第四章、解析应用程序(枚举内容与功能)
接上回说起
知己知彼,方能百战百胜。渗透前要先了解目标应用程序的内容和功能。
列出功能之后就要仔细分析
- 应用程序运行机制的每一个方面
- 核心安全机制
- 客户端与服务器使用的技术
这样可以确定程序的受攻击面以及探查时的主要目标。进而发现漏洞。
web抓取
可以使用工具抓取web站点的内容。
首先请求一个页面,对其分析,在对此页面上的其他链接页面进行抓取,一直循环到没有新页面为止。
web应用程序爬虫利用同样的方式分析HTML表单以扩大搜索范围。甚至有些工具可以对JavaScript进行分析。
工具:
- Paros
- Burpsuite的Spider模块(现在好像叫做Scan)
- Webscrab
这时自动化工具生成的站点地图。
另外可以看到图片里的根目录下有一个robots.txt文件。这个文件中列出站点不希望web爬虫爬取或者搜索引擎索引的URL。一般可以从这个文件下手,对里面的URL进行爬取。
不足:
- 自动化无法正确处理一些导航机制。(例如复杂JavaScript代码建立的菜单)
- web应用程序多功能阶段会严格检查输入。因此可能不会接受由自动工具提交的值。
- 自动化爬虫会识别相同的URL从而防止重复请求。然而部分URL每次请求可能因为提交的参数不同而导致返回的内容也不同,这就导致遗漏一些功能。
- 爬虫执行的一些操作可能会让通过验证的会话中断。
用户指定抓取
以标准浏览器的方式浏览网站。生成的流量经过 一个代理与爬虫组合的工具,监控所有请求与响应。
用户可以控制提交到web应用程序的数据,确保达到自己的要求。
这时这种类似burpsuite这种工具相当于是在浏览器与web站点之间进行代理的拦截。
burpsuite用法,破解版本自找,很多。
发现隐藏内容
web站点隐藏的内容和功能:
- 备份文件
- Web目录下的文件快照或者备份档案
- 用于测试,还没有公布的新链接
- 可能包含漏洞的旧版本文件
- 用户名,会话令牌,日志,配置等敏感文件
如何发现隐藏内容或者功能:·
- 蛮力技巧(暴力搜索):通过自动化工具或者脚本批量访问网站的路径,路径名可以根据已知路径来大量生成,当然响应状态码不一定是200,如果不是200不代表不存在,只是可能验证不通过或者是权限不够,需要手动验证
- 通过公布的内容进行推测:应用程序的内容与功能使用某种有规律可循的命名方案。通过功能推断存在的资源名。开发者的命名习惯可以根据蛮力技巧的结果来进行推测。例如常用的驼峰式命名:AddUser.asp。还有一些使用数字或者特殊字母命名的静态内容,例如user1.php,这时候往往可以尝试改变为user2.php来进行测试。网页中与javascript有关的代码内容,备份文件,临时文件等等方面推测
- 利用公共信息:搜索引擎(谷歌搜索语法),Web档案。尤其是对于谷歌的高级搜索技巧,功能特别强大。另外可以通过网站应用程序的开发人员的论坛账号的发言来寻找开发中的漏洞。
- 利用web服务器:web服务器层面漏洞也有助于发现隐藏内容,例如web服务器软件中存在大量的程序缺陷,导致允许攻击者枚举目录的内容。Nikto是一个网页服务器扫描器,可以用Nikto扫描出隐藏的内容。
应用程序页面与功能路径
如果访问网站应用程序是通过请求参数来获取相应的内容而非通过请求页面获取,那么上述的几种方法都不适用,这时候需要修改自动化技巧,首先确定对应的请求参数,无论是post还是get请求,其中的某一个参数的改变会导致返回内容的不同。其次就是对参数的内容进行测试来找到有效的服务器和请求方法。
发现隐藏的参数
应用程序使用其他参数来控制其逻辑,那么它使用请求参数说明执行何种功能的情况就会出席那变化。例如在URL查询字符串中加入debug=true参数,应用程序的运作方式可能会发生改变(可能是关闭一些输入检查,允许用户避开访问控制或者在响应中显示调试信息)。
1423
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
