項目三-云環(huán)境web漏洞掃描

1、云端Web漏洞手工檢測分析（課時數：6課時）云安全防護技術主 要 內 容1 任務1Burp Suite基礎Proxy功能2 任務2 Burp Suite target功能使用3任務3 Burp Suite Spider功能4任務四 Burp Suite Scanner功能 應用5任務五 Burp Suite Intruder 爆破應用 任務1 Burp Suite基礎Proxy功能【學習目標】【任務導入】【知識準備】【任務實施】一、【學習目標】 知識目標：了解Web常見漏洞及攻擊原理了解Burp Suite的基本功能及Proxy功能技能目標：掌握設置Burp Suite軟件中Proxy代理及手

2、動配置功能應用二、【任務導入】 Web環(huán)境中存在兩個主要的風險：SQL注入，它會讓黑客更改發(fā)往數據庫的查詢以及跨站腳本攻擊（XSS）。注入攻擊會利用有問題代碼的應用程序來插入和執(zhí)行黑客指定的命令，從而能夠訪問關鍵的數據和資源。當應用程序將用戶提供的數據不加檢驗或編碼就發(fā)送到瀏覽器上時，會產生XSS漏洞。大多數公司都非常關注對Web應用程序的手工測試，而不是運行Web應用程序掃描器。Burp Suite是Web應用程序測試工具之一，其多種功能可以執(zhí)行各種任務，如請求的攔截和修改,掃描Web應用程序漏洞,以暴力破解登陸表單,執(zhí)行會話令牌等多種的隨機性檢查。使用Burp Suite將使得測試工作變得

3、更加容易和方便，即使在不需要嫻熟的技巧的情況下，只要熟悉Burp Suite的使用，也使得滲透測試工作變得輕松和高效。Burp Suite是由Java語言編寫而成，而Java自身的跨平臺性，使得軟件的學習和使用更加方便。它需要手工配置一些參數，觸發(fā)一些自動化流程，然后才能開始工作。三、【知識準備】 - Web常見漏洞及攻擊原理根據前期各個漏洞研究機構的調查顯示，SQL注入漏洞和跨站腳本漏洞的普遍程度排名前兩位，造成的危害也更加巨大。本項目主要介紹跨站腳本漏洞及攻擊原理。 跨站腳本漏洞是因為Web應用程序沒有對用戶提交的語句和變量進行過濾或限制，攻擊者通過Web頁面的輸入區(qū)域向數據庫或HTML頁

4、面中提交惡意代碼，當用戶打開有惡意代碼的鏈接或頁面時，惡意代碼通過瀏覽器自動執(zhí)行，從而達到攻擊的目的。通過跨站腳本漏洞攻擊者可以冒充受害者訪問用戶重要賬戶，盜竊企業(yè)重要信息。 跨站腳本攻擊的目的是盜走客戶端敏感信息,冒充受害者訪問用戶的重要賬戶?？缯灸_本攻擊主要有以下三種形式：三、【知識準備】 - Web常見漏洞及攻擊原理1)本地跨站腳本攻擊B給A發(fā)送一個惡意構造的WebURL，A單擊查看了這個URL，并將該頁面保存到本地硬盤。A在本地運行該網頁，網頁中嵌入的惡意腳本可以在A電腦上執(zhí)行A權限下的所有命令。2)反射跨站腳本攻擊A經常瀏覽某個網站，此網站為B所擁有。A使用用戶名/密碼登錄B網站，B

5、網站存儲下A的敏感信息（如銀行帳戶信息等）。C發(fā)現B的站點包含反射跨站腳本漏洞，編寫一個利用漏洞的URL，域名為B網站，在URL后面嵌入了惡意腳本（如獲取A的cookie文件），并通過郵件或社會工程學等方式欺騙A訪問存在惡意的URL。當A使用C提供的URL訪問B網站時，由于B網站存在反射跨站腳本漏洞，嵌入到URL中的惡意腳本通過Web服務器返回給A，并在A瀏覽器中執(zhí)行，A的敏感信息在完全不知情的情況下將發(fā)送給C。三、【知識準備】 - Web常見漏洞及攻擊原理3)持久跨站腳本攻擊B擁有一個Web站點，該站點允許用戶發(fā)布和瀏覽已發(fā)布的信息。C注意到B的站點具有持久跨站腳本漏洞，C發(fā)布一個熱點信息，

6、吸引用戶閱讀。A一旦瀏覽該信息，其會話cookies或者其它信息將被C盜走。持久性跨站腳本攻擊一般出現在論壇、留言簿等網頁，攻擊者通過留言，將攻擊數據寫入服務器數據庫中，瀏覽該留言的用戶的信息都會被泄漏。 三、【知識準備】 -Burp Suite簡介Burp Suite是使用Java開發(fā)的安全測試工具，在Kali系統(tǒng)里面已經安裝，Windows系統(tǒng)要先安裝好Java環(huán)境，然后可以在其官網/burp/download.html下載和安裝。它包含了許多模塊（功能），并為這些模塊（功能）設計了許多接口，以促進加快攻擊應用程序的過程。所有的工具都共享一個能處理并顯示HTTP消息、持久性、認證、代理、日

