关于自动化WEB安全测试动态FUZZ的思路与实践分析(图文) 电脑资料

2023年6月29日发(作者：)

关于自动化web平安测试动态fuzz的思路与实践分析(图文)

电脑资料

很久之前就想写这么一篇文章，来谈谈我认为的的web2.0甚至是3.0时代，web应用平安测试遇到的几个问题，以及目前知道的解决方法，

一直以来，我们检测一个WEB应用的平安漏洞，无非就是两种手段，一种是手动加参数比方 and 1=1或者对数字型的做一些运算，-1 -2看是否参数进行了传递并且在后端数据库里正确的执行了操作，根据页面的内容变化来判读。当然还有类似|| 1=1这种的。其实都是做的一个运算。只要符合SQL标准能够正确的执行就OK了。第二种是工具,这里指的工具，更多的含义还是指webinspect,appscan,awvs这类的基于爬虫类的扫描工具。先去抓取整个网站的目录结构,然后根据爬出来的链接，测试他的动态参数。无论是上述手段的哪一种，都会有一些缺陷。第一种不适合在大批量目标的攻击，因为显然手工测试的范围有限，第二种解决了第一个手段的缺陷，可以在一个比拟大的应用中，快速发现应用程序的漏洞。但是目前来说，仍然存在很多的问题。比方，现在比拟大型的应用，都是采用类似前端反向代理，后端动态解析的架构。这种架构的出现，大量的使用ajax的应用，交互式连接，json接口等等。这些东西用爬虫是识别不到的。因此用类似webinspect这样的工具，根本就扫不到什么问题。前阵子看到说awvs可以做web 2.0的扫描,可以识别到ajax请求,但是我用最新版的比照测试,发现还是不行。现在解决这类的问题，貌似有很多方法，国内的我看到aiscanner号称可以用web2.0的引擎或者js引擎解决这个问题，用javascript虚拟引擎加上沙盒技术。这个我查了一些资料，包括在developerworks上也是只看到寥寥的几个介绍。我猜是不是类似用运行一些东西，模仿类似XHR的方式去获取一些交互式的，ajax的链接？希望有大牛能给我指点下。

0×02 基于代理拦截的WEB FUZZ工具

当然，随着技术的开展，很早的时候就出现过一些比拟好的方法，比方用代理中转的方式来获取连接，工具类似有的fiddler和burpsuite之类的。fiddler目前官方有一个比拟好的插件是Ammonite,运行后如下

在results里，可以看到发包和收包后的过程

首先说说这个插件，我目前测试的情况来说，准确率是比拟差的，

除此之外,fiddler上其实还有很多类似的插件,比方这个日本人写的

这个插件比拟类似burpsuite+fuzzdb的效果

先是拦截请求.

讲请求发送到攻击模块

在burpsuite里加载fuzzdb的数据进行进行测试

可以选择fuzz的模式

也可以自己加payloads,fuzz比照里也有

设置相关的测试参数