黑客攻防技术宝典

1. Web应用程序案例与风险

Web应用程序的发展历程

早期Web服务器仅提供静态内容，可以被任意人公开访问；今天则完全变了，Web服务器可以提供非常丰富的服务；

Web应用程序安全

虽然很多站点声明自己是安全的，但实际上并非如此。超过一半以上的安全存在各式各样的漏洞；

不完善的身份验证措施：62%；
不完善的访问控制措施：71%；
SQL 注入：32%；
跨站点脚本：94%；
信息泄露：78%；
跨站点请求伪造：92%；

核心安全问题：用户可提交任意输入

用户在浏览器事实上拥有无限的权限，因此可以提交任意非开发者预期的内容，而开发者需要假设所有的输入都可能是恶意的，并进行防范；

关键问题因素

以下几点原因让问题变得更加严重了：

不成熟的安全意识
独立开发
欺骗性的简化；
快速发展的攻击技术；
资源与时间限制；
技术上强其所难；
对功能的需求不断增加；

新的安全边界

早期安全边界在于防火墙层级，但随着Web应用程序的功能变得更加模块后，需要访问操作系统中或者之间不同功能模块，例如数据库，使得安全边界问题缩小到了Web应用程序内部；

Web应用程序安全的未来

暂时还没有迹象显示安全问题能够在不远的未来得到解决，因为整个行业远未形成成熟的意识或者能力；

2. 核心防御机制

处理用户访问

多数Web应用使用以下三种安全机制处理用户访问，但由于这三个机制之间相互依赖，因此导致它们不能达到预期的安全保护目标；

身份验证
会话管理
访问控制：由于这方面的控制相当复杂，因此一般存在大量的安全漏洞；

处理用户输入

输入的多样性

有些字段有特殊格式的输入要求，但有些字段，例如文章、备注等，则需要允许各式各样的输入值；

当探查到用户的非法输入，正常应该拒绝用户提交的，并将事件记录到日志文件中，以便随后进行调查；

输入处理方法

拒绝已知的不良输入

通常是使用一个黑名单，包含一组攻击中会使用的模式，阻击任何与黑名单匹配的数据；但这种方法的效率不同，也存在各种绕过的方法；

接受已知的正常输入

使用一个白名单；这种方法比黑名单要好得多，但有时候有些字段存在迫不得已的情况，例如用户的姓名；

净化

即在开始处理数据之前，先对数据进行净化，删除或转义可能存在的恶意字符；这种方法一般非常有效；不过在一个输入项中容纳多个可能的恶意数据时，有时不能完全净化成功；

安全数据处理

通过确保处理的过程绝对安全，例如在数据库查询过程中使用参数化查询以避免 SQL 注入攻击；这也是一项有效的通用方法，不过不能够适用于Web应用程序需要执行的每个操作；

语法检查

攻击的输入是正常的，但输入的用途是非法的，例如伪装成他人的账号；

边界确认

由于Web 应用程序提供的功能很广泛，因此不同功能组件之间并不存在一个统一的安全边界，需要具体情况具体处理，每个功能组件执行自己的安全检查；

多步确认与规范化

Web应用程序有时会对用户输入进行多步的确认，或者做一些规范化的操作，此时攻击者可以专门设计一些针对这些操作的输入字符，以避开检查机制；

处理攻击者

常见措施：

处理错误
维护审计日志；
向管理员发出警报；
应对攻击；

处理错误

避免向用户返回任何由系统生成的错误信息，因为它们将非常容易被攻击者有效利用；一般使用 try…catch 机制来生成自定义的错误信息，并将异常情况记录到日志中，以便后续进一步检查处理；

维护审计日志

在任何注重安全的应用程序中，日志应记录所有重要事件，这些事件至少包括：

所有与身份验证功能相关的事件，如成功或失败的登录，密码修改等；
关键交易，例如信用卡支付与转账；
被访问控制机制阻止的访问企图；
任何包含已知攻击字符串，公然表明恶意意图的请求；

有效的审计日志一般会记得每个事件的发生时间、发出请求的IP地址、用户的账号等信息；这些信息需要进行严格的保护，避免未授权的读取或写入访问。一般来说，需要将它们存储在单独的系统中，仅允许主应用程序访问，或者存储在一次性写入的介质中；如果这些日志被攻击者利用，将可能使攻击者立即攻破整个应用程序；

向管理员发出警报

警报监控的反应事件一般包括：

应用反常：如收到由单独一个IP 地址或用户发出的大量请求（表明应用程序正受到自定义攻击）；
交易反常；
包含已知攻击字符串的请求；
请求中普通用户无法查看的数据被修改；

