黑客攻防技术宝典：Web 实战篇（全面分析Web应用程序安全漏洞）

2.2.4　多步确认与规范化 16
2.3　处理攻击者 17
2.3.1　处理错误 17
2.3.2　维护审计日志 18
2.3.3　向管理员发出警报 19
2.3.4　应对攻击 19
2.4　管理应用程序 20
2.5　小结 21
2.6　问题 21
第3章　Web应用程序技术 22
3.1　HTTP 22
3.1.1　HTTP请求 22
3.1.2　HTTP响应 23
3.1.3　HTTP方法 24
3.1.4　URL 25
3.1.5　HTTP消息头 26
3.1.6　cookie 27
3.1.7　状态码 28
3.1.8　HTTPS 29
3.1.9　HTTP代理 29
3.1.10　HTTP验证 29
3.2　Web功能 30
3.2.1　服务器端功能 30
3.2.2　客户端功能 32
3.2.3　状态与会话 35
3.3　编码方案 36
3.3.1　URL编码 36
3.3.2　Unicode编码 36
3.3.3　HTML编码 37
3.3.4　Base64编码 37
3.3.5　十六进制编码 38
3.4　下一步 38
3.5　问题 38
第4章　解析应用程序 39
4.1　枚举内容与功能 39
4.1.1　Web抓取 39
4.1.2　用户指定的抓取 41
4.1.3　发现隐藏的内容 43
4.1.4　应用程序页面与功能路径 50
4.1.5　发现隐藏的参数 51
4.2　分析应用程序 52
4.2.1　确定用户输入进入点 52
4.2.2　确定服务器端技术 53
4.2.3　确定服务器端功能 58
4.2.4　解析受攻击面 60
4.3　小结 60
4.4　问题 61
第5章　避开客户端控件 62
5.1　通过客户端传送数据 62
5.1.1　隐藏表单字段 62
5.1.2　HTTP cookie 64
5.1.3　URL参数 65
5.1.4　Referer消息头 65
5.1.5　模糊数据 66
5.1.6　ASP.NET ViewState 67
5.2　收集用户数据：HTML表单 70
5.2.1　长度限制 70
5.2.2　基于脚本的确认 71
5.2.3　禁用的元素 73
5.3　收集用户数据：厚客户端组件 74
5.3.1　Java applet 74
5.3.2　ActiveX控件 80
5.3.3　Shockwave Flash对象 84
5.4　安全处理客户端数据 87
5.4.1　通过客户传送数据 87
5.4.2　确认客户生成的数据 88
5.4.3　日志与警报 89
5.5　小结 89
5.6　问题 89
第6章　攻击验证机制 91
6.1　验证技术 91
6.2　验证机制设计缺陷 92
6.2.1　密码保密性不强 92
6.2.2　蛮力攻击登录 93
6.2.3　详细的失败消息 95
6.2.4　证书传输易受攻击 97
6.2.5　密码修改功能 98
6.2.6　忘记密码功能 99
6.2.7　“记住我”功能 101
6.2.8　用户伪装功能 102
6.2.9　证书确认不完善 104
6.2.10　非唯一性用户名 104
6.2.11　可预测的用户名 105
6.2.12　可预测的初始密码 105
6.2.13　证书分配不安全 106
6.3　验证机制执行缺陷 107
6.3.1　故障开放登录机制 107
6.3.2　多阶段登录机制中的缺陷 108
6.3.3　不安全的证书存储 110
6.4　保障验证机制的安全 111
6.4.1　使用可靠的证书 111
6.4.2　安全处理证书 111
6.4.3　正确确认证书 112
6.4.4　防止信息泄露 113
6.4.5　防止蛮力攻击 114
6.4.6　防止滥用密码修改功能 116
6.4.7　防止滥用账户恢复功能 116
6.4.8　日志、监控与通知 117
6.5　小结 117
6.6　问题 118
第7章　攻击会话管理 119
7.1　状态要求 119
7.2　会话令牌生成过程中的薄弱环节 122
7.2.1　令牌有一定含义 122
