检测web应用程序身份验证和会话管理中一些最常见漏洞的过程

最新推荐文章于 2024-06-23 16:54:48 发布
最新推荐文章于 2024-06-23 16:54:48 发布
阅读量231 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy39bgm/article/details/131245659
版权

目录

说明

一、 小节一

1. 靶场&靶机

2. 在kali linux中开启Burp Suite Community Edition,并打开BP的Chromium浏览器。

3. 进入WebGoat后,点击start

4. 点击Authentication Flaws,会出现Forgot Password等下拉菜单 

5. 选择Forgot password,弹出输入User Name的页面,如果没有可以点击Restart this Lesson 

6. 提交任意用户名(例如xshell),而该用户在数据库中不存在,将收到一条消息,说该用户名无效: 

7. 然后可以假设,当提供了有效的用户名时,响应是不同的。下面要对此进行测试,请将请求发送Intruder模块。

 8. 对该数据包单机右键选择Send to Intruder

9. 进入Intruder模块,设置用户名作为唯一要破解的位置:

 9.2 在最后一行,Username=xshell处,选择xshell,在点击Add§按钮

10. 转到Payloads来设置将在攻击中使用的用户字典列表。

11. 现在知道了用户不存在时的响应,可以使用Burp告诉该消息何时出现在结果中。

12. 勾选Flag result items with responses matching these expressions,

再输入Not a valid username,然后点击Add。

13. 返回Intruder | Positions,点击Start attack,开始攻击。

总结

说明

当应用程序管理的信息不被公开时,需要一种机制来验证是否允许用户查看某些数据,这称为身份验证

当今web应用程序中最常见的身份验证方法是用户名(或标识符)和密码。 

HTTP是无状态的协议,这意味着它的每个请求都是独一无二的,因此应用程序还需要一种方法来区分来自不同用户的请求,并允许它们执行可能需要由同一用户执行的一系列请求和同时连接的多个用户执行的任务。这称为会话管理

尽管Token令牌(包含在每个请求的授权头中发送的用户标识信息的值)在某些类型的应用程序中日益流行,例如后端web服务,cookie中的会话标识符是现代web应用程序中最常用的会话管理方法。

在本章中,将介绍检测web应用程序身份验证和会话管理中一些最常见漏洞的过程,以及攻击者如何滥用这些漏洞以获得对受限制信息的访问。

一、 小节一

要破解用户/密码验证机制的第一步是发现有效的用户名。方法之一是通过枚举,枚举web应用程序中的用户是通过分析在登录、注册和密码恢复页面等位置提交用户名时的响应来完成的。 

在本节中,将使用一个普通用户名列表向应用程序提交多个请求,并通过比较响应来确定哪些提交的名称属于现有用户。

1. 靶场&靶机

靶场:OWASP BWA

靶机:WebGoat

Kali Linux上使用Burp Suite作为代理

几乎所有的应用程序都为用户提供了在忘记密码时恢复或重置密码的渠道。当不存在用户名时,这些应用程序也能识别出来,这可以用来枚举出的方式,现有名称的列表:

2. 在kali linux中开启Burp Suite Community Edition,并打开BP的Chromium浏览器。

Chromium登录:http://192.168.242.133/WebGoat/attack

 登录过程中使用的用户名和密码是:webgoat

3. 进入WebGoat后,点击start

 

4. 点击Authentication Flaws,会出现Forgot Password等下拉菜单 

 

 

5. 择Forgot password,弹出输入User Name的页面,如果没有可以点击Restart this Lesson 

 

6. 提交任意用户名(例如xshell),而该用户在数据库中不存在,将收到一条消息,说该用户名无效: 

 

7. 然后可以假设,当提供了有效的用户名时,响应是不同的。下面要对此进行测试,请将请求发送Intruder模块。

在Burp的Proxy/HTTP history中,我们找到刚才输入User-name是xshell的那个数据包,如下图示:

 

 8. 对该数据包单机右键选择Send to Intruder

 

