《Web攻防之業(yè)務(wù)安全實(shí)戰(zhàn)指南》技術(shù)篇復(fù)現(xiàn) 4.1 暴力破解測試

《Web攻防之業(yè)務(wù)安全實(shí)戰(zhàn)指南》技術(shù)篇復(fù)現(xiàn) 4.2 本地加密傳輸測試

《Web攻防之業(yè)務(wù)安全實(shí)戰(zhàn)指南》技術(shù)篇復(fù)現(xiàn) 4.3.1 Session會話固定測試

《Web攻防之業(yè)務(wù)安全實(shí)戰(zhàn)指南》技術(shù)篇復(fù)現(xiàn) 4.3.2 Seesion會話注銷測試

《Web攻防之業(yè)務(wù)安全實(shí)戰(zhàn)指南》技術(shù)篇復(fù)現(xiàn) 4.4 Cookie仿冒測試

《Web攻防之業(yè)務(wù)安全實(shí)戰(zhàn)指南》技術(shù)篇復(fù)現(xiàn) 4.5 密文比對認(rèn)證測試

《Web攻防之業(yè)務(wù)安全實(shí)戰(zhàn)指南》技術(shù)篇復(fù)現(xiàn) 4.6 登錄失敗信息測試

4.1?暴力破解測試

4.1.1?測試原理和方法

暴力破解測試是指針對應(yīng)用系統(tǒng)用戶登錄賬號與密碼進(jìn)行的窮舉測試，針對賬號或密碼進(jìn)行逐一比較，直到找出正確的賬號與密碼。一般分為以下三種情況：·在已知賬號的情況下，加載密碼字典針對密碼進(jìn)行窮舉測試；·在未知賬號的情況下，加載賬號字典，并結(jié)合密碼字典進(jìn)行窮舉測試；·在未知賬號和密碼的情況下，利用賬號字典和密碼字典進(jìn)行窮舉測試。

4.1.2?測試過程

靶場：pikachu-暴力破解-基于表單的暴力破解

?靶場下載鏈接：https://github.com/zhuifengshaonianhanlu/pikachu

URL：http://192.168.0.108/pikachu/vul/burteforce/bf_form.php

1.??設(shè)置用戶名/密碼：admin/admin，點(diǎn)擊login，然后開啟burp攔截?cái)?shù)據(jù)包

2.? 發(fā)送到Intruder模塊，sniper模式，標(biāo)記password變量

3.? 導(dǎo)入top500.txt字典進(jìn)行爆破

字典鏈接：https://github.com/TheKingOfDuck/fuzzDicts

.\fuzzDicts\passwordDict\top500.txt

4.? 成功登錄，爆破出密碼：123456

4.1.3?修復(fù)建議

1. 增加驗(yàn)證碼，登錄失敗一次，驗(yàn)證碼變換一次。

2. 配置登錄失敗次數(shù)限制策略，如在同一用戶嘗試登錄的情況下，5分鐘內(nèi)連續(xù)登錄失敗超過6次，則禁止此用戶在3小時(shí)內(nèi)登錄系統(tǒng)。

3. 在條件允許的情況下，增加手機(jī)接收短信驗(yàn)證碼或郵箱接收郵件驗(yàn)證碼，實(shí)現(xiàn)雙因素認(rèn)證的防暴力破解機(jī)制。

4.2?本地加密傳輸測試

4.2.1?測試原理和方法

本機(jī)加密傳輸測試是針對客戶端與服務(wù)器的數(shù)據(jù)傳輸，查看數(shù)據(jù)是否采用SSL （Security Socket Layer，安全套接層）加密方式加密。

4.2.2?測試過程

1.使用Wireshark網(wǎng)絡(luò)抓包工具對本地網(wǎng)卡進(jìn)行數(shù)據(jù)捕獲，訪問要測試的HTTPS協(xié)議網(wǎng)站，并輸入用戶名及密碼進(jìn)行登錄操作

