欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Web页面安全-web入侵安全测试与对策

来源:本站转载 作者:佚名 时间:2013-01-21 TAG: 我要投稿

  web入侵安全测试与对策
web攻击方式

--------------------------------------------------------------------

获取目标信息

一、筛选

(一)该方式主要包含:

1.html代码嵌入的注释

2.html代码中的敏感信息

3.服务器端的出错信息和http响应

4.应用程序出错信息

(二)攻击方法

在源代码中寻找信息,包括:数据库名称,用户名和密码等。要发现这些信息需要有一个进程用于映射web应用

程序框架,并分析源代码。

影射web应用程序的框架

1.工具影射程序页面:wget,blackwindow

2.手工影射网页:从应用程序的第一个页面开始,点每个链接进入到子页面,归纳所访问的页面,直到访问所

有的页面为止。web代理程序可以发现页面之间传递的参数和数据,工具有:IEHttpHeaders和Paros之类。

分析源代码

1.映射程序后返回到页面去阅读原代码并搜索HTML注释(通常用2个破折号括起来,如<!--...-->)大部分web

设计者都用注释来标记页面中的引导部分,有时这里会包含对攻击者有用的线索。应用编程语言(PHP,ASP,

Perl等)的注释方法(如//或*/.../*)有时被漏到客户机上。一些不再使用的旧代码只是被注释而非从代码中

删除。

2.除在源文件中手工寻找,还可以自动搜索字符串。工具:grep(Cygwin4是在windows下的免费的类linux环境

,集成大部分UNIX平台工具,包括grep),Regulator是一个帮助你创建自己的搜索表达的免费工具。

以下是HTML源代码中搜索的类型和使用grep所采用的表达式模式:
项目 描述 grep模式
HTML注释 大部分HTML注释是平常的引导信息或分页符,但有时候也会包含一些有用的内容 <!--[^

-][\W\w]*?[^-]-->
应用程序注释 应用程序注释在服务器执行代码的时候都应当被去掉,如果留下来一定会包含一些攻击者需

要的信息。 
<!---[\w\W]*?--->

//.* 单行注释

/\*[\w\W]*?\*/ C风格的块注释

^'.*

rem\s.* VB的注释

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载