web应用测试综述:
Web应用漏洞给企业信息系统造成了很大的风险。许多web应用程序漏洞是由于web应用程序缺乏对输入的过滤。简而言之Web应用程序利用来自用户的某种形式的输入并且在应用程序中执行了这些信息为其提供内容或者从系统的其他部分获取数据。如果未正确过滤输入攻击者可以发送非标准输入来利用web应用程序。本文将重点讨论burpsuite并介绍如何利用它来评估web应用程序。
Burpsuite综述
Burpsuit有许多功能包括但不限于
- Interception Proxy:旨在让用户控制发送到服务器的请求。
- Repeater:快速重复或修改指定请求的能力。
- Intruder:允许自动化自定义攻击和payload。
- Decoder:解码和编码不同格式的字符串URL,BASE64,HTML等等。
- Comparer: 高亮显示不同的请求或响应之间的不同处。
- Extender: 扩展Burp功能的API接口以及许多通过BApp商店免费提供的扩展。
- Spider and Discover Content feature:爬取web应用程序上的链接并且可以被用来动态枚举非显式链接的内容来寻找信息。
- Scanner (Pro Only): 检查web应用程序漏洞XSSSQLi代码注入文件包含等的自动扫描程序。
入门
Burp的详细帮助文档在下面能找到
http://portswigger.net/burp/help/suite_gettingstarted.html
Burpsuite能通过java -jar命令行加载。你可以通过使用选项“-Xmx”分配你的burp所需内存。
java -jar -Xmx1024m /path/to/burp.jar
像许多拦截代理一样Burp也是通过GUI驱动的但是有一些选项需要通过Extender功能利用命令行启动。
一旦burpsuite启动建议你先在Scope定义好目标主机。你可以在site map控制显示的内容和其他功能。Scope能通过定义目标主机名IP或者网络范围:
Proxy选项卡显示Burp的代理详细信息、intercept选项和HTTP请求历史。在下面你可以看到“Intercept is on” 所以任何从浏览器发出的请求都将必须通过Burp的proxy手动点击forward才能进行
Intercept 功能会截断所有从浏览器发送出来的流量其他扩展如FoxyProxy能用来指定哪个URL和IP是黑名单或白名单这些名单能绕过burp的截断。
通过配置好Burp的scope和proxy你可以开始使用你的浏览器和burp浏览web应用程序了如你可以在Site Map目标右键弹出菜单选项。在这个视图中你可以看到web应用的目录结构和资源。通过右击URL或者资源你可以通过几个选项调用其他功能例如Burp的spider功能或者执行主动式扫描
便捷提示为了更容易专注于目标web应用程序你可以点击“Filter”菜单只显示仅仅在范围内的内容