9. 进入Intruder模块,设置用户名作为唯一要破解的位置:

9.1 点击Clear§

 

 9.2 在最后一行,Username=xshell处,选择xshell,在点击Add§按钮

 

 

10. 转到Payloads来设置将在攻击中使用的用户字典列表。

Payload type保持默认类型为Simple list简单列表,然后单击Load按钮来加载 /usr/share/wordlists/metasploit/http_default_users.txt文件:

 

11. 现在知道了用户不存在时的响应,可以使用Burp告诉该消息何时出现在结果中。

转到    Intruder | Settings | Grep – Match,全选列表内容,点击Remove清除列表。

 

12. 勾选Flag result items with responses matching these expressions,

再输入Not a valid username,然后点击Add。

 

 

 

13. 返回Intruder | Positions,点击Start attack,开始攻击。

请注意,有一些名称(如admin),其中无效用户名的消息没有使用Burp Suite标记,这些名称在应用程序中是有效的:

 

输入用户名admin,What is your favorite color?输入green,可以看到密码,也就是用户名admin是正确的,用户名root的颜色是green

总结

如果正在测试一个需要用户名和密码才能执行操作的web应用程序,需要寻找攻击者发现有效的用户名和密码的方法。在登录、注册和密码恢复页面中,对有效和无效用户的响应稍有不同,就会让找到一个有效信息。 分析对类似请求的响应差异是作为渗透测试人员需掌握的技能。可以使用Burp Suite等代理工具来记录原始请求,Intruder模块通过变量(用户名)的值的变化多次重放该请求。Intruder模块还允许自动搜索回包字符串,并指示在哪个响应中找到该字符串。