7.2.2　令牌可预测 124
7.3　会话令牌处理中的薄弱环节 130
7.3.1　在网络上泄露令牌 130
7.3.2　在日志中泄露令牌 133
7.3.3　令牌—会话映射易受攻击 135
7.3.4　会话终止易受攻击 136
7.3.5　客户暴露在令牌劫持风险之中 137
7.3.6　宽泛的cookie范围 138
7.4　保障会话管理的安全 140
7.4.1　生成强大的令牌 140
7.4.2　在整个生命周期保障
令牌的安全 142
7.4.3　日志、监控与警报 144
7.5　小结 145
7.6　问题 145
第8章　攻击访问控制 147
8.1　常见漏洞 147
8.1.1　完全不受保护的功能 148
8.1.2　基于标识符的功能 149
8.1.3　多阶段功能 150
8.1.4　静态文件 150
8.1.5　访问控制方法不安全 151
8.2　攻击访问控制 151
8.3　保障访问控制的安全 154
8.4　小结 158
8.5　问题 158
第9章　代码注入 159
9.1　注入解释型语言 159
9.2　注入SQL 160
9.2.1　利用一个基本的漏洞 161
9.2.2　避开登录 163
9.2.3　查明SQL注入漏洞 164
9.2.4　注入不同的语句类型 166
9.2.5　UNION操作符 168
9.2.6　“指纹识别”数据库 172
9.2.7　提取有用的数据 172
9.2.8　利用ODBC错误消息（仅适用于MS-SQL） 177
9.2.9　避开过滤 180
9.2.10　二阶SQL注入 183
9.2.11　高级利用 184
9.2.12　SQL注入之外：扩大数据库攻击范围 193
9.2.13　SQL语法与错误参考 195
9.2.14　防止SQL注入 200
9.3　注入操作系统命令 202
9.3.1　例1：通过Perl注入 203
9.3.2　例2：通过ASP注入 204
9.3.3　查找OS命令注入漏洞 205
9.3.4　防止OS命令注入 207
9.4　注入Web脚本语言 208
9.4.1　动态执行漏洞 208
9.4.2　文件包含漏洞 210
9.4.3　防止脚本注入漏洞 211
9.5　注入SOAP 212
9.5.1　查找并利用SOAP注入 213
9.5.2　防止SOAP注入 214
9.6　注入XPath 214
9.6.1　破坏应用程序逻辑 215
9.6.2　谨慎XPath注入 216
9.6.3　盲目XPath注入 216
9.6.4　查找XPath注入漏洞 217
9.6.5　防止XPath注入 218
9.7　注入SMTP 218
9.7.1　操纵电子邮件消息头 218
9.7.2　SMTP命令注入 219
9.7.3　查找SMTP注入漏洞 221
9.7.4　防止SMTP注入 222
9.8　注入LDAP 222
9.8.1　注入查询属性 223
9.8.2　修改查询过滤器 224
9.8.3　查找LDAP注入漏洞 224
9.8.4　防止LDAP注入 225
9.9　小结 225
9.10　问题 225
第10章　利用路径遍历 227
10.1　常见漏洞 227
10.2　查找并利用路径遍历漏洞 228
10.2.1　确定攻击目标 228
10.2.2　探查路径遍历漏洞 229
10.2.3　避开遍历攻击障碍 231
10.2.4　利用遍历漏洞 234
10.3　防止路径遍历漏洞 234
10.4　小结 235
10.5　问题 236
第11章　攻击应用程序逻辑 237
11.1　逻辑缺陷的本质 237
11.2　现实中的逻辑缺陷 238
11.2.1　例1：欺骗密码修改功能 238
11.2.2　例2：直接结算 239
11.2.3　例3：修改保险单 240
11.2.4　例4：入侵银行 241
11.2.5　例5：擦除审计追踪 243
11.2.6　例6：规避交易限制 244
11.2.7　例7：获得大幅折扣 245
11.2.8　例8：避免转义 245
11.2.9　例9：滥用搜索功能 247
11.2.10　例10：利用调试消息 248