7、志、警報的一個強大的可擴展的框架。Burp Suite具有如下的功能模塊：（1）Target(目標)顯示目標目錄結構的的一個功能。（2）Proxy(代理)攔截HTTP/S的代理服務器，作為一個在瀏覽器和目標應用程序之間的中間人，允許你攔截，查看，修改在兩個方向上的原始數據流。三、【知識準備】 -Burp Suite簡介（3）Spider(蜘蛛)應用智能感應的網絡爬蟲，它能完整的枚舉應用程序的內容和功能。（4）Scanner(掃描器)高級工具，執(zhí)行后，它能自動地發(fā)現Web應用程序的安全漏洞。（5）Intruder(入侵)一個定制的高度可配置的工具，對Web應用程序進行自動化攻擊，如：枚舉標識符，

8、收集有用的數據，以及使用fuzzing 技術探測常規(guī)漏洞。（6）Repeater(中繼器)一個靠手動操作來觸發(fā)單獨的HTTP 請求，并分析應用程序響應的工具。三、【知識準備】 -Burp Suite簡介（7）Sequencer(會話)用來分析那些不可預知的應用程序會話令牌和重要數據項的隨機性的工具。（8）Decoder(解碼器)進行手動執(zhí)行或對應用程序數據者智能解碼編碼的工具。（9）Comparer(對比)通常是通過一些相關的請求和響應得到兩項數據的一個可視化的“差異”。（10）Extender(擴展)可以讓你加載Burp Suite的擴展，使用你自己的或第三方代碼來擴展Burp Suite的

9、功能。（11）Options(設置)對Burp Suite的一些設置。掃描之前，需要對常用功能按鈕進行基本配置，如監(jiān)聽攔截的配置如圖4-1所示。三、【知識準備】 -Burp Suite簡介三、【知識準備】 -Burp Suite簡介通過代理可以記錄全部請求和響應的歷史，History(代理歷史)總在更新，即使把Interception turned off(攔截關閉)， 也可以通過單擊任何列標題進行升序或降序排列。如果在表中雙擊選擇一個項目地址，會顯示出一個詳細的請求和響應的窗口，如圖4-2所示。三、【知識準備】 -Burp Suite簡介Display Filter：Proxy histro

10、y有一個可以用來在視圖中隱藏某些內容的功能。 History Table上方的過濾欄描述了當前的顯示過濾器。單擊過濾器欄打開要編輯的過濾器選項。該過濾器可以基于以下屬性進行配置，如圖4-3所示。三、【知識準備】 -Burp Suite簡介Proxy Listeners：代理監(jiān)聽器是監(jiān)聽從瀏覽器傳入的HTTP/HTTPS連接。它允許監(jiān)視和攔截所有的請求和響應，默認情況下Burp默認監(jiān)聽地址，端口8080。要使用這個監(jiān)聽器，需要配置瀏覽器使用:8080作為代理服務器,如圖4-4所示，綁定代理監(jiān)聽器如圖4-5所示。三、【知識準備】 -Burp Suite簡介三、【知識準備】 -Burp Suite簡

11、介四、【任務實施】 實訓任務： 配置Burp Suite的Proxy標簽并設置本機瀏覽器代理，同時測試目標網站的連接訪問。四、【任務實施】 實訓環(huán)境：（1） VMware中創(chuàng)建Windows Server 2008與Kali Linux虛擬機，并配置這2臺虛擬機構成一局域網，設置Windows Server 2008虛擬機ip地址為08，Kali Linux虛擬機的ip地址為01.（2）Windows Server 2008虛擬機中配置IIS，并創(chuàng)建好測試網站dvwa。 實驗拓撲圖如圖四、【任務實施】 實訓步驟： 步驟1 :在Kali虛擬機中，打開Burp Suite工具步驟2 :啟動Kali

12、虛擬機中的瀏覽器，單擊右上角的菜單，選擇“Preferences”選項步驟3：打開“連接”選項卡，進行手動代理設置步驟4：在Kali中 檢查“Intercept”按鈕， “Intercept”中的“Intercept is on”表示開啟數據包攔截功能，反之即是放行所有Web流量 步驟5:打開Kali中的瀏覽器，并在地址欄中輸入08步驟6:在Burp Suite中，單“forwards” 可以看到所攔截的數據任務2 Burp Suite target功能使用【學習目標】【任務導入】【知識準備】【任務實施】一、【學習目標】 知識目標：掌握Burp Suite target的功能技能目標：使用Bu

