項目三-云環(huán)境web漏洞掃描

1、云端Web漏洞手工檢測分析（課時數(shù)：6課時）云安全防護技術(shù)主 要 內(nèi) 容1 任務(wù)1Burp Suite基礎(chǔ)Proxy功能2 任務(wù)2 Burp Suite target功能使用3任務(wù)3 Burp Suite Spider功能4任務(wù)四 Burp Suite Scanner功能 應(yīng)用5任務(wù)五 Burp Suite Intruder 爆破應(yīng)用 任務(wù)1 Burp Suite基礎(chǔ)Proxy功能【學(xué)習(xí)目標(biāo)】【任務(wù)導(dǎo)入】【知識準(zhǔn)備】【任務(wù)實施】一、【學(xué)習(xí)目標(biāo)】 知識目標(biāo)：了解Web常見漏洞及攻擊原理了解Burp Suite的基本功能及Proxy功能技能目標(biāo)：掌握設(shè)置Burp Suite軟件中Proxy代理及手

2、動配置功能應(yīng)用二、【任務(wù)導(dǎo)入】 Web環(huán)境中存在兩個主要的風(fēng)險：SQL注入，它會讓黑客更改發(fā)往數(shù)據(jù)庫的查詢以及跨站腳本攻擊（XSS）。注入攻擊會利用有問題代碼的應(yīng)用程序來插入和執(zhí)行黑客指定的命令，從而能夠訪問關(guān)鍵的數(shù)據(jù)和資源。當(dāng)應(yīng)用程序?qū)⒂脩籼峁┑臄?shù)據(jù)不加檢驗或編碼就發(fā)送到瀏覽器上時，會產(chǎn)生XSS漏洞。大多數(shù)公司都非常關(guān)注對Web應(yīng)用程序的手工測試，而不是運行Web應(yīng)用程序掃描器。Burp Suite是Web應(yīng)用程序測試工具之一，其多種功能可以執(zhí)行各種任務(wù)，如請求的攔截和修改,掃描Web應(yīng)用程序漏洞,以暴力破解登陸表單,執(zhí)行會話令牌等多種的隨機性檢查。使用Burp Suite將使得測試工作變得

3、更加容易和方便，即使在不需要嫻熟的技巧的情況下，只要熟悉Burp Suite的使用，也使得滲透測試工作變得輕松和高效。Burp Suite是由Java語言編寫而成，而Java自身的跨平臺性，使得軟件的學(xué)習(xí)和使用更加方便。它需要手工配置一些參數(shù)，觸發(fā)一些自動化流程，然后才能開始工作。三、【知識準(zhǔn)備】 - Web常見漏洞及攻擊原理根據(jù)前期各個漏洞研究機構(gòu)的調(diào)查顯示，SQL注入漏洞和跨站腳本漏洞的普遍程度排名前兩位，造成的危害也更加巨大。本項目主要介紹跨站腳本漏洞及攻擊原理。 跨站腳本漏洞是因為Web應(yīng)用程序沒有對用戶提交的語句和變量進行過濾或限制，攻擊者通過Web頁面的輸入?yún)^(qū)域向數(shù)據(jù)庫或HTML頁

4、面中提交惡意代碼，當(dāng)用戶打開有惡意代碼的鏈接或頁面時，惡意代碼通過瀏覽器自動執(zhí)行，從而達到攻擊的目的。通過跨站腳本漏洞攻擊者可以冒充受害者訪問用戶重要賬戶，盜竊企業(yè)重要信息。 跨站腳本攻擊的目的是盜走客戶端敏感信息,冒充受害者訪問用戶的重要賬戶?？缯灸_本攻擊主要有以下三種形式：三、【知識準(zhǔn)備】 - Web常見漏洞及攻擊原理1)本地跨站腳本攻擊B給A發(fā)送一個惡意構(gòu)造的WebURL，A單擊查看了這個URL，并將該頁面保存到本地硬盤。A在本地運行該網(wǎng)頁，網(wǎng)頁中嵌入的惡意腳本可以在A電腦上執(zhí)行A權(quán)限下的所有命令。2)反射跨站腳本攻擊A經(jīng)常瀏覽某個網(wǎng)站，此網(wǎng)站為B所擁有。A使用用戶名/密碼登錄B網(wǎng)站，B

