项目三-云环境web漏洞扫描

1、云端Web漏洞手工检测分析（课时数：6课时）云安全防护技术主 要 内 容1 任务1Burp Suite基础Proxy功能2 任务2 Burp Suite target功能使用3任务3 Burp Suite Spider功能4任务四 Burp Suite Scanner功能 应用5任务五 Burp Suite Intruder 爆破应用 任务1 Burp Suite基础Proxy功能【学习目标】【任务导入】【知识准备】【任务实施】一、【学习目标】 知识目标：了解Web常见漏洞及攻击原理了解Burp Suite的基本功能及Proxy功能技能目标：掌握设置Burp Suite软件中Proxy代理及手

2、动配置功能应用二、【任务导入】 Web环境中存在两个主要的风险：SQL注入，它会让黑客更改发往数据库的查询以及跨站脚本攻击（XSS）。注入攻击会利用有问题代码的应用程序来插入和执行黑客指定的命令，从而能够访问关键的数据和资源。当应用程序将用户提供的数据不加检验或编码就发送到浏览器上时，会产生XSS漏洞。大多数公司都非常关注对Web应用程序的手工测试，而不是运行Web应用程序扫描器。Burp Suite是Web应用程序测试工具之一，其多种功能可以执行各种任务，如请求的拦截和修改,扫描Web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。使用Burp Suite将使得测试工作变得

3、更加容易和方便，即使在不需要娴熟的技巧的情况下，只要熟悉Burp Suite的使用，也使得渗透测试工作变得轻松和高效。Burp Suite是由Java语言编写而成，而Java自身的跨平台性，使得软件的学习和使用更加方便。它需要手工配置一些参数，触发一些自动化流程，然后才能开始工作。三、【知识准备】 - Web常见漏洞及攻击原理根据前期各个漏洞研究机构的调查显示，SQL注入漏洞和跨站脚本漏洞的普遍程度排名前两位，造成的危害也更加巨大。本项目主要介绍跨站脚本漏洞及攻击原理。 跨站脚本漏洞是因为Web应用程序没有对用户提交的语句和变量进行过滤或限制，攻击者通过Web页面的输入区域向数据库或HTML页

4、面中提交恶意代码，当用户打开有恶意代码的链接或页面时，恶意代码通过浏览器自动执行，从而达到攻击的目的。通过跨站脚本漏洞攻击者可以冒充受害者访问用户重要账户，盗窃企业重要信息。 跨站脚本攻击的目的是盗走客户端敏感信息,冒充受害者访问用户的重要账户。跨站脚本攻击主要有以下三种形式：三、【知识准备】 - Web常见漏洞及攻击原理1)本地跨站脚本攻击B给A发送一个恶意构造的WebURL，A单击查看了这个URL，并将该页面保存到本地硬盘。A在本地运行该网页，网页中嵌入的恶意脚本可以在A电脑上执行A权限下的所有命令。2)反射跨站脚本攻击A经常浏览某个网站，此网站为B所拥有。A使用用户名/密码登录B网站，B

5、网站存储下A的敏感信息（如银行帐户信息等）。C发现B的站点包含反射跨站脚本漏洞，编写一个利用漏洞的URL，域名为B网站，在URL后面嵌入了恶意脚本（如获取A的cookie文件），并通过邮件或社会工程学等方式欺骗A访问存在恶意的URL。当A使用C提供的URL访问B网站时，由于B网站存在反射跨站脚本漏洞，嵌入到URL中的恶意脚本通过Web服务器返回给A，并在A浏览器中执行，A的敏感信息在完全不知情的情况下将发送给C。三、【知识准备】 - Web常见漏洞及攻击原理3)持久跨站脚本攻击B拥有一个Web站点，该站点允许用户发布和浏览已发布的信息。C注意到B的站点具有持久跨站脚本漏洞，C发布一个热点信息，

6、吸引用户阅读。A一旦浏览该信息，其会话cookies或者其它信息将被C盗走。持久性跨站脚本攻击一般出现在论坛、留言簿等网页，攻击者通过留言，将攻击数据写入服务器数据库中，浏览该留言的用户的信息都会被泄漏。 三、【知识准备】 -Burp Suite简介Burp Suite是使用Java开发的安全测试工具，在Kali系统里面已经安装，Windows系统要先安装好Java环境，然后可以在其官网/burp/download.html下载和安装。它包含了许多模块（功能），并为这些模块（功能）设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息、持久性、认证、代理、日