由于每个应用程序实际业务场景各不相同，因此最好的警报机制，是根据当前业务场景，判断哪些输入是普通用户不可能出现的，然后与警报机制整合，第一时间发出警报；

应对攻击

当发现攻击者时，应当设计能够采取自动反应的措施，以阻止攻击进行探查，例如对其提交的请求的响应速度变缓慢，或将其加入黑名单1-2天，或者终止攻击者的会话，要求其重新登录等；

当然，最重要的事件还是应该立即修复应用程序中存在的所有漏洞；

管理应用程序

很多应用程序使用相同的 Web 界面在内部执行管理功能，但是它无形中也变成一个主要的攻击目标，因为攻破这个界面后，能够有效提升权限；

3. Web应用程序技术

HTTP

HTTP 请求头部中的一些字段：

Referer：用来表示发出请求的原始 URL；
User-Agent：用来显示发出请求的客户端（如浏览器）的信息
Host：用来显示被访问的 URL 中的主机名称；
Cookie：用来显示服务器向客户端发送的参数；

HTTP 响应中的一些字段

Server：用来显示服务端所使用的服务器程序，例如：Apache、Nginx、 Microsoft-IIS等；
Pragma：用来告知浏览器不要缓存结果（适用于动态资源的场景）；
Expires：用来告知浏览器当前资源的过期时间；
Content-Type：用来告知浏览器主体的内容类型，以便浏览器可以正确解析；
Content-Length：用来告知浏览器主体的长度；

HTTP 方法

由于 GET 请求会将请求参数显示在 URL 中，并且可以存储在书签或是放在请求头部的 Referer 字段中，因此应避免使用查询字符串传送任何敏感的信息；

其他方法：

TRACE：当使用该方法访问某个资源时，服务端会在响应的主体中返回其收到的客户端的具体请求内容；因此，客户端可以用它来诊断自身发出的请求是否在中途被窜改了；
OPTIONS：用来向服务端询问某个资源允许的操作方法；服务端会在返回的响应的头部 Allow 字段中列出可执行的方法；

HTTP 还有其他一些允许的方法，如果服务端激活的方法越多，则面临被攻击的风险越大；

URL

常用的 URL 是绝对路径的格式，但其实也支持使用相对路径的格式；

REST

REST 风格的 URL 一般是指将查询参数放在路径中，而不是放在查询字符串中；

HTTP 消息头

常用消息头：

Connection：告知对方在完成 HTTP 传输后，如何处理当前的 TCP 连接状态，例如保持开放，或者直接关闭；
Content-Encoding：为消息主体中的内容指定编码格式，例如 gzip（很多应用会使用该格式来压缩响应主体中的内容，以提高传输的速度）；
Transfer-Encoding：为某段传输指定编码格式（一个 HTTP 连接可以分成多段传输，每一段的消息可以使用不同的编码格式，例如：chunked、compress、deflate、gzip、identity等）；

请求消息头

Accept：客户端用它来告知服务端自己可以接收哪些类型的内容，例如图片、文档等；
Accept-Encoding：用来告知服务端，客户端可接受的内容编码方式；
Authorization：提供服务端所要求的认证类型和认证信息，例如：basic类型+用户名+密码，需要配合 HTTPS 使用，不然等同于明文传输账号密码；
If-Modified-Since：用来告知服务端浏览器最后一次收到当前所请求资源的时间；如果在那个时间之后，资源并未出现变化，则服务端不需返回资源内容，只需要返回304编码，告知客户端之前的缓存仍可用；
If-None-Match：用来告知服务端，如果服务端没有任何资源与该字段的 Etag 值匹配，则应返回所请求的资源，否则则无须返回，浏览器将使用本地的缓存；
Origin：用来告知服务器当前请求来自于哪个站点，该字段一般用于跨域 Ajax 请求中；
Referer：用来告知服务器表明当前请求所来源页面的地址；

响应消息头

Access-Control-Allow-Origin：用来告知客户端是否允许跨域请求当前的资源；
ETag：为当前资源设置一个唯一标签，后续客户端可以使用该标签，向服务端询问所请求的资源是否已经过期；
Expires：用于告知客户端当前资源的过期时间；
Location：用来告知客户端资源重定向的目标地址，一般配合 3 开头的状态码使用；
Pragma：用来告知浏览器如何处理缓存，例如：no-cache；
Server：用来告知客户端，服务端当前使用的是什么样的服务器软件；
Set-Cookie：服务端用来向客户端发送 cookie 值；
WWW-Authenticate：服务端用其来告知客户端自己支持哪些身份验证方式，一般配合 401 状态码使用；
X-Frame-Options：服务端用其来告知客户端如何加载当前响应；

cookie 一般由一个键值对构成，但也可包含任何不含空格的字符串；可以在服务器响应中使用几个 Set-Cookie 消息头发布多个 cookie；客户端也可以在 Cookie 消息头中用分号分隔不同的 cookie；

