渗透测试实践指南必知必会的工具与方法(第六章、基于Web的漏洞利用)

1.常见Web应用入侵框架：

       ①w3af（Web应用程序审计和攻击框架）；

       ②Burp Suite；

       ③ZAP（OWASP的Zed攻击代理）；

       ④Websecurify；

       ⑤Paros；

2.Web入侵的基本思路

       ①拦截离开浏览器的请求（通过使用代理 Proxy）

       ②寻找组成Web应用的所有网页、目录和其他文件

         （提供对攻击面的深入理解，由自动化的“Spidering”（爬虫）完成；

              Spidering这种活动没有隐蔽性；

              注意设置Spidering不要访问注销用户的链接；

              假如可以，注意指定Spidering搜索目标网站中的特别目录和路径）

       ③分析Web应用响应、检查其漏洞

              (自动化Web扫描程序可以发现的Web漏洞有：

               SQL注入，XSS，文件路径操纵攻击（也被称作目录遍历）等

3.Nikto

       一款Web服务器漏洞扫描工具（要想运行需要事先安装Perl）

       使用实例：   nikto -h 192.168.13.182 -p   1-1000

                            nikto -h192.168.18.132 -p 80,443

       < -h >:指定一个主机IP地址

       < -p >:指定端口号（多个不连续的端口号用“，”分隔，例如“80,443”）

                     （若不指定端口号，Nikto仅会扫描80端口）

       < -o >:使用“-o /path/file_name”可以将Nikto的输出结果保存在该文件中

4.w3af

①一款出色的Web资源扫描和漏洞利用工具，提供了易用的界面，渗透测试者可以用       它快速而轻松地找出几乎所有重要的Web漏洞，包括跨站请求伪造，文件包含，       SQL 注入，XSS等

       ②强烈建议花时间探索和使用这一工具！

5.WebScarab

①与目标服务器进行交互的首选工具

②使用该工具的Spidering功能之前，确保它处于“full-featuredinterface(全功能界面)”模式，而不是“LiteInterface（精简界面）”模式

7.代码注入攻击

       注入攻击最基本的类型：SQL Injection

8.XSS（Cross Site Scripting跨站脚本攻击）

              将脚本程序注入到Web应用程序中的过程

       ①reflected（非持久化）XSS，也被称为“First Order（首选）XSS”

       ②stored（持久化） XSS

       ③掌握reflected XSS 和 stored XSS后，你应该着手研究基于DOM 的 XSS了。

9.ZAP（Zed Attack Proxy）

       ①全功能的Web入侵工具包

       ②启动命令：zap

10.如何实践

       ①WebGoat（OWASP开发，基于J2EE构建，运行前确保系统安装了JRE,使用链接为：http://127.0.0.1:8080/webgoat/attack）    

       ②DVWA（Damn Vulnerable Web APP）

              用PHP和MySQL制作的不安全应用程序，以提供测试环境

11.接下来该做什么

①学习Web应用Hacker更高级的主题，包括：

       客户端攻击、会话管理、源代码审计

②关注OWASP的“Top Ten”项目

③《The Basic of Web Hacking:Tools and Techniques to Attackthe Web 》

                                                                                                         ——Josh Pauli