7、志、警报的一个强大的可扩展的框架。Burp Suite具有如下的功能模块：（1）Target(目标)显示目标目录结构的的一个功能。（2）Proxy(代理)拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。三、【知识准备】 -Burp Suite简介（3）Spider(蜘蛛)应用智能感应的网络爬虫，它能完整的枚举应用程序的内容和功能。（4）Scanner(扫描器)高级工具，执行后，它能自动地发现Web应用程序的安全漏洞。（5）Intruder(入侵)一个定制的高度可配置的工具，对Web应用程序进行自动化攻击，如：枚举标识符，

8、收集有用的数据，以及使用fuzzing 技术探测常规漏洞。（6）Repeater(中继器)一个靠手动操作来触发单独的HTTP 请求，并分析应用程序响应的工具。三、【知识准备】 -Burp Suite简介（7）Sequencer(会话)用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。（8）Decoder(解码器)进行手动执行或对应用程序数据者智能解码编码的工具。（9）Comparer(对比)通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。（10）Extender(扩展)可以让你加载Burp Suite的扩展，使用你自己的或第三方代码来扩展Burp Suite的

9、功能。（11）Options(设置)对Burp Suite的一些设置。扫描之前，需要对常用功能按钮进行基本配置，如监听拦截的配置如图4-1所示。三、【知识准备】 -Burp Suite简介三、【知识准备】 -Burp Suite简介通过代理可以记录全部请求和响应的历史，History(代理历史)总在更新，即使把Interception turned off(拦截关闭)， 也可以通过单击任何列标题进行升序或降序排列。如果在表中双击选择一个项目地址，会显示出一个详细的请求和响应的窗口，如图4-2所示。三、【知识准备】 -Burp Suite简介Display Filter：Proxy histro

10、y有一个可以用来在视图中隐藏某些内容的功能。 History Table上方的过滤栏描述了当前的显示过滤器。单击过滤器栏打开要编辑的过滤器选项。该过滤器可以基于以下属性进行配置，如图4-3所示。三、【知识准备】 -Burp Suite简介Proxy Listeners：代理监听器是监听从浏览器传入的HTTP/HTTPS连接。它允许监视和拦截所有的请求和响应，默认情况下Burp默认监听地址，端口8080。要使用这个监听器，需要配置浏览器使用:8080作为代理服务器,如图4-4所示，绑定代理监听器如图4-5所示。三、【知识准备】 -Burp Suite简介三、【知识准备】 -Burp Suite简

11、介四、【任务实施】 实训任务： 配置Burp Suite的Proxy标签并设置本机浏览器代理，同时测试目标网站的连接访问。四、【任务实施】 实训环境：（1） VMware中创建Windows Server 2008与Kali Linux虚拟机，并配置这2台虚拟机构成一局域网，设置Windows Server 2008虚拟机ip地址为08，Kali Linux虚拟机的ip地址为01.（2）Windows Server 2008虚拟机中配置IIS，并创建好测试网站dvwa。 实验拓扑图如图四、【任务实施】 实训步骤： 步骤1 :在Kali虚拟机中，打开Burp Suite工具步骤2 :启动Kali

12、虚拟机中的浏览器，单击右上角的菜单，选择“Preferences”选项步骤3：打开“连接”选项卡，进行手动代理设置步骤4：在Kali中 检查“Intercept”按钮， “Intercept”中的“Intercept is on”表示开启数据包拦截功能，反之即是放行所有Web流量 步骤5:打开Kali中的浏览器，并在地址栏中输入08步骤6:在Burp Suite中，单“forwards” 可以看到所拦截的数据任务2 Burp Suite target功能使用【学习目标】【任务导入】【知识准备】【任务实施】一、【学习目标】 知识目标：掌握Burp Suite target的功能技能目标：使用Bu

