渗透测试技术 课件 第5章-5.1-Web应用渗透简介.pptx

Web应用渗透简介; 随着网络的发展，越来越多的企业将应用架设在web平台上，为客户提供更为方便、快捷的服务支持。根据Gartner的调查，信息安全攻击有75%都是发生Web应用而非网络层面上。因此保护web应用安全非常重要。Web渗透测试主要是对Web应用程序和相应的软硬件设备配置的安全性进行测试。 Web应用渗透是通过模拟黑客的思维和攻击手段，对Web应用服务的弱点、技术缺陷和漏洞进行探查评估。本章旨在让读者对Web应用渗透有基本了解，包括Web应用渗透的定义、常见Web应用漏洞。;目录/CONTENTS;Web安全漏洞一般由以下几种原因造成： 输入输出验证：由于用户的输入不合规或者具有攻击性的语句造成代码出错，或者不能执行预期的目标，从而导致web应用方面的漏洞。 系统设计缺陷：编码逻辑上的处理不当造成的缺陷引发的漏洞。 环境缺陷：应用程序在引用第三方的框架或者库之类的代码，这些第三方的程序随着时间的积累不去更新维护的话会产生一些漏洞。 ;一般的流程如下：;明确此次Web应用渗透测试的目标，主要有以下几个方面： 确定范围：测试目标的范围、IP、域名、内外网、测试账户。 确定规则：能渗透到什么程度，所需要的时间、能否修改上传、能否提权等。 确定需求：Web应用的漏洞、业务逻辑漏洞、人员权限管理漏洞等。;通过信息收集技术，获取应用系统的相关信息，主要有以下几个方面： 方式：主动扫描，开放搜索等。 开放搜索：利用搜索引擎获得：后台、未授权页面、敏感URL等。 基础信息：IP、网段、域名、端口。 应用信息：各端口的应用。例如Web应用、邮件应用等。 系统信息：操作系统版本。 版本信息：所有这些探测到的应用的版本。 服务信息：中间件的各类信息，插件信息。 人员信息：域名注册人员信息，Web应用中发帖人的ID，管理员姓名等。 防护信息：试着看能否探测到防护设备。;利用上一步中列出的各种系统，应用等使用相应的漏洞，主要有以下几种方式： 漏扫、AWVS、AppScan等。 结合漏洞去exploit-db等位置找利用。 在网上寻找验证POC。;将上一步中发现的有可能成功利用的全部漏洞都验证一遍。结合实际情况，??建模拟环境进行试验。成功后再应用于目标中，主要有以下几种方式： 自动化验证：结合自动化扫描工具提供的结果。 手工验证，根据公开资源进行验证。 试验验证：自己搭建模拟环境进行验证。 登录猜解：有时可以尝试猜解一下登录口的账号密码等信息。 业务漏洞验证：如发现业务漏洞，要进行验证。;为下一步实施渗透做准备，主要有以下几种方式： 精准打击：准备好上一步探测到的漏洞的EXP，用来精准打击。 绕过防御机制：是否有防火墙等设备，如何绕过。 定制攻击路径：最佳工具路径，根据薄弱入口、高内网权限位置、最终目标。 绕过检测机制：是否有检测机制、流量监控、杀毒软件、恶意代码检测等（免杀）。 攻击代码：经过试验得来的代码，包括不限于XSS代码、SQL注入语句等。;通过对获取的信息进行分析，帮助我们获取渗透测试所需关键信息，主要有以下几种方式： 实施攻击：根据前几步的结果，进行攻击。 获取内部信息：基础设施（网络连接、VPN、路由，拓扑等）。 进一步渗透：内网入侵，敏感目标。 持续性存在：一般我们对客户做渗透不需要。通过rookit、后门、添加管理账号、驻扎手法等。 清理痕迹：清理相关日志（访问，操作）、上传文件等。;对渗透测试信息进行整理，主要有以下几种方式： 整理渗透工具：整理渗透过程中用到的代码、POC、EXP等。 整理收集信息：整理渗透过程中收集到的一切信息。 整理漏洞信息：整理渗透过程中遇到的各种漏洞、各种脆弱位置信息。;对渗透测试结果进行梳理，形成报告，主要有以下几种方式： 按需整理：按照之前第一步跟客户确定好的范围、需求来整理资料，并将资料形成报告。 补充介绍：要对漏洞成因、验证过程和带来危害进行分析。 修补建议：当然要对所有产生的问题提出合理高效安全的解决办法。;目录/CONTENTS;HTTP是Hyper Text Transfer Protocol（超文本传输协议）的缩写。 HTTP设计用来将超文本标记语言 (HTML) 文档从 Web 服务器传送到 Web 浏览器 HTTP是一个请求和回应协议：客户机发送请求，服务器对请求给出回应 HTTP 使用可靠的TCP 连接，默认TCP端口是80。 承载于TLS或SSL协议层之上，默认端口为443。（https）;HTTP协议永远都是客户端发起请求，服务器回送响应。这样就限制了使用HTTP协议，无法实现在客户端没有发起请求的时候，服务器将消息推送给客户端。 HTTP协议是一个无状态的协议，同一个客户端的这次请求和上次请求是没有对应关系。;非持久连接： 浏览器首先初始化与运行htt