Rational AppScan

常见的Web攻击手段——XSS攻击

寵の児 提交于 2020-04-10 11:46:07
一、什么是XSS? 跨站脚本攻击 (Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 二、XSS种类 XSS攻击的分类主要有“反射型”与“存储型”两种。 “反射型”攻击者通过包装改造URL参数,然后利用前端代码的缺陷或漏洞来攻击,它更偏向于前端层面,并且在实际攻击中攻击者会根据 HTML实体编码、URL编码、uniocde编码等进行编码然后欺骗用户点击访问。 而“存储型”攻击者则会通过抓包工具或者是直接调用接口的方式想尽一切办法来向后端数据库注入数据。常见的地方就是留言评论或者是含有表单提交的地方。 XSS攻击有两个要点,一个是“输入点”,针对输入点我们可以对关键的特殊的字符进行编码,而在“输出点”我们要对自己采用的输出方式以及方法要有一定的安全风险认知。 三、XSS危害 钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼 JavaScript 以监控目标网站的表单输入。 网站挂马:跨站时利用 IFrame 嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上

如何选择黑盒测试工具

独自空忆成欢 提交于 2020-02-26 13:13:38
关于黑盒,个人认为还是首先考虑是私用还是商用。 私用的话去找一些开源的工具就好,像OWASP ZAP、Arachni、Wfuzz、Nikto这几个都是免费开源的。 商用的话就比较特殊,需要考量的因素比较多(当然也比较贵),除了规则库、准确率、误报率、效率、稳定性以外,合规也是非常重要的因素(当了多年甲方运维狗已经被合规搞怕了/哈哈)。 商用给你推荐的话,当然是 曾以 Watchfire AppScan 的名称享誉业界的AppScan,当年IBM收购了这条产品线以后更名为IBM Rational AppScan,可想而知,能被IBM看上的都不是省油的灯。之后,IBM的Web系统在上线之前,必须要通过公司的安全扫描,执行这个扫描任务的就是著名的Appscan。 这个软件能构造各种各样的输入, 模拟各种黑客的攻击,发现Web系统的各种漏洞: SQL注入,XSS,CSRF,Session Fixation等等, 非常强大,是Web系统安全探测好助手,后来还出了一个SaaS版。 直到2018年12月IBM的几大软件被HCL所收购,这让我挺震惊的,因为这些软件我很熟悉,有些还是经常使用的,其中一个就是 Appscan,2020年初HCL还更新了AppScan,功能更强大了。 换了东家之后,价格倒是提升了不少,但是市场占有率还是稳居第一,性能方面更没得说