服务端发出的 Set-Cookie 消息头中，还可以包含一些额外的属性，以指示客户端如何处理使用 cookie，包括：

expires：用来设定 Cookie 的有效时间；如果没有值，则浏览器不会永久保存当前 cookie，仅用于当前浏览器会话中；如果有值，则浏览器会将 cookie 值在本地存储下来，并在随后的浏览器会话中重复使用；
domain：用来指定 cookie 可以有效使用的域；指示客户端仅可以将 cookie 用于 domain 所指定的域；
path：用于指定 cookie 可以使用的路径；
secure：限制只在 https 请求中使用 cookie；
HttpOnly：用来限制客户端无法使用 JavaScript 直接访问 cookie；

状态码

每条 HTTP 响应消息都会在它的第一行中包含一个状态码，状态码主要分为五类：

1开头的：提供信息
2开头的：请求被成功处理；
3开头的：请求被重新定向到其他资源；
4开头的：请求中包含错误；
5开头的：服务器在处理请求时发生错误；

常见的状态码

100 Continue：已收到请求的消息头，但主体还没有完整收到，客户端应继续发送余下的主体，待全部收到后，将返回新的响应；
200 Ok：请求已成功处理，并在响应中返回了请求结果；
201 Created：请求已成功提交；
301 Moved Permanently：所请求的资源已经永久性的转移到一个新的地址，新地址放在 Location 字段中，客户端后续应使用这个新地址来访问相应的资源；
302 Found：所请求的资源临时转移到了一个新地址，新地址放在 Location 字段中；但转移只是临时的，后续请求该资源应仍然使用旧地址；
304 Not Modified：在客户端的请求中，会有一个 If-Modified-Since 字段，记录着客户端上一次收到该资源的时间，服务端根据这个时间，判断在那之后，资源是否发生过修改，如果没有修改，就可以发回 304 响应，告知客户端所请求的资源未更新，让客户端使用缓存中的资源副本；另外客户端也可以在请求首部中使用 If-None-Match 字段，并在该字段中放上资源的 Etag 值，如果服务端发现存在相同 Etag 值的资源，则返回 304 响应；如果不存在，则返回所请求的资源；
400 Bad Request：表示客户端提交了一个无效的请求；
401 Unauthorized：表示客户端的请求没有验证成功，同时服务端会在响应的 WWW-Authenticate 字段中放上如何验证的信息；
403 Forbidden：表示所请求的资源绝对禁止访问，有身份验证也不行；
404 Not Found：表示所请求的资源不存在；
405 Method Not Allow：表示所请求的方法不支持；
413 Request Entity Too Large：表示请求的主体过长，服务端无法处理；
414 Request URI Too Long：表示请求的地址过长，服务端无法处理；
500 Internal Server Error：表示服务端在处理请求时遇到错误；
503 Service Unavailable：表示服务端的服务器程序虽然运转正常，但处理请求的应用程序无法作出响应；

HTTPS

HTTPS 跟 HTTP 一样，也属于传输层的协议，但是它使用 TLS/SSL 对传输的数据进行了加密；

HTTP 代理

当使用 HTTPS 和使用代理向服务端发起请求时，客户端无法和代理服务器完成 TSL 握手，因此，代理服务器只能被当作 TCP 中继来使用；这意味着如果能够控制代理服务器的话，就能拦截并修改客户端和服务端之间的请求和响应数据；这将非常有用（原因在于可以控制浏览器发出的请求，并分析和修改服务器返回的响应；多数渗透测试工具都是以代理服务器的形式来运行）；

HTTP 身份验证

HTTP 身份验证有内置自己的身份验证功能，包括：

Basic
NTLM
Digest

由于 HTTP 内置的验证功能，会将服务端要求提供的验证身份信息（如密码）放到消息头部中，因此如果不使用 HTTPS 连接的，这种验证方式将会是很危险的，因为如果请求被拦截的话，就会导致验证信息暴露；如果使用了 HTTPS，则这种验证方式就没那么危险；

Web 功能

服务器端的功能

相对于互联网早期，服务器端提供的资源已经从以静态为主，变成了以动态资源为主，同时针对 Web 应用程序的开发也出现了各式各样的工具，了解这些工具，研究它们的漏洞，将十分有助于找出它们的案例隐患；

常用的服务端开发工具或平台包括：

Java
ASP.Net
PHP
Ruby On Rails
SQL
XML
Web 服务

客户端的功能

常用的浏览器开发工具或技术：

HTML
超链接
表单
CSS
Javascript
VBScript
文档对象模型
Ajax
JSON
同源策略：从相同站点收到的内容，可以访问并修改该站点的其他内容；但不能访问或修改不同站点的内容；这个策略由浏览器实现；
HTML5
Web2.0
浏览器插件

