4.1.6-确定应用程序注入点

已于 2023-09-13 15:47:25 修改
阅读量119 收藏
点赞数
分类专栏: 4.1 信息收集 文章标签: web安全
于 2023-09-13 15:47:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44232452/article/details/132854996
版权

确定应用程序注入点

ID
WSTG-INFO-06

总结

在进行任何彻底测试之前,枚举应用程序及其攻击面是一个关键的前提,因为它允许测试人员识别可能的弱点区域。本节旨在帮助识别和绘制应用程序中在完成枚举和映射后应调查的区域。

测试目标

  • 通过请求和响应分析确定可能的入口和注入点。

如何测试

在开始任何测试之前,测试人员应始终很好地了解应用程序以及用户和浏览器如何与之通信。当测试人员遍历应用程序时,他们应该注意所有 HTTP 请求以及传递给应用程序的每个参数和表单字段。他们应该特别注意何时使用 GET 请求以及何时使用 POST 请求将参数传递给应用程序。此外,他们还需要注意何时使用其他方法进行 RESTful 服务。

请注意,为了查看请求正文(如 POST 请求)中发送的参数,测试人员可能希望使用拦截代理等工具(请参阅工具)。在 POST 请求中,测试人员还应特别注意传递给应用程序的任何隐藏表单字段,因为这些字段通常包含敏感信息,例如状态信息、项目数量、项目价格等,开发人员从未打算让任何人查看或更改这些信息。

在此测试阶段使用拦截代理和笔记应用程序(例如,电子表格软件)在测试人员中很受欢迎。代理将在测试人员和应用程序探索时跟踪每个请求和响应。此外,此时,测试人员通常会捕获每个请求和响应,以便他们可以准确地看到传递给应用程序的每个标头、参数等以及返回的内容。这有时可能非常乏味,尤其是在大型交互式网站上(想想银行应用程序)。但是,经验将显示要寻找的内容,并且可以显着优化此阶段。

当测试人员遍历应用程序时,他们应该记下 URL、自定义标头或请求/响应正文中的任何有趣参数,并将它们保存在电子表格中。电子表格应包括请求的页面(最好也添加来自代理的请求编号,以供将来参考)、有趣的参数、请求类型(GET、POST 等)、访问是否经过身份验证/未经身份验证、是否使用 TLS、是否是多步骤过程的一部分、如果使用 WebSocket 以及任何其他相关说明。一旦他们绘制了应用程序的每个区域,他们就可以浏览应用程序并测试他们确定的每个区域,并记录哪些有效,哪些无效。本指南的其余部分将确定如何测试这些感兴趣的领域中的每一个,但本节必须在任何实际测试开始之前进行。

以下是所有请求和响应的一些兴趣点。在请求部分中,重点关注 GET 和 POST 方法,因为它们构成了大多数请求。请注意,还可以找到其他方法,例如 PUT 和 DELETE。通常,如果允许,此类罕见的请求可能会暴露漏洞。本指南中有一个专门用于测试这些 HTTP 方法的特殊部分。

请求

  • 确定 GIT 的使用位置和使用 POST 的位置。
  • 标识 POST 请求中使用的所有参数(这些参数位于请求正文中)。
  • 在 POST 请求中,请特别注意任何隐藏的参数。发送 POST 时,所有表单字段(包括隐藏参数)都将在 HTTP 消息正文中发送到应用程序。除非使用代理或查看 HTML 源代码,否则通常看不到这些内容。更改这些隐藏参数可能会导致加载的后续页面、它们包含的数据以及授予的访问权限级别发生变化。
  • 识别GET请求中使用的所有参数(即URL),特别是查询字符串(通常出现在?标记之后)。
  • 标识查询字符串的所有参数。这些通常采用成对格式,例如 foo=bar.另请注意, &, \~, :许多参数可以位于一个查询字符串中,由 、 、 或任何其他特殊字符或编码分隔。
  • 请注意,在一个字符串或 POST 请求中识别多个参数时,执行攻击将需要部分或全部参数。测试人员需要识别所有参数(即使它们是编码或加密的),并确定应用程序正在处理哪些参数。本指南的后面部分将介绍如何测试这些参数。此时,重要的是要确保识别它们中的每一个。
  • 还要注意通常看不到的任何其他或自定义类型标头(如debug: false)。

