我的web渗透学习心得(一)

        好久没写博客了,上次写博客还是在上学期.而且以前写博客都是写写一周做了些什么.这次分享一些自己学web渗透的一些心得吧(仅作个人心得,谨慎参照,有大佬路过还望指点一下~).此前一直在学Java web.这次趁着五一假期好好钻研了下web渗透.其实我一直觉得每个学计算机的人都有黑客梦,炫酷吊炸天啊......其实很早我就想学web安全.上学期在工作室学了一个学期的前端打了下基础.看了很多web安全的路线啊,入门书籍啊,视频啊,大佬经验啊.寒假的时候看道哥的《白帽子讲web安全》前面还好，勉强看的懂，越看越觉得自己还要学好多前置知识点。就放下了。个人觉得不太适合入门。有一定基础后再回头品味会比较好。其实我一直挺后悔自己学的太晚了，别人在我这个年龄都组队去打CTF了(我的目标就是作为一只web狗去参赛啊~) 。后来我从网上找了网易云的web安全微专业视频课程，说实话，看目录觉得课程很成体系。但每一节都很短，比如XSS，CSRF......都只是讲了原理，好吧其实也有实例，看完后好像理解了却难以加以运用。再后来，我看cracer的渗透测试视频,很详细,嗯,很详细手把手教学.可是不适合我,一方面是感觉他有点过时,很多案例我自己去试就实现不了.另一方面是觉得他讲的主要是工具方面的使用.其实我是比较喜欢原理的,比如SQL注入很多都是工具实现不了的,需要手工注入.其实我刚开始学渗透的时候是很受挫败的,找不到网站去测试,测试也大多失败.不过,说实话我的热情从没降低过,学渗透时候的那种感觉是难以言喻的快感.然后我发现了一个平台 实验吧 用虚拟机构建了攻防环境.真的玩的爽啊.其实类似的平台有很多i春秋啊什么的.

下面整理下我这周的学习笔记:

kaliLinux部分工具:

Mitmproxy

• 中间人代理工具
• 拦截http请求,在请求过程中修改数据
• 保存整个http请求的数据
• 延迟客户端的请求和响应
• 反向代理功能
• 透明代理功能
• 使用Python做修改
• 支持https请求的中间代理功能

Owasp-zap

• OWASP Zed Attack Proxy Project攻击代理(简称ZAP)是一款查找网页应用程序漏洞的综合类渗透测试工具.它包含了拦截代理,自动处理,被动处理,暴力破解,端口扫描以及蜘蛛搜索等功能
• OWASP ZAP为会话类调试工具,调试功能对网站不会发起大量请求,对服务器影响较小

Paros

paros proxy 是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于java的web代理程序,可以评估web应用程序的漏洞,它支持动态的编辑查看    HTTP/HTTPS    从而改变cookies和表单字段等项目.它包括一个web通信记录程序,web圈套程序(Spider),hash计算器,还有一个可以测试常见的web应用程序攻击(如sql注入式攻击,跨站脚本攻击)的扫描器,该工具检查漏洞形式包括:SQL注入,跨站点脚本攻击,目录遍历等

Burp Suite

是用于攻击web应用程序的集成平台

代理Burp Suit带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并修改从客户端到web应用程序的数据包

web会话安全分析工具proxystrike

在Web应用中，客户端发出一次请求，服务器响应一次。这构成一个完整的会话。通过分析请求和响应的数据，可以发现Web应用存在的漏洞。Kali Linux提供一款专用工具ProxyStrike。该工具提供HTTP代理功能，可以跟踪HTTP会话信息，并进行分析统计。同时，该工具也提供拦截功能，安全人员可以对每个会话进行分析和修改，以获取服务器的不同响应。

该工具还通过插件模式，提供安全扫描功能。该工具默认集成SQL注入和XSS两个插件。在捕获会话的同时，该工具会自动进行安全检测，以发现目标服务器存在的漏洞。安全人员也可以使用该工具对目标网站进行爬取，以搜集更多的网站资源，并同时进行安全检测。

WebScarab

一款代理软件,包括HTTP代理,网络爬行,网络蜘蛛,会话id分析,自动脚本接口,模糊测试工具,web格式的编码/解码,web服务描述语言和soap解析器等功能模块,webscarab基于GNU协议,使用java编写,是WebGoat中所使用的工具之一

两个基本案例

以SQL注入入手,目标为熟悉基本的思路,关注细节信息

基本步骤:

1.通过Google hack寻找测试目标

    inurl:asp?id=

2.一个asp站点的SQL注入