零基础学黑客,搜索公众号:白帽子左一
概述
传统安全测试主要依靠基于漏洞类型的自动化扫描检测,辅以人工测试,来发现如SQL注入、XSS、任意文件上传、远程命令执行等传统类型的漏洞,这种方式往往容易忽略业务系统的业务流程设计缺陷、业务逻辑、业务数据流转、业务权限、业务数据方面的安全风险。
过度依赖基于漏洞的传统安全测试方式脱离了业务系统本身,不与业务数据相关联,很难发现业务层面的漏洞,企业很可能因为简单的业务逻辑漏洞而蒙受巨大损失。
一.登录认证模块
1.暴力破解测试
概述
暴力破解测试是指针对应用系统用户登录账号与密码进行的穷举测试,针对账号或密码进行逐一比较,直到找出正确的账号与密码。
一般分为以下三种情况:
①.在已知账号的情况下,加载密码字典针对密码进行穷举测试;
②.在未知账号的情况下,加载账号字典,并结合密码字典进行穷举测试;
③.在未知账号和密码的情况下,利用账号字典和密码字典进行穷举测试。
复现过程
第一步:在目标的登陆页面输入账户名和密码,点击确定时用burp抓包。
第二步:将数据包发送给Intruder模块,并且指定爆破点
第三步:加载字典,开始攻击,根据响应来判断密码/用户名是否正确
2.Session 会话固定测试
概述
Session 是应用系统对浏览器客户端身份认证的属性标识,在用户退出应用系统时,应将客户端 Session 认证属性标识清空。
如果未能清空客户端 Session 标识,下次登录系统时,系统会重复利用该 Session 标识进行认证会话。
攻击者可利用该漏洞生成固定Session 会话,并诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话认证被窃取。
漏洞复现
第一步:登陆目标网站之后,用burp查看数据包,重点查看类似SessionID的字符,并记录。
第二步:重新登陆,再次用burp查看数据包,对比两个数据包中的SessionID的字符,如果相同则漏洞存在。
3.Seesion 会话注销测试
概述
Session 是应用系统对浏览器客户端身份认证的属性标识,在用户注销或退出应用系统时,系统应将客户端 Session 认证属性标识清空。
如果未能清空 Session 认证会话,该认证会话将持续有效,此时攻击者获得该 Session 认证会话会导致用户权限被盗取。
漏洞复现
第一步:登陆目标网站之后,选择一个功能,比如结算订单等等,然后将这个数据包发送给Repeater模块。