本文讲的是
如何使用Burp Suite模糊测试SQL注入、XSS、命令执行漏洞,
今天我将使用打包的套件攻击工具对bwapp应用程序进行模糊测试,手动执行此测试是一个耗时的时间,可能对任何一个渗透性测试的安全人员来说都是无聊的过程。
模糊测试在软件测试中起着至关重要的作用,它是一种工具,用于通过将一组称为模糊的部分地址输入注入到要测试的应用程序的程序中来查找错误,错误,故障。 漏洞检查工具采用文件格式的结构输入来区分有效和无效的输入。漏洞检查工具最适合识别sql注入,缓冲区溢出,xss注入和OS命令注入等漏洞。
模糊测试XSS
开始利用Burp Suite,以拦截请求,然后将拦截的数据发送到攻击工具的服务器。
可以通过在请求参数中提交各种测试字符串,并分析应用程序对错误消息和其他异常的响应来检测许多基于输入的漏洞,如SQL注入,跨站点脚本和文件路径遍历。
测试的关键点是找到有效载荷将被插入的位置,并确定分配给有效载荷位置的方式。
有效位置是测试时输入的用户名,攻击类型是利用一个有效载荷。