状态与会话

会话即可保存在服务器端，也可以保存在客户端；保存在服务器端的话，则需要给客户端发送一个令牌；保存在客户端则可以减轻服务器的负担；但是保存在浏览器端的数据有可能被用户修改，因此在将数据发给客户端保存之前，一般会使用一个只有服务端才知道的值，对数据做散列值计算，之后将数据和散列值都发给客户端；客户端需要在下一次请求中同时携带会话数据和散列值，如果会话数据被修改了，则服务端对会话数据进行计算的散列值和用户提供的散列值将无法匹配（如果会话是存储在服务器端的话，就没有这个必要了，直接将散列后的会话 ID 发给客户端即可；之所以要做散列，目的是让客户端无法猜测出来其他会话 ID，以避免客户端冒充他人）；

编码方案

客户端发送给服务器的数据一般需要使用某种编码方案，服务器端在数据后，按照指定的方案对数据进行解码；因此，如果客户端操纵编码方案，有可能会让看似无害的信息，编码成另外一种解释；

URL 编码

URL 的编码方案使用 ASCII 字符集中的可打印字符对数据进行编码；该编码方案以 % 开头；

%20 代表空格，另外 + 加号也代表空格；

有些字符是 URL 编码方案的保留关键字，因此如果在请求内容中使用这些字符，则需要对这些字符进行编码的转换，不然会被识别成关键字；包括：空格、%、？、&、；、+、# 等；

Unicode 编码

Unicode 编码以 %u 开头，之后是用十六进制表示的编码，例如 %u2215 表示斜杠 “/“；

Unicode 的编码长度统一是4位的十六进制，相当于 16 位的二进制，或许也可叫做 UTF-16；

UTF-8 则是一种长度可变的编码方案，它有可能只有一个字节，也有可能有多个字节；由于大部分字符是不常用的，如果将常用的字符用短编码来表示的话，则将会大大减少编码后的内容长度，提高传输效率；

HTML 编码

在 HTML 文档中，由于 HTML 语言也有一些保留的关键字，因此如果在内容中使用了这些关键字，就需要对其进行 HTML 编码，以便不会识别成关键字；

HTML 编码使用了三种编码方案，都是以 & 开头，包括：

实体：例如 &quot 表示双引号，&apos 表示单引号，&amp 表示 &；
十进制：以&# 开头并加上字符的 ASCII 编码，例如：&#34 表示双引号，&#39 表示单引号
十六进制：以&#x 开头，并加上字符的 ASCII 编码的十六进制数，例如：&#x22 表示双引号，&#x27表示单引号；

Base64 编码

Base64 编码使用 ASCII 中的可打印字符集合对内容进行编码，一般使用于邮件附件的编码，有时也用于 HTTP 内置的验证机制中对用户密码进行编码；

Base64 使用的可打印字符集很少，包括以下 26个英文大写/小写字母，数字0-9，还有加号”+”、斜杠”/“，其他就没有了，总共是64个字符；

计算机中的数据是以字节表示的，每个字节由8个二进制位构成，因此每三个字节就会有24个二进制位；24个二进制位可以分成4组，每组6个二进制位，每组用一个 Base64 字符来表示，这样每 3 个字节就可以转换成 4 个Base64 字符来表示；

因此，只需要将待转换数据的字节总数是 3 的倍数（不足时使用等号 = 进行凑齐），就可以将其他转换成 Base64 字符来表示；

即使对一段数据进行细微的修改，则转换后的 Base64 编码也会出现很大的差别，但是由于它使用等号来凑齐字符，因此很容易被识别出来是 base64 编码方案，导致失去防患效果；

十六进制编码

用 ASCII 字符表示十六进制数据块，例如：daf 表示为 646166

序列化框架工具

使用一些框架对待传输的数据进行序列化，这些框架包括：

Flex 和 AMF
Silverlight 和 WCF
Java 序列化对象

4. 解析应用程序

步骤：

枚举应用程序的功能
分析其核心安全机制和使用的技术，以暴露其主要的受攻击面；
发现可供利用的漏洞；

枚举内容与功能

Web自动抓取

通过爬虫工具将应用程序的所有页面抓取下来；常见的免费工具包括：

Burp Suite
WebScarab
Zed Attack Proxy
CAT

有些网站会在其根据目录放一个 robots.txt 文件，用来告知爬虫或者搜索引擎其不想被列入索引的 URL，不过这有时反而变成一个突破口，让攻击者能够快速发现一些可抓取的目标；

爬虫的自动抓取还是比较简单和机械的，它不过是不断探查每个页面中存在的超链接，然后不断向新链接发起请求，如果链接中有表单，它就伪造一些数据进行表单的提交；直到抓取完所有页面链接为止；