11.2.11　例11：与登录机制竞赛 249
11.3　避免逻辑缺陷 250
11.4　小结 251
11.5　问题 252
第12章　攻击其他用户 253
12.1　跨站点脚本 254
12.1.1　反射型XSS漏洞 254
12.1.2　保存型XSS漏洞 259
12.1.3　基于DOM的XSS漏洞 261
12.1.4　现实世界中的XSS攻击 262
12.1.5　链接XSS与其他攻击 264
12.1.6　XSS攻击有效载荷 265
12.1.7　XSS攻击的传送机制 270
12.1.8　查找并利用XSS漏洞 271
12.1.9　HttpOnly cookie与跨站点追踪 285
12.1.10　防止XSS攻击 287
12.2　重定向攻击 290
12.2.1　查找并利用重定向漏洞.. 291
12.2.2　防止重定向漏洞 294
12.3　HTTP消息头注入 294
12.3.1　利用消息头注入漏洞 295
12.3.2　防止消息头注入漏洞 297
12.4　框架注入 298
12.4.1　利用框架注入 298
12.4.2　防止框架注入 299
12.5　请求伪造 299
12.5.1　本站点请求伪造 299
12.5.2　跨站点请求伪造 301
12.6　JSON劫持 303
12.6.1　JSON 303
12.6.2　攻击JSON 304
12.6.3　查找JSON劫持漏洞 305
12.6.4　防止JSON劫持 306
12.7　会话固定 306
12.7.1　查找并利用会话固定漏洞 308
12.7.2　防止会话固定漏洞 309
12.8　攻击ActiveX控件 309
12.8.1　查找ActiveX漏洞 310
12.8.2　防止ActiveX漏洞 312
12.9　本地隐私攻击 312
12.9.1　持久性cookie 312
12.9.2　缓存Web内容 312
12.9.3　浏览历史记录 313
12.9.4　自动完成 313
12.9.5　防止本地隐私攻击 314
12.10　高级利用技巧 314
12.10.1　利用Ajax 314
12.10.2　反DNS Pinning 317
12.10.3　浏览器利用框架 319
12.11　小结 320
12.12　问题 321
第13章　定制攻击自动化 322
13.1　应用定制自动化攻击 322
13.2　枚举有效的标识符 323
13.2.1　基本步骤 323
13.2.2　探测“触点” 324
13.2.3　编写攻击脚本 325
13.2.4　JAttack 326
13.3　获取有用的数据 331
13.4　常见漏洞模糊测试 334
13.5　整合全部功能：Burp Intruder 337
13.6　小结 344
13.7　问题 345
第14章　利用信息泄露 346
14.1　利用错误消息 346
14.1.1　错误消息脚本 346
14.1.2　栈追踪 347
14.1.3　详尽的调试消息 348
14.1.4　服务器与数据库消息 349
14.1.5　使用公共信息 350
14.1.6　制造详尽的错误消息 351
14.2　收集公布的信息 351
14.3　使用推论 352
14.4　防止信息泄露 353
14.4.1　使用常规错误消息 353
14.4.2　保护敏感信息 354
14.4.3　尽量减少客户端信息泄露 354
14.5　小结 354
14.6　问题 355
第15章　攻击编译型应用程序 357
15.1　缓冲区溢出漏洞 357
15.1.1　栈溢出 358
15.1.2　堆溢出 358
15.1.3　“一位偏移”漏洞 359
15.1.4　查找缓冲区溢出漏洞 361
15.2　整数漏洞 362
15.2.1　整数溢出 362
15.2.2　符号错误 363
15.2.3　查找整数漏洞 363
15.3　格式化字符串漏洞 364
15.4　小结 365
15.5　问题 366
第16章　攻击应用程序架构 367
16.1　分层架构 367
16.1.1　攻击分层架构 368
16.1.2　保障分层架构的安全 370