5、網(wǎng)站存儲下A的敏感信息（如銀行帳戶信息等）。C發(fā)現(xiàn)B的站點包含反射跨站腳本漏洞，編寫一個利用漏洞的URL，域名為B網(wǎng)站，在URL后面嵌入了惡意腳本（如獲取A的cookie文件），并通過郵件或社會工程學(xué)等方式欺騙A訪問存在惡意的URL。當(dāng)A使用C提供的URL訪問B網(wǎng)站時，由于B網(wǎng)站存在反射跨站腳本漏洞，嵌入到URL中的惡意腳本通過Web服務(wù)器返回給A，并在A瀏覽器中執(zhí)行，A的敏感信息在完全不知情的情況下將發(fā)送給C。三、【知識準(zhǔn)備】 - Web常見漏洞及攻擊原理3)持久跨站腳本攻擊B擁有一個Web站點，該站點允許用戶發(fā)布和瀏覽已發(fā)布的信息。C注意到B的站點具有持久跨站腳本漏洞，C發(fā)布一個熱點信息，

6、吸引用戶閱讀。A一旦瀏覽該信息，其會話cookies或者其它信息將被C盜走。持久性跨站腳本攻擊一般出現(xiàn)在論壇、留言簿等網(wǎng)頁，攻擊者通過留言，將攻擊數(shù)據(jù)寫入服務(wù)器數(shù)據(jù)庫中，瀏覽該留言的用戶的信息都會被泄漏。 三、【知識準(zhǔn)備】 -Burp Suite簡介Burp Suite是使用Java開發(fā)的安全測試工具，在Kali系統(tǒng)里面已經(jīng)安裝，Windows系統(tǒng)要先安裝好Java環(huán)境，然后可以在其官網(wǎng)/burp/download.html下載和安裝。它包含了許多模塊（功能），并為這些模塊（功能）設(shè)計了許多接口，以促進加快攻擊應(yīng)用程序的過程。所有的工具都共享一個能處理并顯示HTTP消息、持久性、認證、代理、日

7、志、警報的一個強大的可擴展的框架。Burp Suite具有如下的功能模塊：（1）Target(目標(biāo))顯示目標(biāo)目錄結(jié)構(gòu)的的一個功能。（2）Proxy(代理)攔截HTTP/S的代理服務(wù)器，作為一個在瀏覽器和目標(biāo)應(yīng)用程序之間的中間人，允許你攔截，查看，修改在兩個方向上的原始數(shù)據(jù)流。三、【知識準(zhǔn)備】 -Burp Suite簡介（3）Spider(蜘蛛)應(yīng)用智能感應(yīng)的網(wǎng)絡(luò)爬蟲，它能完整的枚舉應(yīng)用程序的內(nèi)容和功能。（4）Scanner(掃描器)高級工具，執(zhí)行后，它能自動地發(fā)現(xiàn)Web應(yīng)用程序的安全漏洞。（5）Intruder(入侵)一個定制的高度可配置的工具，對Web應(yīng)用程序進行自動化攻擊，如：枚舉標(biāo)識符，

8、收集有用的數(shù)據(jù)，以及使用fuzzing 技術(shù)探測常規(guī)漏洞。（6）Repeater(中繼器)一個靠手動操作來觸發(fā)單獨的HTTP 請求，并分析應(yīng)用程序響應(yīng)的工具。三、【知識準(zhǔn)備】 -Burp Suite簡介（7）Sequencer(會話)用來分析那些不可預(yù)知的應(yīng)用程序會話令牌和重要數(shù)據(jù)項的隨機性的工具。（8）Decoder(解碼器)進行手動執(zhí)行或?qū)?yīng)用程序數(shù)據(jù)者智能解碼編碼的工具。（9）Comparer(對比)通常是通過一些相關(guān)的請求和響應(yīng)得到兩項數(shù)據(jù)的一個可視化的“差異”。（10）Extender(擴展)可以讓你加載Burp Suite的擴展，使用你自己的或第三方代碼來擴展Burp Suite的

9、功能。（11）Options(設(shè)置)對Burp Suite的一些設(shè)置。掃描之前，需要對常用功能按鈕進行基本配置，如監(jiān)聽攔截的配置如圖4-1所示。三、【知識準(zhǔn)備】 -Burp Suite簡介三、【知識準(zhǔn)備】 -Burp Suite簡介通過代理可以記錄全部請求和響應(yīng)的歷史，History(代理歷史)總在更新，即使把Interception turned off(攔截關(guān)閉)， 也可以通過單擊任何列標(biāo)題進行升序或降序排列。如果在表中雙擊選擇一個項目地址，會顯示出一個詳細的請求和響應(yīng)的窗口，如圖4-2所示。三、【知識準(zhǔn)備】 -Burp Suite簡介Display Filter：Proxy histro