2021计算机网络技术2班-zy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
常见Web安全漏洞及测试方法
VN520的博客
04-20 963
1、永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式或限制长度;对单引号和双"-"进行转换等。2、永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。3、永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。4、不要把机密信息直接存放,加密或者Hash掉密码和敏感的信息。5、应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。
webgoat——Authentication Flaws认证缺陷总结
qq_43571759的博客
03-17 1698
Authentication Flaws认证缺陷 最近又拾起了webgoat系列,DC系列靶机还在下载所以来整整这个,这两个系列都会有个大总结,会把自己学到的一些东西写下来分享(即使没什么人看),CSDN这个平台也帮助到我很多,在这个平台可以学到很多东西(真心佩服那些大牛)。 Password Strength 利用提供的网站来验证密码,这里是想让我们意识到强密码和弱密码的安全强度不同,虽然这...
常见36种web渗透测试漏洞描述及解决方法
weixin_44600998的博客
03-15 3144
36种web渗透测试漏洞描述及解决方法
Web渗透测试-测试身份验证会话管理
hst12300的博客
10-28 173
用户名枚举是指对用户名进行系统化的分类和列举。在许多网站和应用程序,用户需要选择一个唯一的用户名作为其身份标识。为了帮助用户选择合适的用户名,许多平台提供了用户名枚举功能,列出了一系列常见的用户名选项供用户选择。通过用户名枚举,用户可以避免使用与其他用户重复的用户名,增加账户的安全性和唯一性。用户名枚举通常基于一些常见的命名规则和词汇,以及平台特定的限制和要求。例如,常见的用户名枚举选项可能包括以数字结尾的用户名、以姓氏或昵称作为前缀的用户名、以特定关键词或主题相关的用户名等。
OWASP列举的Web应用程序十大安全漏洞 - 失效的身份认证和会话管理
qq_31142237的博客
02-11 3686
OWASP列举的Web应用程序十大安全漏洞 - 失效的身份认证和会话管理
Web应用程序常见安全漏洞
一口Linux的专栏
04-30 2035
在讨论如何在应用程序应用安全性之前,您应该首先了解如何保护应用程序。为了进行恶意操作,攻击者会识别并利用应用程序漏洞。我们经常将漏洞描述为一种弱点,它可以允许执行不需要的操作,通常带有恶意意图。 了解漏洞的一个很好的起点就是了解开放Web应用程序安全项目,也称为 OWASP(https://www.owasp.org)。 在 OWASP上,您将找到应该在应用程序避免的最常见漏洞的描述。 在进入下一章之前,让我们花几分钟时间进行理论上的讨论,然后从下一章开始应用 Spring Security 的概念
六种Web身份验证方法比较和Flask示例代码
热门推荐
xfxuezhang.cn
05-13 1万+
很详细,值得收藏!
Web 应用程序的十大安全漏洞
AI开源工具分享
02-14 914
2021 年 OWASP Top 10 列表列出了 10 个最危险的 Web 应用程序安全漏洞。如果我们将当前列表与 2017 年列表进行比较,我们可以看到列表仍然存在一些安全漏洞,但位置不同,并且列表还包含一些新的安全漏洞。下表比较了 2017 年和 2021 年的列表。(2021 年列表引入的安全漏洞以粗体标出,其余的只是重新排列)
最全常见Web安全漏洞总结及推荐解决方案
qq_42552574的博客
12-18 7296
常见Web安全漏洞总结及推荐解决方案1.SQL注入:2.不安全会话管理漏洞:3.任意文件上传:4.任意文件读取:5.任意代码执行:6.越权访问:7.敏感信息泄露:8.XSS跨站脚本攻击:9.CSRF跨站请求伪造:10.用户名/口令暴力爆破:11.弱口令漏洞:12.撞库攻击:13.注册模块设计缺陷:14.短信接口设计缺陷:15.URL重定向漏洞:16.拒绝服务漏洞:17.不足的日志记录和监控:18.业务逻辑漏洞:19.资源控制(预警级别,非漏洞级别)20.网络安全通信协议: 1.SQL注入: SQL注入(
常见安全漏洞– Acunetix Web应用程序漏洞报告2021
Acunetix的博客
05-21 786
每年,Acunetix都会为您提供最常见Web安全漏洞和网络外围漏洞的分析。我们的年度Web应用程序漏洞报告(现已成为Invicti AppSec指标的一部分)是基于从Acunetix在线获得的真实数据。我们随机选择使用我们的软件扫描的网站和Web应用程序,将其匿名化,并进行统计分析。这是我们今年的网络安全调查结果。 Web应用程序安全性状态 不幸的是,《 2021年报告》非常悲观。过去几年的缓慢改善趋势已经逆转。与2020年相比,2021年的一些高严重漏洞现在更为普遍,其包括一些严重的安全风险,这些
Web应用程序安全设计指南
02-27
本页内容本模块内容目标适用范围如何使用本模块Web应用程序的体系结构和设计问题部署考虑输入验证身份验证授权配置管理敏感数据会话管理加密参数操作异常管理审核和记录设计指南小结总结其他资源本模块内容Web应用...