16.2　共享主机与应用程序服务提供商 371
16.2.1　虚拟主机 372
16.2.2　共享的应用程序服务 372
16.2.3　攻击共享环境 373
16.2.4　保障共享环境的安全 376
16.3　小结 378
16.4　问题 378
第17章　攻击Web服务器 379
17.1　Web服务器配置缺陷 379
17.1.1　默认证书 379
17.1.2　默认内容 380
17.1.3　目录列表 383
17.1.4　危险的HTTP方法 384
17.1.5　Web服务器作为代理服务器 385
17.1.6　虚拟主机配置缺陷 387
17.1.7　保障Web服务器配置的安全 387
17.2　Web服务器软件漏洞 388
17.2.1　缓冲区溢出漏洞 388
17.2.2　路径遍历漏洞 389
17.2.3　编码与规范化漏洞 389
17.2.4　查找Web服务器漏洞 391
17.2.5　保障Web服务器软件的安全 392
17.3　小结 393
17.4　问题 393
第18章　查找源代码中的漏洞 394
18.1　代码审查方法 394
18.1.1 “黑盒”测试与
“白盒”测试 394
18.1.2　代码审查方法 395
18.2　常见漏洞签名 396
18.2.1　跨站点脚本 396
18.2.2　SQL注入 397
18.2.3　路径遍历 397
18.2.4　任意重定向 398
18.2.5　OS命令注入 399
18.2.6　后门密码 399
18.2.7　本地代码漏洞 399
18.2.8　源代码注释 401
18.3　Java平台 401
18.3.1　确定用户提交的数据 401
18.3.2　会话交互 402
18.3.3　潜在危险的API 402
18.3.4　配置Java环境 405
18.4　ASP.NET 406
18.4.1　确定用户提交的数据 406
18.4.2　会话交互 407
18.4.3　潜在危险的API 407
18.4.4　配置ASP.NET环境 410
18.5　PHP 410
18.5.1　确定用户提交的数据 411
18.5.2　会话交互 412
18.5.3　潜在危险的API 412
18.5.4　配置 PHP 环境 416
18.6　Perl 418
18.6.1　确定用户提交的数据 418
18.6.2　会话交互 418
18.6.3　潜在危险的API 419
18.6.4　配置Perl环境 420
18.7　JavaScript 421
18.8　数据库代码组件 421
18.8.1　SQL注入 422
18.8.2　调用危险的函数 422
18.9　代码浏览工具 423
18.10　小结 424
18.11　问题 424
第19章　Web应用程序黑客工具包 426
19.1　Web浏览器 426
19.1.1　Internet Explorer 426
19.1.2　Firefox 427
19.1.3　Opera 428
19.2　集成测试套件 429
19.2.1　工作原理 429
19.2.2　特性比较 439
19.2.3　拦截代理服务器替代工具 443
19.3　漏洞扫描器 445
19.3.1　扫描器探测到的漏洞 445
19.3.2　扫描器的内在限制 447
19.3.3　扫描器面临的技术挑战 448
19.3.4　当前产品 449
19.3.5　使用漏洞扫描器 451
19.4　其他工具 451
19.4.1　Nikto 451
19.4.2　Hydra 452
19.4.3　定制脚本 452
19.5　小结 454
第20章　Web应用程序渗透测试方法论... 456

.　　第7章介绍会话管理机制。大多数应用程序通过有状态会话这个概念补充无状态的HTTP协议，帮助它们在不同的请求中确定每个用户的身份。当Web应用程序受攻击时，这个机制是一个主要的攻击目标；因为如果能够攻破它，就能够有效避开登录机制，伪装成其他用户，而不必知道他们的证书。这一章还将分析生成和传送会话令牌过程中存在的各种常见漏洞，并描述发现和利用这些漏洞所需采取的步骤。 ..
