Burp Suite

DVWA（Damn Vulnerable Web Application）是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。 DVWA共有十个模块，分别是Brute Force、Command Injection（命令行注入）、CSRF（跨站请求伪造）、File Inclusion（文件包含）、File Upload（文件上传）、Insecure CAPTCHA （不安全的验证码）、SQL Injection（SQL注入）、SQL Injection（Blind）（SQL盲注）、XSS（Reflected）（反射型跨站脚本）、XSS（Stored）（存储型跨站脚本）。 DVWA的代码分为四种安全级别：Low，Medium，High，Impossible。初学者可以通过比较四种级别的代码，接触到一些PHP代码审计的内容。 Brute Force，即BF，是指利用密码字典，使用穷举法猜解出用户口令，是现在最为广泛使用的攻击手法之一，如2014年轰动全国的12306“撞库”事件，实质就是暴力破解攻击。 low难度 增加概率，多次重试 首先拦截登录请求： Ctrl+L发送到Intruder: 要爆破的是password，所以把password的值用$包起来

前言 学习xss的时候翻阅资料发现了一个文件上传漏洞fuzz字典生成脚本小工具，试了试还不错，分享一下 配置 需要python2环境 工具地址: https://github.com/c0ny1/upload-fuzz-dic-builder 使用方法 $ python upload-fuzz-dic-builder.py -h usage: upload-fuzz-dic-builder [-h] [-n] [-a] [-l] [-m] [--os] [-d] [-o] optional arguments: -h, --help show this help message and exit -n , --upload-filename Upload file name -a , --allow-suffix Allowable upload suffix -l , --language Uploaded script language -m , --middleware Middleware used in Web System --os Target operating system type -d, --double-suffix Is it possible to generate double suffix? -o , --output Output file

文件上传漏洞原理 程序员由于对上传的文件类型、内容没有进行严格限定，导致攻击者可以通过上传木马获取服务器的webshell权限（webshell:webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。） 通俗的说：用户上传了一个可执行脚本文件并通过此文件获得了执行服务器端命令的能力。 文件上传漏洞的原因 1.对文件的后缀名没有严格的限制 2.对于上传文件的MIMETYPE没有做检查 3.权限上没有对与上传的文件目录设置不可执行权限 4.web server对于 上传文件的行为没有做限制。 文件上传漏洞的危害 1.网站被控制,别人可以对文件进行增删改查等。 2.会导致服务器崩盘。 文件上传漏洞的靶机安装 upload-labs安装 下载地址 可以用git直接下载也可以直接下载压缩包。 把解压后的文件放在phpstudy的根目录下 然后在浏览器中输入网站 安装成功 JS（Javascript）前端绕过攻击 js前端绕过攻击是在网页或其他平台上对文件的过滤仅使用了前端过滤而没有使用后端过滤。 upload-labs第一关

安全测试总结： burp suite使用方法： Burp Suite使用方法 Burp Suite 使用的版本为1.7.33 1 安装 一路点击next ，无需进行其他配置。 出现下图，安装完成 2 建立一个临时文件，无需进行其他配置 软件会提示更新，不推荐更新 成功进入主界面 3 修改options，可将option 的配置改成如下 4 设置本地代理 使用chrome 打开下界面 chrome://settings/ 打开本地代理设置 修改本地代理如下 （别忘了保存） Intercept 打开 查看http history ，抓包成功 找到自己需要的请求，点击鼠标右键，选择send to repeater，进行重新发包 5 repeater界面，左边是你要发过去的值，右边是返回值 其他： 在验证完成后，需要关掉本地代理，否则无法访外网 将使用代理服务器关闭即可 安全测试的一些东西 会话固定,会话挟持 会话挟持： 用户点击登出按钮，但是用户session依然有效。 测试方式：获取登录用户session，之后使用burp suite用这个session发送请求，返回正确，用户在界面登出后， 不替换session， 依然用这个发送请求，如果返回正确，安全测试不通过 会话固定：在较长一段时间后，用户session依然有效 测试方式：获取用户session，长时间后