反应

  • 确定新 Cookie 的设置(Set-Cookie 标头)、修改或添加到的位置。

  • 在正常响应(即未修改的请求)期间识别任何重定向(3xx HTTP 状态代码)、400 状态代码(特别是 403 禁止访问)和 500 个内部服务器错误

  • 还要注意使用任何有趣的标头的位置。例如Server: BIG-IP ,指示站点已负载平衡。因此,如果站点已负载平衡并且一台服务器配置不正确,则测试人员可能必须发出多个请求才能访问易受攻击的服务器,具体取决于所使用的负载平衡类型。

OWASP 攻击面检测器

攻击面检测器 (ASD) 工具调查源代码并发现 Web 应用程序的终结点、这些终结点接受的参数以及这些参数的数据类型。这包括蜘蛛无法找到的未链接端点,以及客户端代码中完全未使用的可选参数。它还能够计算应用程序的两个版本之间的攻击面变化。

攻击面检测器可作为 ZAP 和 Burp Suite 的插件使用,并且还提供命令行工具。命令行工具将攻击面导出为 JSON 输出,然后可供 ZAP 和 Burp 套件插件使用。这对于源代码未直接提供给渗透测试人员的情况很有帮助。例如,渗透测试人员可以从不想提供源代码本身的客户那里获取 json 输出文件。

How to Use

CLI jar 文件可从https://github.com/secdec/attack-surface-detector-cli/releases下载。

您可以对 ASD 运行以下命令,以从目标 Web 应用程序的源代码中识别终结点。

java -jar attack-surface-detector-cli-1.3.5.jar <source-code-path> [flags]

下面是对OWASP RailsGoat运行命令的示例。

$ java -jar attack-surface-detector-cli-1.3.5.jar railsgoat/
Beginning endpoint detection for '<...>/railsgoat' with 1 framework types
Using framework=RAILS
[0] GET: /login (0 variants): PARAMETERS={url=name=url, paramType=QUERY_STRING, dataType=STRING}; FILE=/app/controllers/sessions_contro
ller.rb (lines '6'-'9')
[1] GET: /logout (0 variants): PARAMETERS={}; FILE=/app/controllers/sessions_controller.rb (lines '33'-'37')
[2] POST: /forgot_password (0 variants): PARAMETERS={email=name=email, paramType=QUERY_STRING, dataType=STRING}; FILE=/app/controllers/
password_resets_controller.rb (lines '29'-'38')
[3] GET: /password_resets (0 variants): PARAMETERS={token=name=token, paramType=QUERY_STRING, dataType=STRING}; FILE=/app/controllers/p
assword_resets_controller.rb (lines '19'-'27')
[4] POST: /password_resets (0 variants): PARAMETERS={password=name=password, paramType=QUERY_STRING, dataType=STRING, user=name=user, paramType=QUERY_STRING, dataType=STRING, confirm_password=name=confirm_password, paramType=QUERY_STRING, dataType=STRING}; FILE=/app/controllers/password_resets_controller.rb (lines '5'-'17')
[5] GET: /sessions/new (0 variants): PARAMETERS={url=name=url, paramType=QUERY_STRING, dataType=STRING}; FILE=/app/controllers/sessions_controller.rb (lines '6'-'9')
[6] POST: /sessions (0 variants): PARAMETERS={password=name=password, paramType=QUERY_STRING, dataType=STRING, user_id=name=user_id, paramType=SESSION, dataType=STRING, remember_me=name=remember_me, paramType=QUERY_STRING, dataType=STRING, url=name=url, paramType=QUERY_STRING, dataType=STRING, email=name=email, paramType=QUERY_STRING, dataType=STRING}; FILE=/app/controllers/sessions_controller.rb (lines '11'-'31')
[7] DELETE: /sessions/{id} (0 variants): PARAMETERS={}; FILE=/app/controllers/sessions_controller.rb (lines '33'-'37')
[8] GET: /users (0 variants): PARAMETERS={}; FILE=/app/controllers/api/v1/users_controller.rb (lines '9'-'11')
[9] GET: /users/{id} (0 variants): PARAMETERS={}; FILE=/app/controllers/api/v1/users_controller.rb (lines '13'-'15')
... snipped ...
[38] GET: /api/v1/mobile/{id} (0 variants): PARAMETERS={id=name=id, paramType=QUERY_STRING, dataType=STRING, class=name=class, paramType=QUERY_STRING, dataType=STRING}; FILE=/app/controllers/api/v1/mobile_controller.rb (lines '8'-'13')
[39] GET: / (0 variants): PARAMETERS={url=name=url, paramType=QUERY_STRING, dataType=STRING}; FILE=/app/controllers/sessions_controller.rb (lines '6'-'9')
Generated 40 distinct endpoints with 0 variants for a total of 40 endpoints
Successfully validated serialization for these endpoints
0 endpoints were missing code start line
0 endpoints were missing code end line
0 endpoints had the same code start and end line
Generated 36 distinct parameters
Generated 36 total parameters
- 36/36 have their data type
- 0/36 have a list of accepted values
- 36/36 have their parameter type
--- QUERY_STRING: 35
--- SESSION: 1
Finished endpoint detection for '<...>/railsgoat'
----------
-- DONE --
0 projects had duplicate endpoints
Generated 40 distinct endpoints
Generated 40 total endpoints
Generated 36 distinct parameters
Generated 36 total parameters
1/1 projects had endpoints generated
To enable logging include the -debug argument

