iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 11
0
Security

Web滲透測試 - Burp Suite 完整教學系列 第 11

利用Scanner發現網站中可能存在的風險漏洞

  • 分享至 

  • xImage
  •  

昨天介紹了一些關於Scanner的基本項目與觀念,
今天就來直接針對我們的靶機進行掃描與查看結果。

我們先瀏覽我們要掃描的網站,
這邊我是針對DVWA進行手動的爬站,
還有記得把DVWA Security難度調成低。

https://ithelp.ithome.com.tw/upload/images/20200926/20114110bt905zfOiP.png

https://ithelp.ithome.com.tw/upload/images/20200926/20114110t44h2d3R7b.png

接著爬得差不多覺得內容足夠了,
點選到Target -> Site map,
於左側針對我們想要掃描的網站或節點,
點選右鍵選擇active scan,
(提醒一下,這邊我已經有把靶機加入Scope,
並且也用Filter去限制只顯示Scope的內容。)

https://ithelp.ithome.com.tw/upload/images/20200926/20114110xlpq7PurLt.png

https://ithelp.ithome.com.tw/upload/images/20200926/20114110bTRNJNKo74.png

這邊會讓你選擇是否對要掃描的範圍進行調整,
第一項Remove duplicate items(same URL and parameters),
是勾選了會排除URL跟參數都一樣的重複項目,
URL跟參數的一樣的意思譬如下者:
https://hackercat.org/sameUrl?SameParam=123
https://hackercat.org/sameUrl?SameParam=5566
如果勾選的話,上面兩個就會有一個被排除不掃描。

https://ithelp.ithome.com.tw/upload/images/20200926/20114110uz7MSKnOZa.png

接著的兩項一個是不要去掃已經掃過的,
這邊因為是第一次掃描而已,所以這邊是反灰沒辦法選。
另一個是排除不在Scope的項目,這邊也沒有。

下一個Remove items with no parameters,
就是排除掉沒有參數的就不掃描,
所以以下兩個URL,就只會掃描上面的,下面的會被排除。
https://hackercat.org/app?Param=123
https://hackercat.org/appication

接下來的兩項一個是排除回應是Media的,
另一個是排除特定副檔名(extension),
可以看到預設雖然沒有勾選,
但是裡面已經填入了js,gif,jpg,png,css,
因為這些是比較不容易存在漏洞的類型。

https://ithelp.ithome.com.tw/upload/images/20200926/20114110K0ZgQBlcn2.png

這邊首先說說我的建議勾選方法,
除了排除沒有參數的以外,可以都勾選。

不過還是得強調一件非常重要的事情!
要如何勾選,會隨許多因素而做調整,
並沒有最好的做法,隨時都可以調整,
重點還是在於知道每個項目的用途,
並非只是把要哪幾個地方勾起來,把操作背下來。

https://ithelp.ithome.com.tw/upload/images/20200926/20114110ghfiSFjCxo.png

https://ithelp.ithome.com.tw/upload/images/20200926/20114110Q9UZ3D5Glw.png

按下Next之後還不會馬上開始掃描,
這邊會列出每一個要掃描的項目,
可以在這邊檢查與驗證,做更細節的調整,
看看自己需要掃描的項目是否有遺漏或是重複過多。

確認無誤按下OK之後就真的開始主動掃描了。
接著就可以看到Scan queue部分會顯示掃描狀態。

https://ithelp.ithome.com.tw/upload/images/20200926/20114110iHoVXyFSjq.png

點進去可以看到詳細的內容,
包含這個項目偵測到的弱點與風險等級,
原始的請求/回應與修改後的請求/回應,
測試的payload與偵測到回應中有問題的地方也會被highlight起來。