10、y有一個可以用來在視圖中隱藏某些內(nèi)容的功能。 History Table上方的過濾欄描述了當(dāng)前的顯示過濾器。單擊過濾器欄打開要編輯的過濾器選項。該過濾器可以基于以下屬性進行配置，如圖4-3所示。三、【知識準(zhǔn)備】 -Burp Suite簡介Proxy Listeners：代理監(jiān)聽器是監(jiān)聽從瀏覽器傳入的HTTP/HTTPS連接。它允許監(jiān)視和攔截所有的請求和響應(yīng)，默認情況下Burp默認監(jiān)聽地址，端口8080。要使用這個監(jiān)聽器，需要配置瀏覽器使用:8080作為代理服務(wù)器,如圖4-4所示，綁定代理監(jiān)聽器如圖4-5所示。三、【知識準(zhǔn)備】 -Burp Suite簡介三、【知識準(zhǔn)備】 -Burp Suite簡

11、介四、【任務(wù)實施】 實訓(xùn)任務(wù)： 配置Burp Suite的Proxy標(biāo)簽并設(shè)置本機瀏覽器代理，同時測試目標(biāo)網(wǎng)站的連接訪問。四、【任務(wù)實施】 實訓(xùn)環(huán)境：（1） VMware中創(chuàng)建Windows Server 2008與Kali Linux虛擬機，并配置這2臺虛擬機構(gòu)成一局域網(wǎng)，設(shè)置Windows Server 2008虛擬機ip地址為08，Kali Linux虛擬機的ip地址為01.（2）Windows Server 2008虛擬機中配置IIS，并創(chuàng)建好測試網(wǎng)站dvwa。 實驗拓撲圖如圖四、【任務(wù)實施】 實訓(xùn)步驟： 步驟1 :在Kali虛擬機中，打開Burp Suite工具步驟2 :啟動Kali

12、虛擬機中的瀏覽器，單擊右上角的菜單，選擇“Preferences”選項步驟3：打開“連接”選項卡，進行手動代理設(shè)置步驟4：在Kali中 檢查“Intercept”按鈕， “Intercept”中的“Intercept is on”表示開啟數(shù)據(jù)包攔截功能，反之即是放行所有Web流量 步驟5:打開Kali中的瀏覽器，并在地址欄中輸入08步驟6:在Burp Suite中，單“forwards” 可以看到所攔截的數(shù)據(jù)任務(wù)2 Burp Suite target功能使用【學(xué)習(xí)目標(biāo)】【任務(wù)導(dǎo)入】【知識準(zhǔn)備】【任務(wù)實施】一、【學(xué)習(xí)目標(biāo)】 知識目標(biāo)：掌握Burp Suite target的功能技能目標(biāo)：使用Bu

13、rp Suite的Target功能搜索目標(biāo)漏洞二、【任務(wù)導(dǎo)入】 信息收集是整個滲透測試中的第一個環(huán)節(jié)，也是最重要的步驟，信息收集做的越全面，后續(xù)滲透成功的幾率就越高。安全管理人員需要學(xué)習(xí)Burp Suite的Target在漏洞測試中的功能。Target功能模塊分為site map和scope兩個選項卡，它可以定義哪些對象為目前手動測試漏洞的對象。三、【知識準(zhǔn)備】-Site MapSite Map匯總所有經(jīng)過Burp代理的Web應(yīng)用地址。可以過濾并標(biāo)注此信息來管理它，也可以使用Site map來手動測試。如圖4-13所示，默認所有的網(wǎng)站都會顯示在這里，可以右鍵單擊目標(biāo)網(wǎng)站選擇“add to sc

14、ope”，然后單擊Filter勾選Show only in-scope items，此時再看Site map就只有百度一個地址了，這里filter可以過濾一些參數(shù)，show all顯示全部，hide隱藏所有。此上只是簡要說明site map標(biāo)簽的功能及簡單設(shè)置。一些界面可以根據(jù)操作提示或用戶定制而選擇參數(shù)。三、【知識準(zhǔn)備】-Site MapSiteMap以樹形和表形式顯示，并且還可以查看完整的請求和響應(yīng)。樹視圖包含內(nèi)容的分層表示，隨著細分為地址、目錄、文件和參數(shù)化請求的URL。三、【知識準(zhǔn)備】-ScopeScope主要是配合Site map做一些過濾的功能。圖4-14顯示了一個包含在目標(biāo)域范圍