　　第8章说明应用程序如何实施访问控制。应用程序主要依靠验证与会话管理机制来完成这项任务。本章将介绍各种破坏访问控制的技巧，以及探查和利用这些弱点的方法。
　　第9章介绍大量相关漏洞。如果应用程序以不安全的方式在解释型代码中插入用户输入，就会造成这种漏洞。我们首先说明SQL注入漏洞，讨论各种攻击方法，从最明显、最简单的方法到一系列高级利用技巧（如带外通道、推断和时间延迟）。对于每一种漏洞和攻击技巧，我们将描述3种常用数据库（MS-SQL、Oracle和MySQL）之间的相关差异，然后介绍其他几种注入漏洞，包括操作系统命令注入、Web 脚本语言注入、注入SOAP/XPath/SMTP/LDAP协议。
　　第10章介绍一种简单而重要的漏洞。如果应用程序以不安全的方式将用户输入提交给文件系统 API，就会造成这种漏洞，使得攻击者能够获取或修改Web服务器上的任意文件。我们将描述各种技巧，说明应用程序为防止路径遍历攻击而实施的防御机制。
　　第11章将介绍应用程序受攻击面的一个重要的、常被人们忽略的区域——实现其功能的内部逻辑。应用程序逻辑中的漏洞各不相同，它们比 SQL 注入与跨站点脚本之类的常见漏洞更难以辨别。为此，我们将列举一系列实例，它们中存在的逻辑缺陷使得应用程序易于受到攻击，借此说明应用程序设计者与开发者所做出的各种错误假设。根据这些各不相同的缺陷，我们将进行一系列特殊测试，以确定许多常常难以探测的逻辑缺陷。
　　第12章将介绍一种严重的漏洞。如果Web应用程序中存在的缺陷使得应用程序的恶意用户能够攻击其他用户，并以各种方式危及他们的安全，就会造成这种漏洞。跨站点脚本漏洞是其中最重要的漏洞，它非常流行，影响着因特网上绝大多数的Web应用程序。我们将详细介绍各种不同类型的XSS漏洞，并说明如何探查并利用即使是最难以辨别的漏洞。然后，我们将分析另外几种针对其他用户的攻击方法，包括重定向攻击、HTTP 消息头注入、框架注入、跨站点请求伪造、会话固定、利用ActiveX控件中的缺陷以及本地隐私攻击。
　　第13章并不介绍任何新的漏洞，而是描述一种渗透测试员攻击Web应用程序时需要掌握的技巧。由于每种应用程序都各不相同，大多数攻击都经过某种方式的定制（或自定义），以针对应用程序的特殊行为，以及发现对攻击有利的操纵方法。这些攻击还要求提出大量相似的请求，并监控应用程序的响应。手动执行这些请求非常费力，而且容易出错。要真正熟悉Web应用程序，必须尽可能自动实施攻击步骤，使定制攻击更加简单、快捷而高效。本章将详细描述一种正被证实的方法，以完成这项任务。
　　第14章分析应用程序如何在遭受攻击时泄露信息。当实施本书描述的其他各种攻击时，渗透测试员应该始终监控应用程序，以确定其他可供利用的信息泄露来源。我们将介绍如何分析应用程序的反常行为与错误消息，以深入了解应用程序的内部工作机制，并细化攻击。我们还将介绍如何利用存在缺陷的错误处理机制，从应用程序中获取敏感信息。
　　第15章介绍在以C和C++等代码语言编写的应用程序中存在的一些重要漏洞。这些漏洞包括缓冲区溢出、整数漏洞和格式化字符串漏洞。这个主题涉及的内容非常广泛，我们将重点讨论如何在Web应用程序中探查这些漏洞，并分析一些实例，了解造成这些漏洞的原因，以及如何对它们加以利用。