完美版资料集Web应用程序常见漏洞CSRF的入侵检测与防范.docx
09-30
总结,CSRF攻击是Web安全的重要威胁,理解其原理、危害和防范措施是保障Web应用程序安全的关键。开发人员应当在设计和开发阶段就充分考虑安全因素,采用合适的技术手段防止CSRF攻击的发生。同时,定期的安全扫描和...
Web 应用程序安全框架漏洞类别及防范
08-29
在实践Web 应用程序安全框架漏洞类别及防范需要从多方面入手,包括输入和数据验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核与记录等几个方面。只有从多方面入手,才能...
Web漏洞检测及修复方案.doc
05-17
Web 漏洞检测及修复方案是指对 Web 应用程序漏洞进行检测和修复,以确保 Web 应用程序安全性。该方案涵盖了认证和授权类、命令执行类等多种类型的漏洞,旨在帮助开发者和安全专家快速检测和修复 Web 漏洞。 ...
等保测评:全面保障信息系统安全的必要举措
最新发布
A526847的博客
06-23 558
随着信息技术的快速发展,信息系统在各行各业的应用越来越广泛,但同时也面临着日益严峻的安全威胁。为了保障信息系统的安全,我国实施了信息安全等级保护制度,要求对信息系统进行等保测评。等保测评(信息安全等级保护测评)是评估信息系统安全等级的重要过程,旨在确保信息系统能够抵御各种安全威胁,保障信息的机密性、完整性和可用性。通过等保测评,可以全面评估信息系统的安全状况,发现潜在的安全隐患和漏洞,为信息系统的安全加固提供科学依据。通过等保测评可以全面评估信息系统的安全状况并发现潜在的安全隐患和漏洞
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
HACKONE的博客
06-23 122
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据,一起发送给机器B,机器B会把TGT存储在lsass进程以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
SHA256 安全散列算法加速器实验
weixin_64593595的博客
06-22 1179
SHA256 加速器是用来计算 SHA-256 的计算单元,SHA256 是 SHA-2 下细分出的一种算法。 SHA-2 名称来自于安全散列算法 2(英语:Secure Hash Algorithm 2)的缩写,一种密码散列函 数算法标准,由美国国家安全局研发,由美国国家标准与技术研究院(NIST)在 2001 年发布。 属于 SHA 算法之一,是 SHA-1 的后继者。其下又可再分为六个不同的算法标准,包括了: SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SH
广州化工厂可燃气体报警器检定检验:安全生产新举措显成效
BDjiance的博客
06-20 347
无论是储存、生产还是处理过程,可燃气体报警器都能够实时监测可燃气体浓度,一旦超过安全阈值,便会发出警报,提醒操作人员及时采取措施,避免火灾和爆炸事故的发生。对此,佰德建议相关部门和化工厂加强可燃气体报警器的检定检验工作,确保报警器的准确性和可靠性。值得注意的是,可燃气体报警器的检定检验是确保其准确性和可靠性的关键环节。此外,根据统计数据,经过定期检定检验的可燃气体报警器误报率显著降低,有效提高了化工厂的安全生产水平。在广州的化工厂,通常会根据报警器的使用情况和环境条件,制定合理的检定周期和频次。
【启明智显产品分享】Model4 工业级HMI芯片详解(三):高安全、防抄板
ami82的博客
06-18 658
【高安全、防抄板】随着物联网和智能设备的快速发展,设备安全认证的需求日益迫切。硬件安全认证和保护在确保设备和身份安全发挥着不可替代的作用,需要与软件安全相结合,共同构建全面的安全体系。
常见web漏洞分析
07-28
常见Web漏洞分析包括以下几类: 1. 跨站脚本攻击(XSS):攻击者通过在网页注入恶意脚本,使用户的浏览器执行该脚本,从而获取用户的敏感信息或控制用户的账户。 2. SQL注入攻击:攻击者通过在Web应用程序的输入字段注入恶意SQL代码,从而绕过身份验证、执行未授权操作或获取敏感信息。 3. 跨站请求伪造(CSRF):攻击者利用用户已登录的身份,在用户不知情的情况下发送恶意请求,执行未经授权的操作。 4. 文件包含漏洞:攻击者通过在Web应用程序包含可执行文件的路径注入恶意代码,从而执行任意命令或获取敏感信息。 5. 未经授权访问漏洞:包括目录遍历、未授权目录访问、未授权文件访问等漏洞,使攻击者可以访问应用程序未经授权的资源。 6. 不安全的直接对象引用:攻击者通过修改请求参数或URL的对象引用,绕过权限验证,访问或操作未经授权的对象。 7. 敏感信息泄露:包括在错误消息、日志文件、备份文件等泄露敏感信息,如数据库凭据、API密钥等。 8. 不正确的身份验证会话管理:包括密码弱验证、会话固定、会话劫持等问题,使攻击者能够绕过身份验证或获取其他用户的会话。 以上只是一些常见Web漏洞,实际情况还可能存在其他漏洞。为了保护Web应用程序安全,开发人员需要进行安全编码实践、输入验证、输出编码等措施,同时进行定期的漏洞扫描和安全测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

2021计算机网络技术2班-zy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值