15、內(nèi)的網(wǎng)址以及對應(yīng)原排除規(guī)則。三、【知識準(zhǔn)備】-ScopeInclude in scope就是在掃描地址或者攔截歷史記錄中通過鼠標(biāo)右鍵，選中“add to scope”然后單擊，就可以添加到所包含的范圍,如圖4-15所示。四、【任務(wù)實施】 實訓(xùn)任務(wù)：使用Burp Suite的target標(biāo)簽定義掃描目標(biāo)范圍四、【任務(wù)實施】 實訓(xùn)環(huán)境：（1） VMware中創(chuàng)建Windows server 2008與Kali Linux虛擬機，并配置這2臺虛擬機構(gòu)成一局域網(wǎng)，設(shè)置Windows server 2008虛擬機ip地址為08，Kali Linux虛擬機的ip地址為01.（2）Windows serve

16、r 2008虛擬機中配置IIS，并創(chuàng)建好測試網(wǎng)站dvwa。 實驗拓撲圖如圖4-16所示。四、【任務(wù)實施】 實訓(xùn)步驟： 步驟1：啟動Burp Suite，單擊“Target ”-單擊“site map”。步驟2：根據(jù)上圖中展示的相關(guān)聯(lián)的網(wǎng)址，右擊選中左邊樹形結(jié)構(gòu)的某個網(wǎng)址，在彈出的菜單中，單擊“add to scope”，即把某個網(wǎng)址設(shè)置為目標(biāo)范圍步驟3：Target Scope目標(biāo)域規(guī)則設(shè)置步驟4：單擊圖4-19的“Add”按鈕，即可編輯包含規(guī)則或去除規(guī)則任務(wù)3 Burp Suite Spider功能【學(xué)習(xí)目標(biāo)】【任務(wù)導(dǎo)入】【知識準(zhǔn)備】【任務(wù)實施】一、【學(xué)習(xí)目標(biāo)】 知識目標(biāo)：掌握Burp Su

17、ite 的Spider功能介紹。技能目標(biāo)：掌握通Burp Suite 的Spider功能配置與應(yīng)用。二、【任務(wù)導(dǎo)入】 Burp Spider是一個映射WebWeb應(yīng)用程序的工具。它使用多種智能技術(shù)對一個應(yīng)用程序的內(nèi)容和功能進行全面的清查。Burp Spider通過跟蹤 HTML和 JavaScript以及提交的表單中的超鏈接來映射目標(biāo)應(yīng)用程序，它還使用了一些其他的線索，如目錄列表，資源類型的注釋，以及 robots.txt文件。結(jié)果會在站點地圖中以樹和表的形式顯示出來，提供了一個清楚并非常詳細的目標(biāo)應(yīng)用程序視圖。Burp Spider能讓使用者清楚地了解到一個WebWeb應(yīng)用程序是怎樣工作的，

18、讓使用者避免進行大量的手動任務(wù)而浪費時間，在跟蹤鏈接，提交表單，精簡 HTNL源代碼?？梢钥焖俚卮_人應(yīng)用程序的潛在的脆弱功能，還允許指定特定的漏洞，如 SQL注入，路徑遍歷。三、【知識準(zhǔn)備】-使用Spider使用 Burp Spider 需要兩個簡單的步驟：首先使用 Burp Proxy 配置為瀏覽器的代理服務(wù)器，瀏覽目標(biāo)應(yīng)用程序，然后到站點地圖的“target”選項上，選中目標(biāo)應(yīng)用程序駐留的主機和目錄。選擇上下文菜單的“spider this host/branch”選項，如圖4-21所示。三、【知識準(zhǔn)備】-使用Spider三、【知識準(zhǔn)備】-OptionsOptions選項里包含了許多控制 Burp Spider 動作的配置選項，這些配置在 spider 啟動后還可以修改，且修改對先前的結(jié)果也有效。還有些可以調(diào)整的選項，如user-agent ，或者爬蟲應(yīng)該爬多深，兩個重要的設(shè)置是表單提交和應(yīng)用登錄，設(shè)置好之后爬蟲可以自動填寫表單，如圖4-22所示。三、【知識準(zhǔn)備】-Options三、【知識準(zhǔn)備】-掃描結(jié)果分析WebInspect帶來了最新的評估技術(shù)，能夠適應(yīng)任何企業(yè)環(huán)境的Web應(yīng)用安全產(chǎn)品。當(dāng)您開始進行漏洞評估時，WebInspect的“評估代理”（assessm