原文地址:http://drops.wooyun.org/web/5154

0x00 前言


节选自: http://www.owasp.org.cn/OWASP_Conference/owasp-20140924/02OWASPWeb20140915.pdf

0x01 主动式(全自动 )Web扫描 


• 使用常见的漏洞扫描器  • 自动fuzz,填充各种攻击性数据  • 业务逻辑混淆,导致服务出错 

enter image description here

• 局限:  • 难以处理高交互式应用  • 只能发现暴露给用户(搜索引擎)的链接,难以覆盖100%的业务链接  • 解决方法:引入半被动式漏洞分析方法  • 在人工未参与的情况下,50%以上的Web应用系统存在高危漏洞 

0x02 半自动式漏洞分析:业务重放+url镜像,实现高覆盖度 


1. 方法一:业务重放 


  1. HTTP(S)业务流量录制与重放扫描 
  2. 手工修改业务数据流 
  3. 对手机APP也适用 

  检测逻辑漏洞:  •水平权限绕过  •订单修改  •隐藏域修改 

enter image description here

2. 方法二: 手工记录


• 从日志中获取url记录 

1. Fiddler的Url日志 
2. 获取Apache、Nginx、Tomcat的access日志 
3. 从旁路镜像中提取url日志 (安全人员不用再被动等待应用 的上线通知) 
  1. 从Fiddler2、 burpsuite 导出Url日志 再导入到漏洞扫描器扫描

enter image description here

enter image description here

2.获取Apache、Nginx、Tomcat的access日志 

  1. 从旁路镜像中提取url日志 (安全人员不用再被动等待应用 的上线通知)  如:jnstniffer、 360鹰眼、各大IT公司等

enter image description here

• 从旁路镜像中获取url列表,能高效地检出大量的漏洞,不需要运维人员通知,便可以获知业务系统的上线情况并执行漏洞扫描任务。

0x03 半自动式漏洞分析:业务重放、url镜像,高覆盖度


  - 局限  ① 时间滞后/token: 流量重发时,不一定能100%重现当时的业务流程及出现的bug。  ② 依然难以覆盖100%的业务链接,存在孤岛页面。(正常数据流不触发)  ③ 漏洞检测(防御)技术滞后于攻击技术,无法解决0day漏洞  - 解决方法:引入全被动式漏洞分析 

0x04 全被动式漏洞分析: 


  国外产品:Nessus PVS被动扫描 

enter image description here

全被动式漏洞分析(不发送任何数据包) 


enter image description here

• WebPVS的优点:    • 虽然依然难以覆盖100%的业务链接,但是能覆盖100%已经发生的业务链接。  • 能与黑客同步发现各种漏洞 • 由于HTTP协议是固定,因此能够根据回包情况发现0day攻击。