自动抓取工具的一些不足

无法处理动态生成的链接；
无法抓取存放在对象中的链接；
无法应对输入检查；
每个链接只请求一次，但实际上相同链接，使用不同请求参数可能返回不同的内容；
无法应对 URL 中的随机数，会造成死循环；
无法应对身份验证机制；

用户指导的抓取

在客户端和服务端之前设立一道拦截器，然后由用户人工浏览网站，做一些动作，之后拦截器根据拦截到的数据生成站点地图；这种方式可以克服前面自动抓取的多项不足；

渗透测试步骤

配置浏览器，使用 Burp 或 WebScarab 作为本地代理服务器；
以常规方式浏览整个应用程序，访问发现的每一个链接，提交每一个表单并执行全部多阶段功能；分别在 javascript 启用与禁用、cookie 启用和禁用的情况下进行浏览；
检查由拦截工具生成的站点地图，找出手动浏览时没有发现的所有隐藏内容和功能，通过浏览器访问这些内容，以便拦截工具获得服务器的响应，从而确定其他所有内容；递归执行上述步骤，直到无法再找出新内容为止；
先将可能会导致会话中断的 URL 排除掉，然后基于余下的内容，让爬虫主动抓取站点内容；

发现隐藏的内容

常用的隐藏内容有：

不同权限的用户登录后看到不同的内容；
上线后未删除的开发测试功能或者调试功能；
备份文件
文件快照的备份档案；
已部署但未上线可用的新功能；
已部署但对部分用户不可见的功能；
尚未从服务器上删除的旧版文件；
配置和包含敏感数据的文件；
当前应用程序功能的源文件；
包含有效用户名、会话令牌、被访问的 URL 以及所执行的操作的日志文件；
源代码中可能包含的用户名和密码等信息；

蛮力技巧

通过发送大量的请求，包含常见的目录名称，收集服务器的响应，来猜测隐藏功能的名称和标识符；

渗透测试步骤

手动提出一些访问有效与无效资源的请求，看服务器如何处理无效资源；
使用指导抓取生成的站点地图作为自动查找隐藏内容的基础；
针对基础应用程序内已知存在的每个目录或路径中常用的文件名和目录，自动发起请求；如果已经了解应用程序处理访问无效资源的处理方式，则可以配置 Intruder 等工具将其忽略；
收集从服务器返回的响应，手动检查这些响应以筛选出有效的资源；
反复执行这个过程，直到发现新内容；

通过公布的内容进行推测

一般来说，应用程序会使用某种命名方案，因此可以配置抓取工具按照命名方案进行搜索，这样可以提高命中的效率；

渗透测试步骤

检查用户指定的浏览与基本蛮力测试获得的结果，包括所有子目录名称、文件词干、文件扩展名列表等；
检查这些列表，确定应用程序所使用的命名方案；
有时候，命名方案中会使用数字和日期作为标识符，因此根据历史文件的命名，可以猜测出公司的新文件的命名；
检查所有客户端代码，如HTML 和 Javascript，寻找与隐藏内容有关的蛛丝马迹，例如代码中的注释部分，经常放着一些重要的线索，有时候甚至有高度敏感的信息；
把已经枚举出来的内容和文件名扩展名添加的常用列表中，它们有可能会揭示应用程序所使用的开发语言和工具；
搜索开发者工具和文件编辑器不经意建立的临时文件，例如 .DS_Store 文件；
结合目录、文件词干、文件扩展名列表，再进一步执行自动搜索操作，发掘更多隐藏的信息；
如果找到了一种统一的命名方案，则可以在这个基础上，实施更有针对性的蛮力测试；
基于新找到内容和新发现的模式，作为用户指导抓取操作的基础，反复执行之前的步骤，继续执行自动内容查找；

上述的大部分动作可以在 Burp Intruder Pro 的内容查找功能中实现；

利用公共信息

如果应用程序中的内容在历史上曾经跟其他内容有所连接的话，则可以通过搜索引擎、Web档案等第三方工具将这些连接找出来；

渗透测试步骤

使用多种不同的搜索引擎和Web档案工具，查找它们保存的关于所要攻击的应用程序的相关信息；
查询搜索引擎时，可以使用搜索引擎提供的一些便利功能来提高搜索效率，例如：site, link, related 等关键字；
每次搜索时，不仅查看搜索引擎提供的默认部分中的内容，还可以看一下群组、新闻等部分的内容；
如果有部分内容被搜索引擎省略，可以将它们纳入搜索范围后，重新搜索；
查看感兴趣页面的缓存版本，里面可能包含一些未经过验证就无法查看的信息；
在属于相同组织的其他域名上执行相同的查询；