https://ithelp.ithome.com.tw/upload/images/20200926/20114110I6IUlmYiAv.png

https://ithelp.ithome.com.tw/upload/images/20200926/20114110SP307TtwSp.png

https://ithelp.ithome.com.tw/upload/images/20200926/20114110CkAW9iMJWp.png

如果要針對單一個項目直接掃描,
也可以在任何一個Request,直接點右鍵選Do an active scan。
(不管是在Target/Proxy/Repeater....都可以)

https://ithelp.ithome.com.tw/upload/images/20200926/20114110zQXwQDh7mf.png

Scanner最後一個介紹的是選項Option。
依序,最上面區塊為Attack Insertion Point,
這邊是調整注入點的一些設定,
可以選擇是否要測試不同位置的參數,
是否要測試HTTP Header,是否要更改參數位置。

https://ithelp.ithome.com.tw/upload/images/20200926/20114110FDeLKIthVu.png

這邊的設定其實介紹起來是有些尷尬的,
如果是一個完全新手的話,沒有WEB安全測試概念,
光看這個地方應該會沒有頭緒,
實際上也不好從這個地方做教學與說明。

那如果你已經為網站弱掃或是WEB測試有概念,
看到這些選項大概不用多說甚麼,也知道用途與差異。

所以就讓我默默的快速跳過這邊,
簡單的只提一個方向,
勾選的越多,測試的方式就會越多,找到風險機會更大,
不過測試的數量與內容越多,也就會花更多的時間。

https://ithelp.ithome.com.tw/upload/images/20200926/201141106sKAK0l2sS.png

第一個區塊的下方還有一個地方,
這邊是可以設定對那些參數不要進行Injection測試,
或者是完全不要對這些參數進行測試。

https://ithelp.ithome.com.tw/upload/images/20200926/20114110HyL0sdCROL.png

下一個區塊Active Scanning Engine,
跟介紹Spider時也有差不多的地方,
就是用來做請求速度的限制與一些網路穩定性相關的。

https://ithelp.ithome.com.tw/upload/images/20200926/2011411028KMsQpQnQ.png

Active Scanning Optimization,
這項就有點需要重點說明一下了,
首先注意到Scan accuracy,
false negatives是漏判的意思,
也就是這個網站有這個弱點,但是沒有被掃描出來;
false positves是誤判的意思,
也就是掃出來了這個弱點,但是實際上網站沒有這個弱點。
還有一件非常非常非常重要的事情,絕對要知道,
就是不管任何網站弱點掃描工具,
都一定會有誤判跟漏判的可能性,
絕對不會有一個工具可以保證自己100%沒有誤判或是漏洞。
至於是為什麼,這邊就先不多做解釋了,
總之就是你必須相信、必須承認這個事實。

那這邊除了Normal這個選擇,
另外兩個選擇,理論上來說,
如果選Minimize false negatives,
會發現最多漏洞,但其中是誤判的機率也比較高;
如果選Minimize false positves,
掃出來的那些漏洞,真正是存在的機率會比較高。

然後Use intelligent attack selection,
這項測試主要是協助加快掃描速度。
千萬不要誤會以為這個intelligent是多聰明,
會聰明到幫你去做進階滲透測試或是打入系統提權的,
沒有這種事情,Burp還沒這麼強大。

https://ithelp.ithome.com.tw/upload/images/20200926/20114110XGFEmSqOfs.png

最後是Scan Issues,
這邊也可以看到Burp Scanner的掃描原則,
會掃描那些類型弱點,
也可以在這邊去調整要掃描的規則,
是否只掃某些特定風險或是特定類型的弱點。

關於Burp的Scanner就介紹到這邊。
Scanner其實也就是網站弱掃功能,
其實目前商業或是開源的網站弱掃工具不少,
而每個都有各自的優缺點,不同的運作機制與掃描原則,
沒有所謂最好的弱掃工具就是了。


上一篇
Scanner網站弱點掃描 - Active vs. Passive
下一篇
Decoder 那些讓人看不懂的東西是甚麼
系列文
Web滲透測試 - Burp Suite 完整教學30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言