wikidot怎么建设网站,农产品品牌建设,做一家算命的网站,photoshop安卓版文章目录 一、确定用户输入入口点1.1 URL文件路径1.2 请求参数1.3 HTTP消息头1.4 带外通道 二、确定服务端技术2.1 提取版本信息2.2 HTTP指纹识别2.3 文件拓展名2.4 目录名称2.5 会话令牌2.6 第三方代码组件 小结 枚举尽可能多的应用程序内容只是解析过程的一个方面。分析应用程… 文章目录 一、确定用户输入入口点1.1 URL文件路径1.2 请求参数1.3 HTTP消息头1.4 带外通道 二、确定服务端技术2.1 提取版本信息2.2 HTTP指纹识别2.3 文件拓展名2.4 目录名称2.5 会话令牌2.6 第三方代码组件 小结 枚举尽可能多的应用程序内容只是解析过程的一个方面。分析应用程序的功能、行为及使用的技术确定它暴露的关键受攻击面并开始想出办法探查其中可供利用的漏洞这项任务也同样重要。值得研究的一些重要方面如下。
应用程序的核心功能用于特定目的时可利用它执行的操作。其他较为外围的应用程序行为包括站外链接、错误消息、管理与日志功能、重定向使用等。核心安全机制及其运作方式特别是会话状态、访问控制以及验证机制与支持逻辑(用户注册、密码修改、账户恢复等)。应用程序处理用户提交的输入的所有不同位置每个URL、查询字符串参数、POST数据、cookie以及类似内容。客户端使用的技术包括表单、客户端脚本、厚客户端组件(Java applet、ActiveX控件和Flash和cookie。服务器端使用的技术包括静态与动态页面、使用的请求参数类型、SSL使用、Web服务 器软件、数据库交互、电子邮件系统和其他后端组件。任何可收集到的、关于服务器端应用程序内部结构与功能的其他信息客户端可见的功能和行为的后台传输机制)
一、确定用户输入入口点 在检查枚举应用程序功能时生成的HTTP请求的过程中可以确定应用程序获取用户输人(由服务器处理)的绝大部分位置。需要注意的关键位置包括以下几项。
每个URL字符串包括查询字符串标记。URL查询字符串中提交的每个参数。POST请求主体中提交的每个参数。每个cookie。极少情况下可能包括由应用程序处理的其他所有HTTP消息头特别是user-Agent、Referer、Accept、Accept-Language和Host消息头。
1.1 URL文件路径 通常查询字符串之前的URL部分并不被视为是进入点因为人们认为它们只是服务器文件系统上的目录和文件的名称。但是在使用REST风格的URL的应用程序中查询字符串之前的URL部分实际上可以作为数据参数并且和进入点一样重要因为用户输入就是查询字符串本身。 典型的REST风格的URL可以采用以下格式 http://eis/shop/browse/electronics/iPhone3G/ 在这个示例中字符串electronics和iPhone3G应被视为存储搜索功能的参数。 1.2 请求参数 多数情况下在URL查询字符串、消息主体和HTTP cookie中提交的参数都是明显的用户输入进入点。但是一些应用程序并不对这些参数使用标准的namevalue格式而是使用定制的方案。定制方案采用非标准查询字符串标记和字段分隔符甚至可能在参数数据中嵌入其他数据方案如XML)。例如
/dir/file;foobarfoo2bar2/dir/file?foobar$foo2bar2/dir/file/foo%3dbar%26foo2%3dbar2dir/foo.bar/file/dir/foobar/file/dir/file?paramfoo:bar;/dir/file?data83cfoo%3ebar%3c*2ffoo%3e%3cfoo2%3ebar2%3c82ffoo2%3e。
1.3 HTTP消息头 许多应用程序执行定制的日志功能并可能会记录HTTP消息头如Referer和User-Agent 的内容。应始终将这些消息头视为基于输入的攻击的可能进入点。 一些应用程序还对Referer消息头进行其他处理。例如应用程序可能检测到用户已通过搜索引擎到达并提供针对用户的搜索查询的定制响应。一些应用程序可能会回应搜索术语或者尝试突出显示响应中的匹配表达式。一些应用程序则通过动态添加HTML关键字等内容并包含搜索引擎中最近的访问者搜索的字符串以提高它们在搜索引擎中的排名。 应用程序向通过不同设备(如笔记本电脑、移动电话、平板电脑)进行访问的用户呈现不同的内容应用程序通过检查user-Agent消息头实现这一目的。通过伪造流行移动设备的user-Agent消息头攻击者可以访问其行为与主要界面不同的简化用户界面。由于这种界面通过服务器端应用程序中的不同代码路径生成并且可能并未经过严格的安全测试。
1.4 带外通道 最后一类用户输入进入点是带外通道应用程序通过它接收攻击者能够控制的数据。如果只是检查应用程序生成的HTTP流量攻击者可能根本无法检测到其中一些进入点发现它们往往需要全面了解应用程序所执行的各种功能。通过带外通道接收用户可控制的数据的Web应用程序包括:
处理并显示通过SMTP接收到的电子邮件消息的Web邮件应用程序具有通过HTTP从其他服务器获取内容功能的发布应用程序使用网络嗅探器收集数据并通过Web应用程序界面显示这些数据的入侵检测应用程序任何提供由非浏览器用户代理使用的API接口如果通过此接口处理的数据与主Web应用程序共享的应用程序如移动电话应用程序。
二、确定服务端技术
2.1 提取版本信息 许多Web服务器公开与Web服务器软件本身和所安装组件有关的详细版本信息。例如HTTPServer消息头揭示大量与安装软件有关的信息 除server消息头外下列位置也可能揭露有关软件类型和版本的信息
建立HTML页面的模板定制的HTTP消息头URL查询字符串参数。
2.2 HTTP指纹识别 从理论上说服务器返回的任何信息都可加以定制或进行有意伪造Server消息头等内容也不例外。大多数应用程序服务器软件允许管理员配置在server HTTP消息头中返回的旗标。但蓄意破坏的攻击者仍然可以利用Web服务器的其他行为确定其所使用的软件。Httprecon工具是一款HTTP指纹识别工具以不同的可信度报告各种可能的Web服务器。
2.3 文件拓展名 URL中使用的文件扩展名往往能够揭示应用程序执行相关功能所使用的平台或编程语言。例如:
asp——Microsoft Active Server Pagesaspx——Microsoft ASP.NETjsp—Java Server Pagescfm—Cold Fusionphp—PHP语言d2w—WebSpherepl-—Perl语言py-Python语言dll—-—通常为编译型本地代码(C或C)nsf或ntf————Lotus Domino。 即使应用程序在它公布的内容中并不使用特定的文件扩展名但我们一般还是能够确定服务器是否执行支持该扩展名的技术。例如如果应用程序上安装有ASP.NET请求一个不存在的.aspx文件将返回一个由ASP.NET框架生成的错误页面。 但是请求一个扩展名不同的不存在的文件将返回一个由Web服务器生成的常规错误消息。 之所以出现上述不同的行为是因为许多Web服务器将特殊的文件扩展名映射到特定的服务器端组件中不同的组件处理错误的方式(包括请求不存在的内容也各不相同。 2.4 目录名称 一些子目录名称常常表示应用程序使用了相关技术。例如
servlet—Java servletpls—Oracle Application Server PL/SQL网关cfdocs或cfide—-Cold FusionSilverStream —- SilverStream Web服务器WebObjects或{function}.woa----Apple webObjectsrails——-Ruby on Rails。
2.5 会话令牌 许多Web服务器和Web应用程序平台默认生成的会话令牌名称也揭示其所使用技术的信息例如
JSESSIONID———Java平台ASPSESSIONID——Microsoft IIS服务器ASP.NET_Sessionld——Microsoft ASP.NETCFID/CFTOKEN ——Cold FusionPHPSESSID——PHP。
2.6 第三方代码组件 许多Web应用程序整合第三方代码组件执行常见的功能如购物车、登录机制和公告牌。这些组件可能为开源代码或者从外部软件开发者购买而来。如果是这样那么相同的组件会出现在因特网上的大量其他Web应用程序中可以根据这些组件了解应用程序的功能。通常其他应用程序会利用相同组件的不同特性确保攻击者能够确定目标应用程序的其他隐藏行为和功能。而且软件中可能包含其他地方已经揭示的某些已知漏洞攻击者也可以下载并安装该组件,对它的源代码进行分析或以受控的方式探查其中存在的缺陷。
小结 渗透测试步骤 确定全部用户输入入口点包括URL、查询字符串参数、PosT数据、cookie和其他由应用程序处理的HTTP消息头。 分析应用程序使用的查询字符串格式。几乎所有定制方案仍然使用名/值模型的某种变化形式因此要设法了解名/值对如何被封装到已经确定的非标准URL中。 确定任何向应用程序处理过程引入用户可控制或其他第三方数据的带外通道。 查看应用程序返回的HTTP服务器旗标。 注意在某些情况下应用程序的不同区域由不同的后端组件处理因此可能会收到不同的server消息头。 检查所有定制HTTP消息头或HTML源代码注释中包含的任何其他软件标识符。(6)运行Httprecon工具识别Web服务器。 如果获得关于Web服务器和其他组件的详细信息搜索其使用的软件版本确定在发动攻击时可供利用的所有漏洞。 分析应用程序URL列表确定任何看似重要的文件扩展名、目录或其他提供服务器使用技术相关线索的内容。 分析应用程序发布的全部会话令牌的名称确定其使用的技术。 使用常用技术列表或Google推测服务器所使用的技术或者查找其他明显使用相同技术的Web站点和应用程序。 在Google上搜索可能属于第三方软件组件的任何不常见的cookie、脚本、HTTP消息头名称并进行分析