云栖号资讯：【 点击查看更多行业资讯 】 在这里您可以找到不同行业的第一手的上云资讯，还在等什么，快来！ 一、前言 移动互联网应用程序(Mobile APP，以下简称“APP”或“移动APP”)安全早已成为信息安全领域中广受关注的热点话题。作为安全检测人员，在日常测试工作中经常涉及移动APP的安全检测，在此结合相关移动APP检测标准和工作经验，从渗透测试角度，对移动APP的检测进行概要性总结说明。 二、目标分析 移动APP的安全问题与传统桌面软件有所不同。虽然现代移动操作系统(如Android和iOS)已比较注重安全防护，但如果APP开发人员在开发移动应用程序时不全面仔细地考虑安全性，APP仍可能会存在可被利用的安全漏洞，从而面临安全威胁。移动APP渗透测试目的就是充分分析和挖掘移动APP和相关系统存在的安全问题，进而帮助其进行修复，提升安全性，保护用户信息。 从业务上来看，在移动APP架构中，面临安全威胁的目标 / 路径主要有三个，它们分别是：移动APP、数据传输和服务端。 三、面临的威胁 1. 客户端 客户端(移动APP)主要面临的威胁包括反编译、调试、篡改/重打包、输入记录、组件安全、注入和Hook、本地敏感数据泄露等。 (1) 反编译 对一个软件进行分析可以分为静态分析和动态分析两大部分。反编译是静态分析的一种基础手段。高级编程语言源代码经过编译变成可执行文件

引言 用例设计是测试工程师的必备技能。所以在面试时会有一个用例设计的问题，比如：给你一个杯子怎么测试？扫码支付怎么测试？面试官会挑一个大家非常熟悉的产品的一个功能让设计用例。 面试官到底想考察什么？ 衡量一个人员的水平，主要测试的 广度 和 深度 两个方面，这是面试官最关心的。 什么是测试的广度？ 除了功能测试，你还会做什么测试？性能、自动化、兼容性... 我总结一个图供参考（ 1079636098 ）推荐软件测试交流群 什么是测试深度？ 就拿扫码支付这个例子来说吧。 大家设计用例时可能会设计，这个码能不能扫成功、会不会自动化刷新、如果扫非本App码会怎么样、光线不好怎么办、容不容易扫出来、支付是否能成功、各种支付方式、使用红包、支付失败怎么办... 这些场景都比较基础。 二维码到底是什么？它是怎么存储数据的？如果存储URL的话，可以存储多少数据，数据多是不是不容易扫了 支付过程用https传输，是怎么传输的，什么TLS握手，如果用Burp Suite拦截，修改支付金额能支付成功吗？ 支付时比较卡，怎么定位卡的原因，怎么用Time Profiler定位到卡顿地方 接口有性能问题，怎么定位，什么是Full GC，怎么用jstat、jstack、jmap定位问题... 这就是测试的深度 怎么回答到这个问题？ 这个是什么App，什么功能确定后。要冷静，不要马上回答。即使像微信这种常用软件

Burpy是一款能够打通BurpSuite和Python之间任督二脉的插件，从此之后，你可以用你的python任意处理Http包了！ 作用 执行指定python脚本，并将处理结果返回给BurpSuite。 功能、UI介绍 这里有个注意事项：要用python2。 在Burpy PY file path:里面指定好你自己的python脚本，点击start server，就可以开心的干活了。 大家注意看这里： 这个地方是一些开关，为了右键菜单更加简洁。点上之后，右键菜单会有变化。 把这些开关都点上，来看一眼右键菜单： Burpy Main会自动调用我们脚本中的main方法 Burpy Enc会自动调用encrypt方法 依次类推。 Enable Processor和Enable Auto Enc/Dec这两个开关的功能比较特殊，这里分开说一下 打开enable processor之后，在使用Intruder进行暴力破解之类的动作时，如果payload需要进行加密或签名，我们就可以把加密/签名的算法实现到自己有python脚本的processor函数中。 脚本怎么写 在我们自己的脚本中，要新建一个Burpy类，此类在start server的时候会进行初始化。 Burpy类有这样几个函数：main, encrypt, decrypt, sign, processor，作用咱们上面提到了

