课程概述:
在Web安全测试中,借助合适的工具,能够帮助我们提高测试效率、扩展测试思路。本课会给大家介绍浏览器及扩展、代理抓包、敏感文件探测、漏洞扫描、注入探测、目标信息搜集的常用工具用法及测试思路。
课程大纲:
笔记心得:
0. 课前指导
前面两章介绍了web基础知识和安全基础,算是修炼了内功。下面的两章将要介绍web安全工具和实战,磨炼外功,真正在实践中学习、领悟和总结。
a. web安全所需的知识很杂很广。
b. 透过现象看本质是工具利用的更高境界。
c. 在之后的学习中勤加修炼自己的内功。
web攻击流程:信息搜索->漏洞探测及利用->后门植入/获取权限->痕迹清理
1. 浏览器和插件
a. 能够安装Chrome、Firefox以及IE浏览器并试用;
b. 知道如何查看浏览器的功能菜单的配置选项,重点关注和安全相关的配置;
c. 知道如何查看页面源代码、检查元素、禁用页面JS;
d. 会使用F12调出开发者工具,重点是利用Network网络功能查看HTTP数据包
e. 常用插件(Firefox):
(注:最新版的Firefox很多插件都不能用,需要下载之前的版本学习和使用。)
Firebug:属于Firefox的五星级强力推荐扩展之一。它集html查看和编辑、javascript控制台、网络状况监视器于一体,是开发JavaScript、CSS、HTML和Ajax的得力助手。学会使用Firebug查看页面元素、网络数据包内容。
HackBar:一个小工具包,包含一些黑客常用的工具,比如SQL注入,XSS,加密等。学会分割URL参数、构造POST参数、修改referer。
Advanced Cookie Manager:查看、管理、构造cookie,结合HackBar可构造大部分请求。学会对cookie进行查看、修改、删除、新增。
Proxy Switcher:代理工具,结合之后介绍的抓包工具使用。
2. 代理抓包
a. 代理原理:就像一个“中间人”,当客户端有因特网的数据要求时,Proxy会帮用户去向目的地取得用户所需要的数据,负责拦截、放行、丢弃请求和响应。
b. 能够配置浏览器代理(原生的配置方法以及借助插件快速配置).
c. 常用代理抓包工具:
Burpsuite:用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。默认的8080 端口作为本地代理接口,与Proxy Switcher配合。专业版的需要付费,可下载试用版,或联系KP君获取。
此外还有Charles和Fiddler等,下载并熟悉工具用法。
d. 实战练习:
1)成功通过配置远程HTTP代理实现向Web服务器隐藏自己的真实IP;
2)能够配置本地的Java运行环境;
3)成功安装Charles并初始化配置;
4)能够使用Charles等抓取、修改、重放HTTP数据包;
5)成功使用Charles等抓取HTTPS数据包;
3. 漏洞扫描工具
3.1 敏感文件探测
a. 下载并配置本地的Python环境,建议Python2.7;
b. 什么是敏感文件:网站管理后台,数据文件,备份文件,webshell等;
c. 如何探测敏感文件:猜测可能文件名,太慢!,利用自动化工具“御剑”,配置字典,扫描站点;
3.2 综合漏洞扫描
常用工具:AWVS,NetSparker,AppScan。
3.3 SQL注入漏洞
神器:sqlmap
基本流程:找到有数据库交互的功能页面->判断是否存在SQL注入->利用SQL注入漏洞读取数据->导出所需数据保存。
4. 在线工具
4.1 搜索引擎语法
百度/谷歌的高级搜索
site:/inurl:(login|admin)/intitle:/intext:/filetype:/ip:
4.2 网络空间搜索
网络空间搜索引擎的作用就是将互联网上公开的网络资产收集和整理,以此方便人们进行查阅和利用。其原理是探测爬取网站,识别并打标签,存储信息以供检索。学会参考用户手册使用网络空间搜索引擎如ZoomEye,Shodan,FOFA.SO,例如输入app:组件名或ver:组件版本。
4.3 在线工具
WhatWeb:一款网站指纹识别工具,主要针对的问题是:“这个网站使用的什么技术?”WhatWeb可以告诉你网站搭建使用的程序,包括何种CMS系统、什么博客系统、Javascript库、web服务器、内嵌设备等。
ipip.net:ip信息。
cmd5:在线加解密。
tool.chinaz.com:站长工具。
安全圈info:安全站点合集。