“砂石”。

 

如何防范这种攻击?

1、检查源代码中的任何注释(包括应用代码和HTML)以确定哪些是有用的和可以理解的信息(它们对于用户和开发人员是有用的),哪些是信息泄露(它们对于攻击者是有用的)。最好的办法是在产品化的代码中删除注释信息,只在开发者内部的服务器上保留带有注释的版本。——区别对待

2、对于出错信息,不管出错信息来自web服务器、开发平台还是来自web应用程序本身,都需要尽可能的避免信息泄露,反馈给用户的信息尽可能简洁而有价值。例如,用户输入错误的密码登录时,应当返回这样的错误信息“您输入的用户名或密码错误”,对于攻击者来说无法确定究竟是用户名还是密码出现了错误。

不要泄露所有的细节信息,应当把它们保存在服务器端的日志文件里,它们在出错调试时非常有用。另外,定期扫描查看日志文件可以了解用户被应用程序拒绝的情况以及系统遭受了什么样的攻击。

 

【说明】以上来自《web入侵安全与对策》一书学习笔记及摘录整理汇总,特此说明!

 

aovenus
关注
专栏目录
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
杨秀璋的专栏
07-31 10万+
最近开始学习网络安全相关知识,接触了好多新术语,感觉自己要学习的东西太多,真是学无止境,也发现了好几个默默无闻写着博客、做着开源的大神。准备好好学习下新知识,并分享些博客与博友们一起进步,加油。非常基础的文章,大神请飘过,谢谢各位看官!
[网络安全自学篇] 十四.基于机器学习入侵检测和攻击识别——以KDD CUP99数据集为例
热门推荐
杨秀璋的专栏
11-23 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。这篇文章将分享机器学习在安全领域的应用,并复现一个基于机器学习入侵检测和攻击识别。严格意义上来说,这篇文章是数据分析,它有几个亮点: (1) 详细介绍了数据分析预处理中字符特征转换为数值特征、数据标准化、数据归一化,这都是非常基础的工作。 (2) 结合入侵检测应用KNN实现分类。 (3) 绘制散点图采用序号、最小欧式距离、类标,ROC曲线绘制都是之
Web安全防攻(渗透测试
m0_62959521的博客
04-07 3230
章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程序中会有5...
Web入侵安全测试对策
拟声的主扬在江湖
02-18 443
Web入侵安全测试对策     本书是一本对基于Web的软件进行安全性测试的权威的随身指南,本书的两位资深专家重点介绍了各种针对Web软件的攻击...更多
Web入侵安全测试对策》读书笔记
某技术爱好者的专栏
10-08 1967
Web入侵安全测试对策》读书笔记
Web入侵安全测试对策学习笔记(一)——总览
aovenus的专栏-测试新时代(微信公众号:测试新时代)
08-21 1158
Web入侵安全测试对策web客户端进行测试需要考虑的特殊问题: 1、恶意的用户可以篡改客户机上的数据——一切皆有可能 结论:在没有得到服务器端对数据的双重认证时,不要在客户端执行重要的运算和验证。 2、来自web客户机的全部数据流都需要被歧视为不可信赖的,并且对其进行验证——信任来自认可 结论:来自客户机的所有数据都需要被仔细验证。 3、用户对客户端的所有代码都有访问权限——我的
Web入侵安全测试对策学习笔记之()——获取目标信息之猜测文件与目录
aovenus的专栏-测试新时代(微信公众号:测试新时代)
08-23 1641
默认情况下,web应用部署在默认路径下,如IIS默认在C:\Inetpub下,如果攻击者能够猜测到文件名和存放位置,就可以直接在浏览器的地址栏里输入绝对地址和文件名来访问这些文件。 如何使用这种攻击? 在对目标系统进行了页面映射(可以使用Web crawlers、wget、BlackWindow工具)之后,就可以很容易知道页面命名转换的模式或是一些明显缺少的部分了。 如何实施这种攻击? 对
PC微信hook学习笔记(一)—— 获取个人信息
qq_32886245的博客
12-27 7728
这次跟着课程学习下如何发送微信消息。本篇笔记学习教程:找微信个人数据基址。
学习笔记:深度学习(3)——卷积神经网络(CNN)理论篇
Morganfs的博客
04-12 10万+
深度学习笔记——CNN卷积神经网络理论篇。主要包括CNN的概念、基本原理、类型综述。算是比较完善的一篇文章了。
Web安全攻防渗透测试实战指南》学习笔记
K1ose的博客
06-17 3867