13、rp Suite的Target功能搜索目標漏洞二、【任務導入】 信息收集是整個滲透測試中的第一個環(huán)節(jié)，也是最重要的步驟，信息收集做的越全面，后續(xù)滲透成功的幾率就越高。安全管理人員需要學習Burp Suite的Target在漏洞測試中的功能。Target功能模塊分為site map和scope兩個選項卡，它可以定義哪些對象為目前手動測試漏洞的對象。三、【知識準備】-Site MapSite Map匯總所有經過Burp代理的Web應用地址。可以過濾并標注此信息來管理它，也可以使用Site map來手動測試。如圖4-13所示，默認所有的網站都會顯示在這里，可以右鍵單擊目標網站選擇“add to sc

14、ope”，然后單擊Filter勾選Show only in-scope items，此時再看Site map就只有百度一個地址了，這里filter可以過濾一些參數，show all顯示全部，hide隱藏所有。此上只是簡要說明site map標簽的功能及簡單設置。一些界面可以根據操作提示或用戶定制而選擇參數。三、【知識準備】-Site MapSiteMap以樹形和表形式顯示，并且還可以查看完整的請求和響應。樹視圖包含內容的分層表示，隨著細分為地址、目錄、文件和參數化請求的URL。三、【知識準備】-ScopeScope主要是配合Site map做一些過濾的功能。圖4-14顯示了一個包含在目標域范圍

15、內的網址以及對應原排除規(guī)則。三、【知識準備】-ScopeInclude in scope就是在掃描地址或者攔截歷史記錄中通過鼠標右鍵，選中“add to scope”然后單擊，就可以添加到所包含的范圍,如圖4-15所示。四、【任務實施】 實訓任務：使用Burp Suite的target標簽定義掃描目標范圍四、【任務實施】 實訓環(huán)境：（1） VMware中創(chuàng)建Windows server 2008與Kali Linux虛擬機，并配置這2臺虛擬機構成一局域網，設置Windows server 2008虛擬機ip地址為08，Kali Linux虛擬機的ip地址為01.（2）Windows serve

16、r 2008虛擬機中配置IIS，并創(chuàng)建好測試網站dvwa。 實驗拓撲圖如圖4-16所示。四、【任務實施】 實訓步驟： 步驟1：啟動Burp Suite，單擊“Target ”-單擊“site map”。步驟2：根據上圖中展示的相關聯(lián)的網址，右擊選中左邊樹形結構的某個網址，在彈出的菜單中，單擊“add to scope”，即把某個網址設置為目標范圍步驟3：Target Scope目標域規(guī)則設置步驟4：單擊圖4-19的“Add”按鈕，即可編輯包含規(guī)則或去除規(guī)則任務3 Burp Suite Spider功能【學習目標】【任務導入】【知識準備】【任務實施】一、【學習目標】 知識目標：掌握Burp Su

17、ite 的Spider功能介紹。技能目標：掌握通Burp Suite 的Spider功能配置與應用。二、【任務導入】 Burp Spider是一個映射WebWeb應用程序的工具。它使用多種智能技術對一個應用程序的內容和功能進行全面的清查。Burp Spider通過跟蹤 HTML和 JavaScript以及提交的表單中的超鏈接來映射目標應用程序，它還使用了一些其他的線索，如目錄列表，資源類型的注釋，以及 robots.txt文件。結果會在站點地圖中以樹和表的形式顯示出來，提供了一個清楚并非常詳細的目標應用程序視圖。Burp Spider能讓使用者清楚地了解到一個WebWeb應用程序是怎樣工作的，

18、讓使用者避免進行大量的手動任務而浪費時間，在跟蹤鏈接，提交表單，精簡 HTNL源代碼。可以快速地確人應用程序的潛在的脆弱功能，還允許指定特定的漏洞，如 SQL注入，路徑遍歷。三、【知識準備】-使用Spider使用 Burp Spider 需要兩個簡單的步驟：首先使用 Burp Proxy 配置為瀏覽器的代理服務器，瀏覽目標應用程序，然后到站點地圖的“target”選項上，選中目標應用程序駐留的主機和目錄。選擇上下文菜單的“spider this host/branch”選項，如圖4-21所示。三、【知識準備】-使用Spider三、【知識準備】-OptionsOptions選項里包含了許多控制 Burp Spider 動作的配置選項，這些配置在 spider 啟動后還可以修改，且修改對先前的結果也有效。還有些可以調整的選項，如user-agent ，或者爬蟲應該爬多深，兩個重要的設置是表單提交和應用登錄，設置好之后爬蟲可以自動填寫表單，如圖4-22所示。三、【知識準備】-Options三、【知識準備】-掃描結果分析WebInspect帶來了最新的評估技術，能夠適應任何企業(yè)環(huán)境的Web應用安全產品。當您開始進行漏洞評估時，WebInspect的“評估代理”（assessm