原理：http数据包通过\r\n\r\n来分开http header何http body 实现：首先这种攻击发生在应用层，且发生在服务器返回给我们的http reponse没有经过敏感字符的过滤，我们能够构造攻击语句来控制服务器的http响应．以下为例子： 1、Twitter的HTTP响应拆分 难度：高 厂商：https://twitter.com/ 报告地址：https://hackerone.com/reports/52042 报告日期：2015年4月21日 奖金：$3,500 2015年的4月，Twitter收到了一个漏洞报告，报告称黑客可以通过该漏洞在用户向Twitter发起的请求数据中**任意cookie值。 用户在访问https://twitter.com/i/safety/report_story（用户可以在这里举报广告）地址时，服务器会获取参数reported_tweet_id的值，并将其设置到cookie中，最后导致了漏洞。 实际上Twitter是有进行校验的，它会禁止用户提交换行符0x0a（%0a）。但Twitter在处理过程中，会先验证是否提交了禁止的字符，之后如果提交的数据是UTF-8编码过的， 则会将其转为原始的unicode码后去掉一些无用字符后再取剩下的字节，正是因为这样的逻辑导致了绕过。 比如说用户提交的是：%E5%98%8A

原理：http数据包通过\r\n\r\n来分开http header何http body 实现：首先这种攻击发生在应用层，且发生在服务器返回给我们的http reponse没有经过敏感字符的过滤，我们能够构造攻击语句来控制服务器的http响应．以下为例子： 1、Twitter的HTTP响应拆分 难度：高 厂商：https://twitter.com/ 报告地址：https://hackerone.com/reports/52042 报告日期：2015年4月21日 奖金：$3,500 2015年的4月，Twitter收到了一个漏洞报告，报告称黑客可以通过该漏洞在用户向Twitter发起的请求数据中**任意cookie值。 用户在访问https://twitter.com/i/safety/report_story（用户可以在这里举报广告）地址时，服务器会获取参数reported_tweet_id的值，并将其设置到cookie中，最后导致了漏洞。 实际上Twitter是有进行校验的，它会禁止用户提交换行符0x0a（%0a）。但Twitter在处理过程中，会先验证是否提交了禁止的字符，之后如果提交的数据是UTF-8编码过的， 则会将其转为原始的unicode码后去掉一些无用字符后再取剩下的字节，正是因为这样的逻辑导致了绕过。 比如说用户提交的是：%E5%98%8A

安装靶场 链接：https://pan.baidu.com/s/19X0oC63oO2cQKK6UL5xgOw 提取码：yq7f 下载完成放入网站根目录 点击初始化安装 出现错误，进行跟踪 发现是数据库密码不对的问题 修改成自己的mysql数据库的登录信息 返回浏览器页面，单击安装，出现下面红字就ok了 接下来选择token防爆破 开启浏览器代理 抓到登录数据包 右键，选择 发送到intruder模块—》attack type选择pitchfork草叉模式 删除所有的默认标记，选择username和token进行标记（因为只是想测试token就没选password） 对username加入字典其他的默认就好 对token参数进行选择 1.Payload set 选择2（也就是token的标记位置） 2.Payload type 选择 recursive grep 接下来要配置options 下的grep-extract 点击add --》点击cancel ，在下方输入token帮助筛选—》找到传递回来的token—》选中，点击ok 选择on-site only 将刚才筛选到的token加入下图输入处，不然第一遍爆破时就会没有token 单击下图按钮开始爆破 ok，绕过token成功 来源： oschina 链接： https://my.oschina.net/u/4375917