- 安全測試教程
- 安全測試 - 首頁
- 安全測試 - 概述
- 安全測試 - 流程
- 安全測試 - 惡意軟體
- HTTP 協議基礎
- HTTPS 協議基礎
- 編碼和解碼
- 安全測試 - 密碼學
- 安全測試 - 同源策略
- 安全測試 - Cookie
- 網路應用程式駭客攻擊
- 安全測試 - 注入攻擊
- 測試身份驗證缺陷
- 測試跨站點指令碼攻擊
- 不安全的直接物件引用
- 測試安全配置錯誤
- 測試敏感資料洩露
- 缺少功能級訪問控制
- 跨站點請求偽造
- 存在漏洞的元件
- 未經驗證的重定向和轉發
- 安全測試 - Ajax 安全
- 測試安全 - Web 服務
- 安全測試 - 緩衝區溢位
- 安全測試 - 拒絕服務攻擊
- 測試惡意檔案執行
- 安全測試 - 自動化工具
- 安全測試有用資源
- 安全測試 - 快速指南
- 安全測試 - 有用資源
- 安全測試 - 討論
安全測試 - 網路應用程式駭客攻擊
我們可以使用各種方法/途徑作為執行攻擊的參考。
Web 應用程式 - 滲透測試方法
在開發攻擊模型時,可以考慮以下標準。
在以下列表中,OWASP 最為活躍,並且有許多貢獻者。我們將重點關注 OWASP 技術,每個開發團隊在設計 Web 應用程式之前都會考慮這些技術。
OWASP Top 10
開放 Web 應用程式安全專案團隊釋出了近年來 Web 中更普遍的十大漏洞。以下是 Web 應用程式中更普遍的安全漏洞列表。
應用程式 - 實操
為了理解每種技術,讓我們使用一個示例應用程式。我們將對“WebGoat”進行攻擊,這是一個 J2EE 應用程式,專門為學習目的而開發,其中包含安全漏洞。
有關 WebGoat 專案的完整詳細資訊,請訪問 https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project。要下載 WebGoat 應用程式,請導航到 https://github.com/WebGoat/WebGoat/wiki/Installation-(WebGoat-6.0) 並轉到下載部分。
要安裝下載的應用程式,首先確保您在埠 8080 上沒有任何應用程式正在執行。它可以使用單個命令安裝 - java -jar WebGoat-6.0.1-war-exec.jar。有關更多詳細資訊,請訪問 WebGoat 安裝
安裝後,我們應該能夠透過導航到 https://:8080/WebGoat/attack 來訪問該應用程式,並且頁面將如下所示。
我們可以使用登入頁面中顯示的 guest 或 admin 的憑據。
Web 代理
為了攔截客戶端(瀏覽器)和伺服器(在本例中託管 WebGoat 應用程式的系統)之間的流量,我們需要使用 Web 代理。我們將使用 Burp Proxy,可以從 https://portswigger.net/burp/download.html 下載。
下載 Burp Suite 的免費版本就足夠了,如下所示。
配置 Burp Suite
Burp Suite 是一個 Web 代理,可以攔截瀏覽器和 Web 伺服器傳送和接收的每個資訊包。這有助於我們在客戶端將資訊傳送到 Web 伺服器之前修改內容。
步驟 1 - 該應用程式安裝在埠 8080 上,Burp 安裝在埠 8181 上,如下所示。啟動 Burp Suite 並進行以下設定以使其在埠 8181 上啟動,如下所示。
步驟 2 - 我們應該確保 Burp 正在偵聽應用程式安裝所在的埠 8080,以便 Burp Suite 可以攔截流量。此設定應在 Burp Suite 的範圍選項卡上完成,如下所示。
步驟 3 - 然後將您的瀏覽器代理設定設定為偵聽埠 8181(Burp Suite 埠)。因此,我們已配置 Web 代理以攔截客戶端(瀏覽器)和伺服器(Web 伺服器)之間的流量,如下所示 -
步驟 4 - 使用簡單的流程圖,配置的快照如下所示