您还可以使用-json标志生成 JSON 输出文件,该标志可由 ZAP 和 Burp Suite 的插件使用。有关更多详细信息,请参阅以下链接。

测试应用程序入口点

下面是有关如何检查应用程序入口点的两个示例。

例 1

此示例显示了一个 GET 请求,该请求将从在线购物应用程序购买商品。

GET /shoppingApp/buyme.asp?CUSTOMERID=100&ITEM=z101a&PRICE=62.50&IP=x.x.x.x HTTP/1.1
Host: x.x.x.x
Cookie: SESSIONID=Z29vZCBqb2IgcGFkYXdhIG15IHVzZXJuYW1lIGlzIGZvbyBhbmQgcGFzc3dvcmQgaXMgYmFy

请求的所有参数,例如 CUSTOMERID、ITEM、PRICE、IP 和 Cookie,这些参数可能只是编码参数或用于会话状态的参数。

例 2

此示例显示了一个 POST 请求,该请求将您登录到应用程序。

POST /example/authenticate.asp?service=login HTTP/1.1
Host: x.x.x.x
Cookie: SESSIONID=dGhpcyBpcyBhIGJhZCBhcHAgdGhhdCBzZXRzIHByZWRpY3RhYmxlIGNvb2tpZXMgYW5kIG1pbmUgaXMgMTIzNA==;CustomCookie=00my00trusted00ip00is00x.x.x.x00

user=admin&pass=pass123&debug=true&fromtrustIP=true

可以注意到,参数在多个位置发送:

  1. 在查询字符串中: service
  2. 在 Cookie 标头中: SESSIONID, CustomCookie
  3. 在请求正文中: user, pass, debug, fromtrustIP