一般来说，应用程序的开发人员，在开发过程中不可避免会遇到问题，并到一些论坛上面提问题和寻找答案，因此这些地方有可能会查到一些关于代码的信息；

渗透测试步骤

列出与待攻击应用程序相关的开发人员的姓名和邮件列表；
根据姓名查找他们在因特网上发表的所有问题和安全，分析发现的信息，了解与应用程序相关的线索；

利用 Web 服务器程序

Web 服务器程序本身也是存在大量漏洞的，利用这些漏洞可以获得应用程序所有页面和其他资源；更有意思的是， Web 服务器程序一般会结合很多第三方工具来提供一些便捷的功能，这些模块都会有一些安装规律，因为可以加以利用，暴露出一些其他办法查找不到资源路径；

Nikto 或者 Wikto 即是可以执行上述扫描功能的免费工具；

应用程序页面与功能路径

基于 URL 的内容查找源于历史上的静态页面，现在很多服务端应用程序已经演变为以提供动态页面为主，经常在会参数中携带功能的名称，而不是在 URL 中显示，因此前面描述的那些方法不一定能够很好的发现所有的隐藏内容；

针对这种情况，渗透测试的步骤如下：

确定所有通过在参数中提交功能名称的情况
修改之前提到的 URL 内容查找自动化的配置，以便让它能够应对这种新的情况；
如果可能的话，根据功能路径画一张应用程序的内容图，找出被枚举的功能和逻辑路径之间的依赖关系；

发现隐藏的参数

有时候开发人员会通过一些隐藏的参数来改变应用程序的行为，例如使用 debug 参数来开启或关闭调试功能；

渗透测试步骤：

使用常见参数和常用值，提交大量请求；
监控收到的全部响应，看增加的额外参数有没有让应用程序作出不一样的响应行为；
如果时间允许，可以对所有页面都执行以上动作；如果时间不允许，可以只测试一些重点的页面，例如登录、搜索、文件的上传和下载等；

分析应用程序

在枚举完尽可能多的功能后，接下来是基于收集到的数据，进一步分析应用程序，以找到它的攻击面；值得分析的一些重要部分如下：

应用程序的核心功能；
应用程序的外围功能，例如错误消息、日志、重定向使用、站外链接等；
核心安全机制及其动作方式，特别是会话状态、访问控制、验证机制及其支持（例如用户注册、忘记密码、账户恢复等）；
应用程序处理用户提交的输入的所有位置，例如 URL、查询字符串、POST 数据等；
客户端使用的技术，例如表单、客户端脚本、厚客户端组件等；
服务端使用的技术，例如静态与动态页面、请求参数类型、SSL、Web服务器软件、数据库交互、电子邮件系统等后端组件；
其他任何可收集到的，关于服务器应用程序内部结构与功能的其他信息，例如后台传输机制等；

确定用户输入的入口点

输入的常见位置如下：

每个 URL 字符串，例如：REST 风格的应用程序；
URL 查询字符串中提交的每个参数；
POST 请求主体中提交的每个参数；
每个 cookie 的键值对；
极少数情况下还包括消息头中的一些字段，例如 User-Agent、Referer、Accept、Accept-Language、Host等；

URL 文件路径

此时的输入体现在 REST 风格的路径中，至于命名是否有统一的标准，主要取决于开发者；

请求参数

一般来说，在查询字符串的请求参数、POST 参数和 cookie 键值对中，都含有明显的输入，但是它们的格式不一定是标准的 key=value 格式，有些开发者会使用一些定制的模式，需要加以留意一下；

HTTP 消息头

很多应用程序会使用日志的功能，会去读取 Referer 和 User-Agent 字段里面的值，因此这些消息头也有可能成为入口点；

有些应用程序还会处理消息头里面的值，记录和提取关于用户的一些信息，然后做出不同的响应；例如根据用户访问使用的不同设备、根据 IP 进行定位等；

应用程序的这些功能都增加了 SQL 注入或持续的跨站点脚本等攻击；

带外通道

在探测的过程中，服务端的结果有时并一定会通过响应进行返回，此时就需要有额外的通道能够查询到这些响应；

确定服务器端技术

提取版本信息

例如响应中的 Server 消息头；其他可能揭露服务相关软件信息的有

建立 HTML 页面的模板；
定制的 HTTP 消息头；
URL 查询字符串参数；

HTTP 指纹识别

虽然服务端可能会在 Server 消息头中对自己的身份进行伪造，但是应用程序中仍然会有很多蛛丝马迹可以用来推测服务端会使用的软件，也有相应的工具，例如 httprecon 等；

