第五周作业

壹教材学习

第十一章 Web应用程序安全攻防

11.1 Web应用程序体系结构及其安全性威胁

Web应用程序是一种使用浏览器在互联网或企业内部网上进行访问操作的应用软件形态，通常以浏览器支持的语言所编写，或能够在浏览器控制的环境中运行，依赖于浏览器来对应用程序进行渲染与执行。天生多平台兼容性。
Web应用体系结构：以浏览器作为“瘦”客户端主要完成数据显示与展示内容的渲染功能：
“胖”服务器负责完成主要业务的计算处理。两者之间通过因特网或内联网上的HTTP/HTTPS应用层协议的请求与应答进行通信。“胖”服务器端则由Web服务器软件、Web应用程序及后端数据库构成，并通过经典的三层构架，即表示层、业务逻辑层、数据层来进行组织与构建。
浏览器
标准的Web客户端就是我们熟知的浏览器，如IE、Firefox、Chrome等。他们都使用HTTP/HTTPS协议、HTML语言和Web服务器进行交互，获取Web服务器上的信息和应用服务。
Web服务器
Web服务器软件通常被简单的称为HTTP守护程序，接受Web客户端对资源的请求，在这些请求上执行一些基本的接习处理以确定资源的存在，然后将它传送给Web应用程序来执行，待Web应用程序执行完逻辑并返回相应时，Web服务器再将这个相应返回给Web客户端，在浏览器上进行本地执行、渲染和展示。
Web应用程序
现代Web应用的核心时处于服务器端的业务逻辑，即Web应用程序。每层的具体功能参考网络攻防技术与实践的429页。
数据库
数据库有时候被称为后台，Web应用存储应用数据的地方，数据层也作为Web应用程序多级结构中的最后一层。
传输协议HTTP/HTTPS
浏览器和Web服务器、Web应用程序和数据库所构成的Web站点之间的通信传输协议是HTTP/HTTPS协议。

Web应用程序安全性威胁

针对浏览器和终端用户的Web浏览器安全威胁。
针对传输网络的网络协议安全。
系统层安全威胁。
Web应用程序安全威胁。
Web数据安全威胁。
11.2.2攻击Web服务器软件
数据驱动的远程代码执行安全漏洞；服务器功能扩展模块；样本文件安全漏洞；源代码泄露；资源解析攻击；
攻击Web数据内容：安全敏感数据泄露；网站篡改；不良信息内容上传。
11.3 SQL注入
SQL注入攻击工具：Wposion能够在动态web文档中找出SQL注入漏洞；wieliekoek.pl；SPIKE Proxy；SPI Toolkit；等等；
SQL注入攻击的防范措施
1.使用安全类型的参数编码机制；
2.凡是来自外部的输入，必须进行完备检查；
3.将动态SQL语句替换为存储过程、预编译SQL或ADO命令对象；
4.加强SQL数据库服务器的配置与连接。
11.4 XSS跨站脚本攻击
XSS攻击类型：持久性XSS漏洞；非持久性XSS漏洞。

第十二章 Web浏览器安全攻防

12.1 Web应用程序体系结构及其安全性威胁

web浏览器软件的安全困境三要素
其安全威胁位置有：网络协议、浏览器端系统平台、插件、社会工程学。
在复杂性方面，现代WEB浏览器软件由于需要支持HTTP、HTTPS、FTP等多种类型的应用层协议浏览，符合HTML、XHTML、CSS等一系列的页面标准规范，支持JavaScript、Java、Flash、等多客户端执行环境。
在可扩展性方面，现代web浏览器可能是最突出可扩展性支持的软件类型，目前几乎所有的现代浏览器软件都支持第三方插件扩展机制。
连通性。
网页木马机理分析
网页木马的本质核心：浏览器渗透攻击。

贰 kali视频的学习

第十六节：kali下漏洞分析之数据库评估工具

本节介绍kali linux下漏洞分析工具中数据库评估的使用

1.BBQSq1
BBQSq1是一个Python编写的盲注工具，半自动工具，允许客户自定义参数。

2.DBPwAudit
数据库用户名密码枚举工具

3.HexorBase
图形化的密码破解与连接工具，开源

4.Jsql Injection
JSQL是一款轻量级安全测试工具，可以检测SQL注入漏洞。它跨平台（Windows、Linux、mac os x,solaris）、开源且免费。

5.MDBTools
包括MDB-Export,以及 MDB-Dump,mdb-parsecsv,mdb-tables等子工具，具体环境具体使用。

6.Oracle Scanner
Oracle Scanner 是一个用Java开发的oracle评价工具。它是基于插件的结构。

7. SIDGusser
同样是针对oracle的SID进行暴力枚举的工具。SID为oracle实例名，oracle连接字符号，通过实例名+用户+密码连接。

8.sq1DICT
用户名密码枚举工具，通过wine运行。

第十七节：kali下漏洞分析之数据库评估工具的使用：

1.tnscmd10g

2.Sqlsus
开放源代码的MySQL注入和接管工具，sqlsus使用perl编写，基于命令行界面。可以获取数据库结构，注入自己的SQL语句，从服务器下载文件，爬行web站点可写目录，上传和控制后门，克隆数据库等等。

