教材学习
Web应用程序体系结构
Web应用程序是一种使用浏览器在互联网或企业内部网上进行访问操作的应用软件形态。Web应用体系有浏览器作为客户端完成数据显示和展示内容的渲染;由功能强大的服务器完成主要业务的计算和处理,两者之间通过因特网或内联网上HTTP/HTTPS应用层协议的请求与应答进行通信。服务器端由Web服务器软件、Web应用程序与后端数据库构成,并通过经典三层架构:表示层、业务逻辑层、数据层来进行组织与构建。
- 浏览器
使用HTTP/HTTPS协议,HTML语言和web服务器进行交互,获取web服务器上的信息和应用服务。 - Web服务器
web服务器软件通常被描述为HTTP守护程序,接收Web客户端对资源的请求,,在这些请求上执行一些基本的解析处理以确定资源的存在,然后将它传送给web应用程序来执行,待web应用程序执行完逻辑并返回响应时,web服务器在将这个响应返回给web客户端,在浏览器上进行本地执行、渲染和展示。 - web应用程序
处于服务端的业务逻辑是web应用的核心。 - 数据库
是web应用存储数据的地方,数据层也作为web应用程序多级结构中的最后一层。
Web应用安全威胁
浏览器安全困境三要素:复杂性、可扩展性、连通性。
-
拒绝服务攻击
拒绝服务攻击就是想尽办法让你的服务器无法正常提供服务,具体手段包括:消耗包括网络带宽、存储空间、CPU 时间等资源;破坏或者更改配置信息;物理破坏或者改变网络部件;利用服务程序中的处理错误使服务失效。 -
Web浏览器的渗透攻击威胁 网页木马
(1)网页木马存在的技术基础:Web浏览端安全漏洞。
(2)网页木马的本质核心——浏览器渗透攻击。
(3)网页挂马机制,最主要的有如下四类策略:内嵌HTML标签、恶意Script脚本、内嵌对象连接、ARP欺骗挂马。
(4)网页木马的检测与分析方法:基于特征码匹配的传统检测方法、基于统计与机器学习的静态分析方法、基于动态行为结果判定的检测分析方法、基于模拟浏览器环境的动态分析检测方法、网页木马检测分析技术综合对比。 -
网页挂马机制
(1)内嵌HTML标签
(2)恶意Script脚本
(3)内嵌对象链接
(4)ARP欺骗挂马 -
系统层安全威胁
(1)web站点的宿主操作系统存在的远程渗透攻击和本地渗透攻击威胁。
(2)web服务器软件安全威胁
(3)web服务器软件如IIS,Apache作为一种典型的网络服务,攻击者可以它们的漏洞对web服务器实施渗透攻击或者获取敏感信息。
(4)web应用程序安全与威胁
SQL注入
SQL注入攻击原理
利用web应用程序数据层存在的输入验证不完善型安全漏洞实施的一类代码注入攻击技术。是由于用户输入没有被正确的过滤以消除SQL语言中的字符串转义字符。原理是向web应用程序提供的用户输入接口输入一段惊心构造的SQL查询命令,攻击和利用不完善的输入验证机制,使得输入代码得以执行完成非预期的攻击操作行为。
SQL注入攻击步骤
- (1)发现SQL注入点
- (2)判断后台数据库类型
- (3)后台数据库中管理员用户口令字猜解
- (4)上传ASP后门,得到默认账户权限
- (5)本地权限提升
- (6)利用数据库扩展存储过程执行Shell命令
SQL 注入攻击工具
- (1)Wposion 能在动态web文档中找出SQL注入漏洞
- (2)wieliekoek.pl 以网站镜像工具生成的输入为输出,对表单页面注入字符串修改
- (3)SPIKE Proxy 对待注入的字符串进行定制
- (4)SPI Toolkit工具包
视频学习
Kali漏洞分析之数据库评估(一)
1.BBQSql
BBQSql是一个Python编写的盲注工具(blind SQL injection framework),当检测可疑的注入漏洞时会很有用。同时它也是一个半自动工具,允许客户自定义参数
2.DBPwAudit(数据库用户名密码枚举工具)
破解SQLServer数据库:
./dbpwaudit -s IP -d master(数据库名) -D mssql(数据库类型) -U username(字典) -P password(字典)
破解MySQL数据库:
./dbpwaudit.sh -s IP -d mysql(数据库名) -D MySQL(数据库类型) -U username(字典) -P password(字典)
3.HexorBase
HexorBase是图形化的密码破解与连接工具,开源;连接并且控制数据库执行一些语句。
4.JSQL Injection
是一款轻量级安全测试工具,可以检测SQL注入漏洞,他跨平台(windows,Linux,Mac os,Solaris),开源且免费。将存在注入漏洞的URL贴进来即可进行响应的漏洞利用。图形化界面比较亲民,但是使用效果有待改善。
5.MDBTools
包括MDB-Export以及MDB-dump,mdb-parsecsv,mdb-sql,mdb-tables等子工具,具体环境具体使用。
6.Orcal Scanner
用JAVA开发的Orcale评估工具。基于插件的结构,可以列举很多信息。