文件扩展名

常用的文件扩展名

asp: Microsoft Active Server Pages;
aspx: ASP.NET
jsp: Java
php: PHP

即使页面没有体现出扩展名，也可以通过请求一个不存在的文件，从返回的错误页面也可能可以得到相关信息；

目录名称

一些子目录名称也可用来确认是否使用相关技术；

servlet：Java servlet；
pls: Oracle PL/SQL 网关
rails: Ruby on Rails

会话令牌

会话令牌的名称也会揭示信息

JESSIONID: Java
ASPSESSIONID: Microsoft IIS 服务器
ASP.NET_SessionId： ASP.NET
PHPSESSID: PHP

第三方代码组件

很多应用程序会整合一些第三方代码组件来执行一些常见的功能，例如购物车、登录机制等；这些组件可能为开源代码，或者从其他公司购买来的，不管是哪一种，都意味着这些组件会被很多人使用；

因此，软件中很可能包含其他地方已经揭示的某些已知漏洞，攻击者还可以下载这些组件的开源代码进行分析，在找到可能的漏洞；

渗透测试步骤

确定全部用户输入入口点；
分析应用程序所使用的查询字符串格式，设法了解键值对的名称规律；
确定应用程序可能使用的一些第三方数据的带外通道；
查看响应中的 Server 属性；
检查所有 HTTP 消息头或 HTML 注释中包含的其他软件标识；
运行 Httprecon 工具来识别服务器；
如果获得了 Web 服务器软件名称和版本，则可以搜索可供利用的所有漏洞；
分析应用程序的 URL 列表，从扩展名和子目录名中查找线索；
分析会话令牌的名称；
使用常用技术列表或 Google 推测服务器所使用的技术；
在 Google 上搜索第三方组件可能使用的不常用的 cookie、脚本、HTTP 消息头名称；确定所使用的是哪种第三方组件，下载安装组件，分析其中可能存在的漏洞；

确定服务器端功能

仔细分析请求

请求中的各种参数暗含着很多信息量，包括资源的类型、可执行的操作、资源的编号、是否使用数据库、服务器的语言框架等；

推测应用程序的行为

应用程序可能会执行某种输入确认检查，以净化可能存在的恶意输入；如果它有将错误揭示反馈到浏览器，则可以用来判断应该提交哪些输入，才有可能通过检查，之后设计特定字符串来规避检查；

隔离独特的应用程序行为

有时，许多可靠的应用程序会使用一致的框架来防范各种类型的攻击，此时薄弱点经常出现在开发人员后续添加的而常规安全框架没有处理的那些功能；一般来说，通过 GUI 外观、参数命名约定，或者源代码中的注释，即可找出这些拼接的功能；

渗透测试步骤

记录其使用的标准 GUI 外观、参数命名或导航机制与应用程序的其他部分不同的任何功能；
记录可能在后续添加的功能，包括调试功能、CAPTCHA 控件、使用情况跟踪和第三方代码等；
对这些区域进行全面检查，这些区域很可能没有其他区域实施的标准防御机制；

解析受攻击面

常用的易受攻击的漏洞：

客户端确认：服务器没有采用确认检查；
数据库交互：SQL 注入；
文件上传与下载：路径遍历漏洞、保存型跨站点脚本；
显示用户提交的数据：跨站点脚本；
动态重定向：重定向与消息头注入攻击；
社交网络功能：用户名枚举、保存型跨站点脚本；
登录：用户名枚举、脆弱密码、可使用蛮力；
多阶段登录：登录缺陷；
会话状态：可推测出的令牌、令牌处理不安全；
访问控制：水平权限和垂直权限提升；
用户伪装功能：权限提升；
使用明文通信：会话劫持、收集证书和其他敏感数据；
站外链接：Referer 消息头中查询字符串参数泄露；
外部系统接口：处理会话与访问控制的快捷方式；
错误消息：令牌泄露；
电子邮件交互：电子邮件与命令注入；
本地代码组件或交互：缓冲区溢出；
使用第三方应用程序组件：已知漏洞；
已确认的Web 服务器软件：常见配置薄弱环节、已知软件程序缺陷；

解析 EIS 应用程序

了解应用程序的核心功能和使用的主要安全机制；
确定通常与常见漏洞有关的应用程序功能和行为特点；
在公共漏洞数据库（如 www.osvdb.org）中检查任何第三方代码，以确定任何已知问题；
制订攻击计划，优先考虑最可能包含漏洞的功能，以及最严重的漏洞；

小结

虽然直接发动攻击显得很有吸引力，但在行动之前，先做一番分析的工作，将使得攻击的效率大大提高；一般来说，在采用手动技巧的同时，适当的采用自动化工具，是最有效的攻击手段；

5. 避开客户端控件

通过客户端传送数据

一般来说如果将会话数据放在服务器端，安全性更高一些，但是当在很多台服务器同时部署应用程序时，解决它们之间的数据同步将是一个挑战，因此有时候开发人员会将会话数据前移到客户端，这样确实让事情变得简单了，但是却增加了风险；