　　第16章介绍一个常被忽略的Web应用程序安全领域。许多应用程序采用一种分层架构，无法正确隔离这些层面可能会导致应用程序易于受到攻击，使得攻击者能够利用在其中一个组件中发现的漏洞迅速攻破整个应用程序。共享主机环境带来另外一些严重的威胁；有时，攻击者可以利用一个应用程序中存在的缺陷或恶意代码攻破整个环境及其中运行的其他应用程序。
　　第17章描述各种攻击技巧，说明如何通过攻击Web服务器进而攻击其中运行的Web应用程序。Web 服务器中存在的漏洞主要包括服务器配置方面的漏洞以及Web服务器软件中的安全漏洞。这个主题属于本书的讨论范围，因为严格来讲，Web 服务器是技术栈的另一个组件。但是，大多数Web服务器都与在它们之中运行的Web应用程序关系密切。因此，本书介绍针对Web服务器的攻击，因为攻击者常常可以利用它们直接攻破一个应用程序，而不是首先间接攻破基础主机，然后再攻击Web应用程序。
　　第18章描述另外一种查找安全漏洞的方法。这种方法与本书其他章节讨论的方法截然不同。许多时候，我们都可以对应用程序的源代码进行审查，并且不必得到应用程序所有者的协助。通常，审查应用程序的源代码可以迅速确定一些漏洞，但在运行的应用程序中探查这些漏洞可能极其困难，或者需要耗费许多时间。我们将介绍一种代码审查方法，并简要说明如何对以各种语言编写的代码进行审查，以帮助读者在编程经验不足的情况下进行有效的代码审查。
　　第19章详细介绍本书描述的各种工具。我们将分析这些工具的优缺点，讨论一些全自动工具能否有效地发现Web应用程序中存在的漏洞，并提供一些提示和建议，说明如何充分利用工具包。
　　第20章综合介绍本书描述的所有攻击步骤与技巧。我们将根据渗透测试员在实施攻击时所需完成的任务之间的逻辑依赖关系来组织这些步骤与技巧，并对它们进行排序。如果你已经阅读并理解书中描述的各种漏洞和攻击技巧，就可以把这个方法当作一个完整的清单和工作计划，对Web应用程序实施渗透测试。
　　需要的工具
　　本书着重讨论渗透测试员在攻击Web应用程序时所采用的实用技巧。阅读本书后，你将了解每项攻击任务的细节、它们涉及的技术以及它们为什么有助于探查和利用各种漏洞。下载某个工具，使用它攻击一个目标应用程序，并根据它的输出结果了解应用程序的安全状况，这些内容并不是本书讨论的重点。
　　也就是说，当实施我们描述的步骤与技巧时，你会发现一些有用、有时甚至是必不可少的工具。所有这些工具都可以在因特网上找到，建议你下载并试用本书介绍的每一个工具。
　　同步网站内容
　　本书的同步网站（www.wiley.com/go/webhacker）提供一些掌握各种攻击技巧所需要的有用资源，该网站主要包括以下内容：
　　本书列出的一些脚本的源代码；
　　本书讨论的所有工具和其他资源的链接；
　　攻击一个常见应用程序的步骤列表；
　　每章结束部分提出的问题的答案；
　　包含本书描述的许多漏洞的一个攻击挑战。
　　其他说明
　　Web应用程序安全是一个有趣而流行的主题。对我们而言，撰写本书是一种享受。我们希望，在学习本书描述的各种攻击技巧和了解如何防御这些攻击手段的过程中，你能够找到乐趣。
　　此外，我们在此提出严正警告。在许多国家，未经所有者许可而攻击他们的计算机系统的做法属非法行为。如果未经他人同意，执行我们描述的绝大多数技巧可能会触犯法律。
　　本书作者为专业的渗透测试员，他们代表客户对Web应用程序实施攻击，以帮助强化应用程序的安全。近年来，许多安全专业人士与其他人由于未经许可而尝试或主动攻击计算机系统，从而犯罪，其职业生涯也因此结束。我们强烈要求你仅在法律许可的范围内使用本书提供的信息。...