13、rp Suite的Target功能搜索目标漏洞二、【任务导入】 信息收集是整个渗透测试中的第一个环节，也是最重要的步骤，信息收集做的越全面，后续渗透成功的几率就越高。安全管理人员需要学习Burp Suite的Target在漏洞测试中的功能。Target功能模块分为site map和scope两个选项卡，它可以定义哪些对象为目前手动测试漏洞的对象。三、【知识准备】-Site MapSite Map汇总所有经过Burp代理的Web应用地址。可以过滤并标注此信息来管理它，也可以使用Site map来手动测试。如图4-13所示，默认所有的网站都会显示在这里，可以右键单击目标网站选择“add to sc

14、ope”，然后单击Filter勾选Show only in-scope items，此时再看Site map就只有百度一个地址了，这里filter可以过滤一些参数，show all显示全部，hide隐藏所有。此上只是简要说明site map标签的功能及简单设置。一些界面可以根据操作提示或用户定制而选择参数。三、【知识准备】-Site MapSiteMap以树形和表形式显示，并且还可以查看完整的请求和响应。树视图包含内容的分层表示，随着细分为地址、目录、文件和参数化请求的URL。三、【知识准备】-ScopeScope主要是配合Site map做一些过滤的功能。图4-14显示了一个包含在目标域范围

15、内的网址以及对应原排除规则。三、【知识准备】-ScopeInclude in scope就是在扫描地址或者拦截历史记录中通过鼠标右键，选中“add to scope”然后单击，就可以添加到所包含的范围,如图4-15所示。四、【任务实施】 实训任务：使用Burp Suite的target标签定义扫描目标范围四、【任务实施】 实训环境：（1） VMware中创建Windows server 2008与Kali Linux虚拟机，并配置这2台虚拟机构成一局域网，设置Windows server 2008虚拟机ip地址为08，Kali Linux虚拟机的ip地址为01.（2）Windows serve

16、r 2008虚拟机中配置IIS，并创建好测试网站dvwa。 实验拓扑图如图4-16所示。四、【任务实施】 实训步骤： 步骤1：启动Burp Suite，单击“Target ”-单击“site map”。步骤2：根据上图中展示的相关联的网址，右击选中左边树形结构的某个网址，在弹出的菜单中，单击“add to scope”，即把某个网址设置为目标范围步骤3：Target Scope目标域规则设置步骤4：单击图4-19的“Add”按钮，即可编辑包含规则或去除规则任务3 Burp Suite Spider功能【学习目标】【任务导入】【知识准备】【任务实施】一、【学习目标】 知识目标：掌握Burp Su

17、ite 的Spider功能介绍。技能目标：掌握通Burp Suite 的Spider功能配置与应用。二、【任务导入】 Burp Spider是一个映射WebWeb应用程序的工具。它使用多种智能技术对一个应用程序的内容和功能进行全面的清查。Burp Spider通过跟踪 HTML和 JavaScript以及提交的表单中的超链接来映射目标应用程序，它还使用了一些其他的线索，如目录列表，资源类型的注释，以及 robots.txt文件。结果会在站点地图中以树和表的形式显示出来，提供了一个清楚并非常详细的目标应用程序视图。Burp Spider能让使用者清楚地了解到一个WebWeb应用程序是怎样工作的，

18、让使用者避免进行大量的手动任务而浪费时间，在跟踪链接，提交表单，精简 HTNL源代码。可以快速地确人应用程序的潜在的脆弱功能，还允许指定特定的漏洞，如 SQL注入，路径遍历。三、【知识准备】-使用Spider使用 Burp Spider 需要两个简单的步骤：首先使用 Burp Proxy 配置为浏览器的代理服务器，浏览目标应用程序，然后到站点地图的“target”选项上，选中目标应用程序驻留的主机和目录。选择上下文菜单的“spider this host/branch”选项，如图4-21所示。三、【知识准备】-使用Spider三、【知识准备】-OptionsOptions选项里包含了许多控制 Burp Spider 动作的配置选项，这些配置在 spider 启动后还可以修改，且修改对先前的结果也有效。还有些可以调整的选项，如user-agent ，或者爬虫应该爬多深，两个重要的设置是表单提交和应用登录，设置好之后爬虫可以自动填写表单，如图4-22所示。三、【知识准备】-Options三、【知识准备】-扫描结果分析WebInspect带来了最新的评估技术，能够适应任何企业环境的Web应用安全产品。当您开始进行漏洞评估时，WebInspect的“评估代理”（assessm