隐藏表单字段

应用程序将部分信息保存在隐藏的表单字段中，之后和用户填写的其他表单字段一起提交；

应用程序将信息保存在 cookie 的键值对中，之后在客户端发起请求时，一起发到服务端；

URL 参数

将参数保存在 URL 中是最容易被用户修改的情况了；

Referer 消息头

有些开发者使用这个字段来判断某个请求是由哪个 URL 触发的；

模糊数据

有时候服务端发到客户端的数据并不是明文的，而是经过了一定的模糊化处理，然后等客户端提交回服务端时，再解密去模糊；

ASP.NET ViewState

它是一种通过客户端传送模糊数据的常用机制，使用一些隐藏的字段保存一些序列化后的数据；

但是 ASP.NET 默认会开启对 ViewState 字段的保护，通过加盐进行散列化，用来防止客户端的窜改，但有些应用程序会将保护关掉，这个时候就会产生漏洞了；一个页面开启保护，不代表所有页面都开启，因此需要逐一排查；

收集用户数据：HTML 表单

长度限制

这个可以轻意绕过，只能用来限制非专业的用户；可以故意给相关的字段设置一个超过长度的值，然后看服务端是否有所反应，如果能够通过验证，则说明服务器端没有再做一次验证，存在漏洞；

基于脚本的确认

跟前面的长度限制一样，略；

禁用的元素

浏览器在提交请求时，并不会包含禁用的元素，因此仅仅观察发出的请求是无法找到这些元素的；但在查看页面源代码或者服务器的响应时，就会发现它们；

收集用户数据：浏览器扩展

相对于 HTML 表单和 Javascript 脚本，使用浏览器扩展相对更不透明一些，这让开发人员有一种错觉，即扩展更加安全，但其实并非如此，通过检查扩展的漏洞经常可以收获很大；

常见的浏览器扩展技术

Java applet
Flash
Silverlight

它们有一些共同点，例如都编译成字节码、在提供沙盒环境的虚拟机中运行、可以使用远程框架，通过序列化来传输复杂的数据结构；

攻击浏览器扩展的方法

拦截并修改浏览器扩展提出的请求及服务器的响应；
直接针对组件实施攻击，并尝试反编译它的字节码，以查看它的源代码；

拦截浏览器扩展的流量

如果扩展是明文传输数据，则简单好办，但有时候并非如此，以下是一些常见的问题：

处理序列化数据

一般来说，每种浏览器扩展都会有一套序列化的方案，研究这些方案的特点，有针对性的进行解析处理；

Java 序列化

它会在在 Content-Type 里面体现为 application/x-java-serialized-object, Burp Suite 中有一个插件 Dser 可用来查看拦截的序列化 Java 对象；

Flash 序列化

Content-Type: application/x-amf

Silverlight 序列化

Content-Type: application/soap+msbin1

拦截浏览器扩展流量时遇到的障碍

问题1：扩展没有执行在浏览器中设置的代理

原因在于客户端组件没有使用浏览器的 API 来发出 HTTP 请求，此时可以通过修改 hosts 文件来达到拦截目的，同时将代理服务器配置为劫持匿名代理，并自动重定向的正确的目标主机；

问题2：扩展可能不接受拦截代理器提供的 SSL 证书

原因在于组件配置为不接受自签名的证书，或者组件本身的编码要求拒绝不可信的证书，此时可以通过在机器上面安装一个 CA 证书，并将代理服务器配置为使用该证书；

问题3：扩展使用除 HTTP 以外的协议进行通信

原因在于拦截代理服务器可能无法处理这些协议；使用网络嗅探器例如 Echo Mirage 来修改相关流量，它通过注入进程并拦截套按字 API 调用来实现查看和修改数据的目的；

渗透测试步骤

确保代理服务器能够正确拦截浏览器扩展发出的所有流量；如有必要，使用嗅探器确定任何未正确拦截的流量；
如果扩展使用标准的序列化框架，确保拥有解压并修改序列化数据所需的工具；如果扩展使用专用编码或加密机制，则需要调试组件，对其进行全面测试；
检查服务器返回的能够触发客户端关键步骤的响应；一般来说，通过修改这个响应，能够解锁客户端的GUI，从而发现并执行那些复杂或多步骤的操作；
如果一些关键步骤（如赌博应用中的发牌动作）不是由客户端执行，而是由服务端执行，则尝试寻找执行该步骤和服务端通信之间的联系

反编译浏览器扩展

在应对浏览器扩展时，对其进行反编译是最彻底的方法；一般来说，根据各自语言的特性，组件是以字节码的形式存在的，有时还会有反编码的防御机制，尽管如此，仍然是很有可能破解的；

下载字节码

一般来说，字节码通过页面源文件中的或