拥有各种注入位置为攻击者提供了链接的可能性,可以提高在处理代码中发现错误的机会。

工具

引用

开启学习模式
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
4.1. 你真的懂SQL注入
Sumarua的博客
07-01 9944
4.1. SQL注入 内容索引:4.1. SQL注入4.1.1. 注入分类4.1.1.1. 按技巧分类4.1.1.2. 按获取数据的方式分类4.1.2. 注入检测4.1.2.1. 常见的注入4.1.2.2. Fuzz注入4.1.2.3. 测试用常量4.1.2.4. 测试列数4.1.2.5. 报错注入4.1.2.6. 堆叠注入4.1.2.7. 注释符4.1.2.8. 判断过滤规则4.1.2.9. 获取信息4.1.2.10. 测试权限4.1.3. 权限提升4.1.3.1. UDF提权4.1.4. 数据库检测
精选burp插件列表
weixin_50464560的博客
08-15 3754
原地址:https://github.com/Mr-xn/BurpSuite-collections/tree/master/plugins/awesome-burp-extensions#insecure-file-uploads Awesome Burp Extensions A curated list of amazingly awesome Burp Extensions 国外师傅收集的精选burp插件列表:awesome-burp-extensions 首先感谢他们的收集!我慢慢同步翻译成
AttackSurfaceAnalyzer:Attack Surface Analyzer可以帮助您分析操作系统的安全性配置,以了解软件安装过程中的更改。
04-28
攻击面分析仪 Attack Surface Analyzer是开发的开放源代码安全工具,可以分析目标系统的攻击面并报告在软件安装或系统配置错误时引入的潜在安全漏洞。 获取攻击面分析器 如果已安装 ,则可以使用dotnet tool install -g Microsoft.CST.AttackSurfaceAnalyzer.CLI安装Attack Surface Analyzer。 通过我们的GitHub页面分发了针对Attack Surface Analyzer的特定于平台的二进制文件。 文献资料 可以在上找到文档。 可以在GitHub Pages上找到文档。 2.2中的新功能 扩展的分析引擎允许用户跨子句定义任意布尔表达式,并访问对象的子属性。 有关的更多信息,请参见Wiki上的创作规则。 大大提高了收集和分析性能。 MacOS二进制签名检查 支持C#8为 改进的数据库独立A
OWASP Web 安全测试指南-Web 应用程序安全测试
seanyang_的博客
12-04 478
本节介绍 OWASP Web 应用程序安全测试方法,并说明如何测试应用程序中由于已识别的安全控制缺陷而导致的漏洞证据。
SQL注入各种注入原理|绕过技巧|带实例详解|
没有
03-19 8264
Union(联合)注入攻击详解、 字符型union注入、Boolean(布尔盲注)注入攻击详解、报错注入攻击详解(报错注入只显示一条结果,通常要使用limit)、时间注入攻击、堆叠查询注入攻击、二次注入攻击、宽字节注入攻击、cookie注入攻击、base64注入攻击、XFF注入攻击、SQL注入绕过技术、sql注入修复建议
工业控制应用程序二进制的秘密
qq_40229814的博客
03-15 811
调试器处理程序之后是导入库F/FBS的子程序。每个静态链接的F/FB(function block)由两个子例程组成:一个子例程执行其主要功能(staticlib),另一个子例程初始化其本地内存(staticlib init)。与PLC编程器直接开发的代码相对应的用户自定义F/FB以类似的方式放置在每个F/FB的静态链接库之后 :首先是执行其主要功能的子程序(FB),然后是其初始化子程序(FB INIT)。倒数第二个子例程是主函数,在Codesys中名为PLC_PRG。
基于spring boot+MySQL 房屋租赁系统小程序-计算机毕设 附源码 88306
WeiXin_DZbishe的博客
07-24 772
普通用户管理模块: (1)用户注册登录:游客可以随时进入到系统中,对系统中的信息浏览,但是想要实现房屋信息操作,就必须有这个系统的账号,如果没有账号的话,可以注册用户进行相关的操作,同时用户还可以通过“我的账户”这以按钮对个人信息以及操作的信息进行管控。 (2)查看房屋租赁系统小程序的首页信息:房屋租赁系统小程序的首页信息包含了公告消息、房屋资讯、房屋信息、我的(基本信息、收藏、租房订单、删除申请)。 (3)房屋资讯:当用户击“房屋资讯”这一菜单按钮,会显示管理员在后台发布的所有的房屋资讯,可以查看详情,