3.Sqlninja
在sql注入方面一直尊sqlmap为神器，但Sqlninja也有自己的特点。
Sqlninja是一款perl编写的一个专门针对Microsoft SQL Server的sql注入工具。“sa”口令强力攻击。

4.Sqlmap
它是一个开源的渗透测试工具，是用Python编写，主要用于自动化地侦测和实施SQL注入攻击及渗透数据库服务器。SQLMAP适用于高级渗透测试用户，可以获得不同数据库的指纹信息，还可从数据库中提取数据，此外，还能处理潜在的文件系统及通过带外数据连接执行系统命令等。
./sqlmap.py -u "注入地址" -v 1 --dbs /*列举数据库*/ ./sqlmap.py -u "注入地址" -v 1 --current-db /*当前数据库*/

第十八节Kali漏洞分析之Web应用代理

通过应用代理工具分析数据包，或修改数据包重放、暴力攻击等在WEB安全测试中经常用到。
1、Burp Suite，用于攻击web应用程序的集成平台，它带有一个代理，通过默认端口8080运行，使用这个代理，可以截获并修改从客户端到web应用程序的数据包。

访问网易邮箱

2、OwaspZAP攻击代理，查找网页应用程序漏洞的综合类渗透测试工具，包含拦截代理、自动代理、被动代理、暴力破解、端口扫描及蜘蛛搜索等功能。是会话类调试工具。

3、paros proxy对web应用程序的漏洞进行评估的代理程序，支持动态地编辑、查看HTTP/HTTPS，从而改变cookies和表单字段等项目。
检查漏洞的形式：SQL注入、跨站点脚本攻击、目录遍历等。

4、proxystrike
5、vega，web应用程序安全测试平台，能帮助验证注入SQL、跨站脚本、敏感信息泄露和其它一些安全漏洞。
6、webscarab，包括HTTP代理、网络爬行、网络蜘蛛、会话ID分析等功能。它基于GNU协议。
Kali漏洞分析之BurpSuite

Burp Suite，用于攻击web应用程序的集成平台，它带有一个代理，通过默认端口8080运行，使用这个代理，可以截获并修改从客户端到web应用程序的数据包。它包含了一系列burp工具，这些工具之间有大量接口可以互相通信。平台中所有工具共享一robust框架，以便统一处理HTTP请求。它允许工具者结合手工和自动技术去枚举、分析、攻击web应用程序。
1)配置监听端口，配置浏览器。
Edit>preferences>Advanced>Netwok>Connection>settings>Mnnualproxyconfiguration>HTTP proxy
8.png

2)爬虫与扫描
3)测试暴力破解表单账户密码，可以针对不同的表单进行枚举破解，若网站存在代码缺陷，亦可绕过某些验证码进行枚举。

12.png

4)Repeater改包重放模块
很方便直观地改包提交，查看回显。
5)decoder模块，编解码模块.

6)Compare模块，比较两个请求包或返回包的不同之处

7)插件模块

第十九节：kali下漏洞分析工具中模糊测试工具的使用：

本节介绍kali linux下漏洞分析工具中WEB应用代理工具BurpSuite的使用。
BurpSuite是一个WEB应用程序集成攻击平台，它包含了一系列burp工具，这些工具之间有大量的接口可以相互使用，这样设计的目的是为了促进和提高整个攻击的效率。
打开页面如下：

第二十节：kali下漏洞分析工具中模糊测试工具的使用：

如图是kali下漏洞分析工具中模糊测试工具

1.bed.pl
bed是一个纯文本协议的Fuzz工具，能够检查常见的漏洞，如缓冲溢出，格式串漏洞，整数溢出等。如下图：

2.Fuzz_ipv6
THC出品的针对IPV6协议的模糊测试工具；

3.0hrwurm

4.powerfuzzer
有图形化界面的fuzz工具。BurpSuite等WEB代理也具有响应Fuzz能力。

5.Wfuzz
针对WEB应用的模糊测试工具，可以进行WEB应用暴力猜解，也支持对网站目录、登录信息、应用资源文件等的暴力猜解，还可以进行get及post参数的猜解，sql注入、xss漏洞的测试等，该工具的主要功能都依赖于字典。参数中FUZZ相当于一个变量，用字典中的字段来替换它完成猜解。比BurpSuite更加轻量级。

6.SFuzz:Simple-Fuzzer

7.XSSer

可以使用命令 xsser --gtk 打开一个图形化的页面

xsser的参数比较多如下介绍;