很多网站为了减少服务器端的压力,在后台方面减少验证,而只在web前端使用javascript进行验证,殊不知这样大大增加了安全隐患。在渗透测试中,经常会进行http请求的截取来发现一些隐私的漏洞。例如:绕过javascript验证,发现隐藏标签内容等
burpsuit suit工具解析
proxy:
一个拦截http/s的代表服务器,作为一个浏览器和目标应用程序之间的中间人,允许拦截,查看,修改在两个方向上的原始数据包
spider:
一个应用智能感应的网络爬虫,它能完整地枚举应用程序的内容和功能
scanner:
是一个高级工具,执行后,它能自动发现web应用程序的安全漏洞
intruder:
是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举表示符,表单破解和信息搜集
repeater:
是一个靠手动操作来补发单独的http请求,并分析应用程序响应的工具
sequencer:
是一个用来分析哪些不可预知的应用程序会话令牌和重要数据项的随机性的工具
Decoder:
是一个极为方便的解码编码工具
Comparer:
是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的差异
在xss中的过滤有前端过滤,输入过滤,输出过滤,但是有些网站为了减少服务器端的压力,只进行了前端过滤
关键代码
function check(f){
var str = f.username.value;
var c = new Arrary(‘script’ , ’<’ , ’>’ , ’input’, ‘image’)
for(var i=0; i
if(str.indexof(c[i])!=-1) { //循环判断是否存在敏感字
alert(‘你输入的数据存在敏感字符: ’ + c[i] );
return false;
}
}
return true;
}
首先提交敏感字符”script”进行测试,如果被拦截就使用burp suit绕过这个javascript验证
第一步配置网络代理先来配置burpsuit
然后打开firefox在工具栏中:选项->高级->网络->设置->手动配置代理。在http代理中输入127.0.0.1,此时的端口号为在”burp bind tosuit”输入框中所输入的端口号。这里为8080和burpsuit里的设置的一样,点击确定完成
javascript属于前端验证,在浏览器未提交数据时进行验证,而我们是在通过验证,并拦截http请求后修改数据,javascript的验证根本起不了任何作用,由此可见前端验证是不可靠的
前端javascript验证是为了防止用户输入错误,服务器端验证是为了防止恶意攻击
在渗透测试中,往往会拦截http请求并加以分析,因为在进行漏洞扫描时,一些深的安全问题是扫描不出来的。所以在必要情况下,需要拦截http请求和响应,并进行分析。
fiddler
fiddler所以一款优秀的web调试工具,它可以记录所有的浏览器与服务器之间的通信信息(http和https),并且允许你设置断点,修改输入/输出数据。无论是在web开发中还是在渗透测试中fiddler对我们来说都有很大的作用
winsock expert
winsock expert 一个用来监视和修改网络发送中接收数据的程序,可以用来帮助渗透测试人员调试网络应用程序。