SSM基于微信小程序的志愿者服务平台-附源码81051
weixin_MZ_ZXD001的博客
08-08 298
通过使用SSM框架,可以提高系统的开发效率和运行效率。采用MySQL数据库对系统数据进行存储和管理,数据库设计主要包括用户信息表、活动信息表、报名申请信息表等,通过合理的数据库设计,可以保证数据的完整性和一致性。设计开发此系统旨在为志愿活动组织提供一个方便、快捷、信息化的服务系统。
RocketMQ --- 实战篇
shuai_h的博客
06-26 4506
一、案例介绍 1.1、业务分析 模拟电商网站购物场景中的【下单】和【支付】业务 1.1.1、下单 流程 用户请求订单系统下单 订单系统通过RPC调用订单服务下单 订单服务调用优惠券服务,扣减优惠券 订单服务调用调用库存服务,校验并扣减库存 订单服务调用用户服务,扣减用户余额 订单服务完成确认订单 1.1.2、支付 流程 用户请求支付系统 支付系统调用第三方支付平台API进行发起支付流程 用户通过第三方支付平台支付成功后,第三方支付平台回调通知支付系统 支付系统调用订单服务修
SQL SERVER 2000开发与管理应用实例
12-13
7.1 应用程序中的分页处理 205 7.2 数据库中的分页处理 207 7.2.1 使用TOP N实现分页 207 7.2.2 使用字符串 211 7.2.3 使用临时表 213 7.2.4 使用SQL Server的系统存储过程处理分页 216 7.3 特殊...
Springboot+公寓信息服务小程序-计算机毕设定制-附项目源码(可白嫖) 20481
VX_bysj703的博客
07-03 829
公寓信息服务小程序的主要使用者分为管理员、用户,实现功能包括管理员:站管理(轮播图、公告栏)用户管理(管理员、用户)、内容管理(资讯列表、资讯分类列表)、更多管理(房源信息、租房预约、合同签约、在线保修、留言反馈、合同续约、活动中心、活动申请、投票活动、投票记录等功能。用户首页:房源信息(预约、赞、评论、收藏)、在线保修、留言反馈、活动中心(申请、赞、评论、收藏)、投票活动(投票、赞、评论、收藏)、公告;公寓资讯;我的:基本信息、收藏、租房预约、合同签约、在线保修、留言反馈、合同续约、活动申请、投票
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
09-10 1169
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重就和不一样,如果你想成为安全开发工程师,学的侧重就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
【网络安全】空字节绕过:URL回调+XSS+SQL绕WAF
等风来
09-07 360
经过进一步测试,我发现WAF在解析HTTP请求时,如果发现恶意查询,会导致服务器挂起。如果我连续提交3个请求且服务器挂起,它就会阻止我的IP地址。
Web安全之SQL注入:如何预防及解决
J老熊
09-07 1344
SQL注入是一种通过在用户输入中嵌入恶意SQL代码的攻击方式。攻击者可以利用漏洞在未经授权的情况下访问数据库,执行原本不被允许的操作。例如,攻击者可以绕过身份验证、检索敏感信息,甚至删除数据。SQL注入Web应用程序中最常见且最危险的安全漏洞之一,尤其是在涉及数据库操作的场景下,如电商交易系统。通过使用、严格的输入验证、最小权限原则以及使用ORM框架等方法,我们可以有效防止SQL注入攻击。开发人员需要养成良好的编码习惯,始终考虑潜在的安全问题,确保应用程序安全性。
如何启动网络安全计划:首先要做的事情
网络研究观
09-07 934
保护数据不是一次性的活动,而是一个持续的适应和改进过程。
【网络安全】服务基础第二阶段——第三节:Linux系统管理基础----Linux用户与组管理
goldfish8848的博客
09-07 729
SUID、SGID 和 Sticky Bit 都在Linux提权中扮演了重要⻆⾊。
【网络安全】漏洞挖掘
anquan2233的博客
08-29 1751
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
网络安全(黑客技术)—2024自学手册
最新发布
小司机的奥拓
09-10 2389
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值