入侵Web應用程式

我們可以使用各種方法/方法作為執行攻擊的參考。

Web應用程式 - PenTesting方法

在開發攻擊模型時可以考慮以下標準。

在以下列表中，OWASP是最活躍的，並且有許多貢獻者。我們將重點關注OWASP技術，每個開發團隊在設計Web應用程式之前都會考慮這些技術。

• PTES - 滲透測試執行標準
• OSSTMM - 開源安全測試方法手冊
• OWASP測試技術 - 開放式Web應用程式安全協定

OWASP TOP 10漏洞

Open Web Application Security Protocol團隊發布了近年來在Web上更為普遍的十大漏洞。以下是基於Web的應用程式中更常見的安全漏洞列表。

• 注入攻擊
• 身份驗證和對談管理中斷.
• 跨站指令碼(XSS).
• 不安全的直接物件參照。
• 安全組態錯誤。
• 敏感資料暴露。
• 缺少功能級存取控制。
• 跨站請求偽造(CSRF).
• 使用具有已知漏洞的元件。
• 未經驗證的重定向和轉發。

動手實踐

為了理解每種技術，下面我們將使用一個範例應用程式。我們將對’WebGoat’進行攻擊，這是一個明確開發的J2EE應用程式，具有用於學習目的的安全漏洞。

有關webgoat專案的完整詳細資訊，請存取 https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project 。要下載WebGoat應用程式，請導航到 https://github.com/WebGoat/WebGoat/wiki/Installation -(WebGoat-6.0)並轉到下載部分。

要安裝下載的應用程式，首先要確保沒有在埠8080上執行任何應用程式。只需使用一個命令即可安裝它 - java -jar WebGoat-6.0.1-war-exec.jar。有關更多詳細資訊，請存取WebGoat安裝。

安裝後，應該可以通過導航到http://localhost:8080/WebGoat/attack來存取應用程式，頁面將顯示如下所示。

我們可以使用登入頁面中顯示的guest 或 admin 憑據。

Web代理

為了攔截用戶端(瀏覽器)和伺服器(在我們的案例中托管Webgoat應用程式的系統)之間的流量，我們需要使用Web代理。使用可從 https://portswigger.net/burp/download.html 下載的Burp Proxy

對於本教學中的範例，下載免費版本的burp套件就足夠了，如下所示。

組態Burp Suite

Burp Suite是一個Web代理，可以攔截瀏覽器和Web伺服器傳送和接收的每個資訊包。這有助於我們在用戶端將資訊傳送到Web伺服器之前修改內容。

第1步 - 應用程式安裝在埠8080上，Burp安裝在埠8181上，如下所示。啟動Burp套件並進行以下設定，以便在埠8181中啟動它，如下所示。

第2步 - 應該確保Burp正在監聽安裝了應用程式的埠為：8080，以便Burp套件可以攔截流量。此設定應在Burp Suite的範圍索引標籤上完成，如下所示。

第3步 - 然後進行瀏覽器代理設定以收聽埠8181(Burp Suite埠)。因此，我們已將Web代理組態為攔截用戶端(瀏覽器)和伺服器(Webserver)之間的流量，如下所示 -

第4步 - 組態如下圖所示，簡單的工作流程圖如下所示 -