学习笔记第一章 渗透测试信息收集第章第三章 第一章 渗透测试信息收集 知己知彼,百战不殆 ——《孙子兵法》信息收集: 1. 服务器的配置信息 1. 网站敏感信息 具体细节: 1. 收集域名信息:域名->域名注册信息:DNS服务器信息、注册人信息 方法: 1)Whois查询 i. Whois是一个标准的互联网协议,可用于收集网络注册信息,注册的域名,
安全测试自学】初识安全测试(一)
weixin_30629977的博客
01-17 672
学习资料: 安全测试专家成长系列之-初探Web安全1.mp4 (1)初始安全测试的各类安全问题 (2)安全事件案例集 (3)安全测试的未来 (4)总结和讨论 一、什么是安全测试?? 就是Hack! 白帽子:不违反法律,利用自己的安全技术去做一些事情,合理合法,并帮助厂商去维修。 黑帽子:违反法律去做一些安全方面的事情。 灰帽子:熊猫...
安全测试学习:基础了解和nmap
xuqide77的博客
06-23 888
1.一些安全漏洞相关网站 (1)国家信息安全漏洞共享平台 https://www.cnvd.org.cn/ (2)先知社区(阿里的) xz.aliyun.com (3)世纪佳缘安全应急响应中心 https://src.jiayuan.com/ (4)阿里应应急响应中心(或是腾讯src、美团src) https://security.alibaba.com/ (5)安全课-安全咨询平台(360) https://www.anquanke.com/ (6)实验吧-可以有一些练习 http://www.shiya
web渗透初学笔记
Taowood的博客
07-15 2万+
web基础知识 前端漏洞:钓鱼、暗链、xss、点击劫持、csrf、url跳转 后端漏洞:sql注入、命令注入、文件上传、文件包含、暴力破解   例子 报文   熟悉状态码   目前流行的网站架构   搭建phpstudy集成软件   在PHPstudy的mySQL中操作SQL语法 创建数据库  CREATE DATABASE my_db; 查...
Web开发基本准则-55实录-Web访问安全
weixin_34309543的博客
10-15 159
  Web开发工程师请阅读下面的前端开发准则,这是第一部分,强调了过去几年里我们注意到的Web工程师务须处理的Web访问安全基础点。尤其是一些从传统软件开发转入互联网开发的工程师,请仔细阅读,不要因为忽视这些基础点而制造一个又一个的漏洞或突发事件。 Web开发基本准则-55实录-Web访问安全 郑昀 创建于2013年2月 郑昀 最后更新于2013年10月14日 提纲: Web访问...
跨入安全的殿堂--读《Web入侵安全测试对策》感悟
weixin_34146410的博客
09-09 191
前言     最近读完了《Web入侵安全测试对策》,从中获得了不少灵感。此书介绍了很多Web入侵的思路,以及国外著名安全站点,使我的眼界开阔了不少。在此,我重新把书中提到的攻击模式整理归纳了一遍,并附上相关的一些参考资料,希望会对各位Web开发人员和安全测试人员有所帮助。     现在Web攻击方式日新月异,但基本思想很多都源于下面的攻击方式,比如,下面提到的“SQL注入”和“命令注入”就是注入...
WebScarab入门指南
clangke的专栏
03-16 4375
WebScarab具有大量的功能,因而可能会让新用户有一种无从下手之感。为求简单起见,拦截和修改浏览器和HTTP/S服务器的请求和响应可以作为初学者很好的入门课,因为这无需学习太多的内容就可以完成。首先,我们假定您能够自由访问因特网,也就是说,您并非位于一个代理之后。为简单起见,我们还假定您使用的浏览器是Internet Explorer。 图7上面是WebScarab启动后的截图,其中有几个主要的区域需要介绍一下。首先要介绍的是工具栏,从这里可以访问各个插件,摘要窗口(主视图)和消息窗口。摘要窗口分成两个
WebScrab代理工具使用方法
snert的专栏
11-10 2076
WebScarab说白了就是一个代理工具,他可以截获web浏览器的通信过程,将其中的内容分析出来,使你很容易修改,比如我发一个submit请求,WebScarab首先截获到,不急着给真正的服务器,而是弹出一个窗口让你可以修改其中的内容,修改结束了再提交给服务器,如果网页的输入框进行了一些限制,如长度限制、数字格式限制等,只能使用这种方式进行修改了;它也可以修改服务器返回的response,这就可以
提升Web编程安全:实战笔记与策略
"在长达6年的Web编程经历中,作者意识到自己对Web安全的深入学习有所欠缺,特别是在认证和授权之外。为了弥补这一空白,作者阅读了《Web安全设计之道》一书,尽管部分内容来源于微软官方文档,但作者认为这本书还是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值