Identify application entry points (OWASP-IG-003) 識別應用程序的注入點
什麼是注入點?
簡而言之,就是可以被滲透進入的點。
對要攻擊的應用程序有了初步的認識後,攻擊者會試圖定位由人爲構造的輸入而產生的錯誤信息。
通過一個攔截代理服務器( intercepting proxy )或者類似的工具可以方便地識別頁面跳轉和其他一些可預測的隱藏錯誤,而任何一個返回錯誤的參數都有可能存在注入點。而在單獨測試每個參數過程中,必須保證其他參數都是有效的,因爲需要避免除注入以外任何其他可能的原因所導致的錯誤影響了判斷結果。
在測試進行前枚舉應用程序和它的攻擊面非常關鍵,因爲它允許測試者定位大概的脆弱點。本節的目的是,在枚舉和映射完成之後,能夠確定應用程序的大概脆弱點。
測試開始之前,獲得對應用系統的較好認識。然後,遍歷所有的應用,尤其注意所有的 HTTP 請求,同樣包括提交應用的各個參數。另外,注意傳遞請求給應用系統的時間
請注意,要看到 POST 請求發送的參數,您需要使用諸如攔截代理服務器(例如, OWASP 的的 WebScarab )或瀏覽器插件等工具。在 POST 請求中,注意任何以隱藏的形式被傳遞到應用系統的信息,因爲這些信息通常包含敏感信息,如狀態信息等 ,開發者不打算給您查看或修改的一些信息。用攔截代理服務器,能夠跟蹤應用的每一個請求和響應。
關於攔截代理服務器
這裏有的下:http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
安裝很簡單,使用很方便。
安裝方法:
Linux: java -jar ./webscarab
-selfcontained-[numbers].jar
Windows: 雙擊 the installer jar file
這一部分要採集的信息整理如下:
REQUEST請求部分:
1,識別 GETs 和 POSTs 在哪裏被使用
2,識別在 POST 請求中使用的所有參數
3,特別注意 POST 請求中隱藏的參數。隱藏的參數直接看不到,除非你看的是代理或者 HTML 源代碼
4,識別在 GET 請求中的所有參數,特別是查詢字符串
5,識別在查詢字符串中的所有參數
6,特別注意當一個字符串中或 POST 請求中有多個參數時,可能其中某些參數就可以執行攻擊。您需要確定所有參數(即使被編碼或加密),並確定哪些是由應用程序處理。本指南後面的章節將確定如何測試這些參數
7,同時留意任何額外的或自定義類型的 header ,(比如 debug=False )
RESPONSE響應部分:
1,識別新 cookie 在什麼位置被設置、被修改、被添加的
2,識別任何轉向的鏈接, 400 ,尤其是 403 ,還有常見的 500 內部服務器錯誤。
還有一些 特別的 header 要注意,比如說 "Server: BIG-IP" ,就表明網站使用了負載均衡。如果一個網站使用了負載均衡,但是其中一臺服務器未被正確配置,那麼可能可以製造大量的請求訪問脆弱服務器,這取決於負載均衡的類型。
一些個工具:
Intercepting Proxy:攔截代理
- OWASP: Webscarab
- Dafydd Stuttard: Burp proxy - http://portswigger.net/proxy/
- MileSCAN: Paros Proxy - http://www.parosproxy.org/download.shtml
paros的使用可以參考我的一篇文章http://blog.csdn.net/tingirl/archive/2009/12/29/5096093.aspx
Browser Plug-in:瀏覽器插件
- "TamperIE" for Internet Explorer - http://www.bayden.com/TamperIE/
Adam Judson: "Tamper Data" for Firefox - https://addons.mozilla.org/en-US/firefox/addon/966