7.SIDGusser
针对Oracle的SID进行暴力枚举;SID为Oracle连接字符串:实例名+用户+密码
8.SqIDICT(用户名密码枚举工具)
Kali漏洞分析之数据库评估(二)
1.tnscmd10g
2.Sqlsus
sqlsus是一个开放源代码的MySQL注入和接管工具,Sqlsus使用perl编写,基于命令行界面。Sqlsus可以获取数据库结构,注入自己的SQL语句,从服务器下载文件。爬行Web站点可写目录,上传和控制后门,克隆数据库等等。最好用的亮点就是注射获取数据速度非常快,另外一个最大的特点就是自动搜索可写目录。
查看生成的配置文件
3.Sqlninja
是一款perl编写的专门针对Microsoft SQL Server的sql注入工具。和市面上其他注入工具不同,sqlninja没有将精力用在跑数据库上,而是侧重于获得一个shell。
可以查看生成的配置文件
4.Sqlmap
SQLMAP是一个开源的渗透测试工具,是用Python编写。主要用于自动化的侦测和实施SQL注入攻击以及渗透数据库服务器。配有强大的侦测引擎,适用于高级渗透册书用户,不仅可以获得不同的数据库指纹信息,还可以从数据库中提取数据,有很强大的抓取数据的能力
Kali漏洞分析之Web应用代理
1.Burp Suite
用于攻击web应用程序的集成平台,通过默认端口8080运行,它带有一个代理,可以截获并修改从客户端到web应用程序的数据包。
2.OWASP ZAP
攻击代理,查找网页应用程序漏洞的综合类渗透测试工具,包含拦截代理、自动代理、被动代理、暴力破解、端口扫描及蜘蛛搜索等功能。是会话类调试工具
3.Vega
开源的web应用程序安全测试平台,Vega能帮助验证SQL注入、跨站脚本(XSS)、敏感信息泄露和其他一些安全漏洞。Vega使用java编写,有GUI,可以在多平台下运行。Vega类似于Paros Proxy, Fiddler, Skipfish and ZAproxy。
4.Paros
paros,是一个对Web应用程序的漏洞进行评估的代理工具,即一个基于Java的Web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序,Web圈套程序(spider),hash计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。该工具检查漏洞形式包括:SQL注入、跨站点脚本攻击、目录遍历等。
5.proxystrike
Web会话安全分析工具ProxyStrike
在Web应用中,客户端发出一次请求,服务器响应一次。这构成一个完整的会话。通过分析请求和响应的数据,可以发现Web应用存在的漏洞。Kali Linux提供一款专用工具ProxyStrike。该工具提供HTTP代理功能,可以跟踪HTTP会话信息,并进行分析统计。同时,该工具也提供拦截功能,安全人员可以对每个会话进行分析和修改,以获取服务器的不同响应。
该工具还通过插件模式,提供安全扫描功能。该工具默认集成SQL注入和XSS两个插件。在捕获会话的同时,该工具会自动进行安全检测,以发现目标服务器存在的漏洞。安全人员也可以使用该工具对目标网站进行爬取,以搜集更多的网站资源,并同时进行安全检测。
6.webscarab
基于GNU协议,包括HTTP代理、网络爬行、网络蜘蛛、会话ID分析等功能。
Kali漏洞分析之BurpSuit
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
(1)首先配置监听端口,配置浏览器。
(2)然后就可以查看所有请求的数据包
(3)点击数据包,可以查看包内容
(4)右键单击包,选择“send to intruder”,即可进行攻击
Kali漏洞分析之Fuzz工具
Fuzz是模糊测试的工具,是模糊测试时漏洞挖掘过程中的重要一步。
1.Bed.pl
Bed(Bruteforce Exploit Detector)是一个纯文本协议的Fuzz工具,能够检查常见的漏洞,如缓冲区溢出,格式串漏洞,整数溢出等。
2.Fuzz_ipv6
Fuzz_ipv6是THC出品的针对IPV6协议的模糊测试工具
3.Ohrwurm
ohrwurm 是一个小巧而简单的RTP模糊器,它已经在少量的SIP**上测试过了,它们都没有经受voip分析工具包的模糊测试。
4.Powerfuzzer
Powerfuzzer作为Fuzz请求的工具 ,BurpSuit等Web代理工具也具有相应Fuzz能力。
5.Wfuzz
针对Web应用的模糊测试工具,可以进行Web应用暴力猜解,也支持对网站目录、登录信息、应用资源文件等的暴力猜解,还可以进行get及post参数的猜解,sql注入、xss漏洞测试等。该工具所有功能依赖于字典。
6.SFuzz:Simple-Fuzzer
7.XSSer
针对XSS漏洞的挖掘,xsser --gtk 图形化界面,对一个页面或点进行xss测试,判断是否有XSS的漏洞。