URL：https://www.baidu.com/

?2.在Wireshark工具捕獲流中找到對應(yīng)HTTPS測試網(wǎng)站并查看數(shù)據(jù)是否加密

Wireshark下載鏈接：https://www.wireshark.org/download.html

4.2.3?修復(fù)建議

在架設(shè)Web應(yīng)用的服務(wù)器上部署有效的SSL證書服務(wù)。

4.3?Session測試

4.3.1?Session會話固定測試

4.3.1.1?測試原理和方法

Session是應(yīng)用系統(tǒng)對瀏覽器客戶端身份認(rèn)證的屬性標(biāo)識，在用戶退出應(yīng)用系統(tǒng)時(shí)，應(yīng)將客戶端Session認(rèn)證屬性標(biāo)識清空。如果未能清空客戶端Session標(biāo)識，在下次登錄系統(tǒng)時(shí)，系統(tǒng)會重復(fù)利用該Session標(biāo)識進(jìn)行認(rèn)證會話。攻擊者可利用該漏洞生成固定Session會話，并誘騙用戶利用攻擊者生成的固定會話進(jìn)行系統(tǒng)登錄，從而導(dǎo)致用戶會話認(rèn)證被竊取。

4.3.1.2?測試過程

靶場：dvwa-login

靶場下載鏈接：GitHub - digininja/DVWA:?https://github.com/digininja/DVWA

URL：http://192.168.0.108/dvwa

1.用戶名/密碼：admin/password，點(diǎn)擊login，burp攔截

PHPSESSID=af17p9g9k427hgm8e56f043rd1

2.退出后重新登錄，對比兩次PHPSESSID，與上次登錄PHPSESSID值相同

PHPSESSID=af17p9g9k427hgm8e56f043rd1

4.3.1.3?修復(fù)建議

在客戶端登錄系統(tǒng)時(shí)，應(yīng)首先判斷客戶端是否提交瀏覽器的留存Session認(rèn)證會話屬性標(biāo)識，客戶端提交此信息至服務(wù)器時(shí)，應(yīng)及時(shí)銷毀瀏覽器留存的Session認(rèn)證會話，并要求客戶端瀏覽器重新生成Session認(rèn)證會話屬性標(biāo)識。

4.3.2?Seesion會話注銷測試

4.3.2.1?測試原理和方法

Session是應(yīng)用系統(tǒng)對瀏覽器客戶端身份認(rèn)證的屬性標(biāo)識，在用戶注銷或退出應(yīng)用系統(tǒng)時(shí)，系統(tǒng)應(yīng)將客戶端Session認(rèn)證屬性標(biāo)識清空。如果未能清空Session認(rèn)證會話，該認(rèn)證會話將持續(xù)有效，此時(shí)攻擊者獲得該Session認(rèn)證會話會導(dǎo)致用戶權(quán)限被盜取。

4.3.2.2?測試過程

靶場：pikachu-CSRF-CSRF(get)

URL：http://192.168.0.108/pikachu/vul/csrf/csrfget/csrf_get_login.php

1.用戶名：vince，密碼：123456

2.burp攔截，瀏覽器刷新，并發(fā)送到Repeater模塊

PHPSESSID=dg6iq75rost54u99541ttlis97

3.登錄狀態(tài)下重放請求包，返回200，可以查看個(gè)人信息

4.退出登錄后重放授權(quán)訪問請求，無法查看個(gè)人信息，系統(tǒng)解除退出后的用戶Session授權(quán)

4.3.2.3?修復(fù)建議

在用戶注銷或退出應(yīng)用系統(tǒng)時(shí)，服務(wù)器應(yīng)及時(shí)銷毀Session認(rèn)證會話信息并清空客戶端瀏覽器Session屬性標(biāo)識。

4.4?Cookie仿冒測試

4.4.1?測試原理和方法

服務(wù)器為鑒別客戶端瀏覽器會話及身份信息，會將用戶身份信息存儲在Cookie中，并發(fā)送至客戶端存儲。攻擊者通過嘗試修改Cookie中的身份標(biāo)識，從而達(dá)到仿冒其他用戶身份的目的，并擁有相關(guān)用戶的所有權(quán)限。

4.4.2?測試過程

靶場：mutillidae-OWASP 2017-A2 - Broken Authentication and Session Management（身份驗(yàn)證與會話管理）-Authentication Bypass（身份驗(yàn)證繞過）-Via Cookies（通過Cookie）

靶場下載鏈接：https://github.com/webpwnized/mutillidae

URL：http://192.168.0.108/mutillidae/index.php?page=privilege-escalation.php

1.注冊賬號，賬號密碼都為ikun123，簽名：I love singing, dancing, rapping, and basketball.

2.點(diǎn)擊OWASP 2017

A2 - Broken Authentication and Session Management（身份驗(yàn)證與會話管理）

Authentication Bypass（身份驗(yàn)證繞過）

Via Cookies（通過Cookie）

3.burp攔截，瀏覽器刷新，修改uid=1

4.返回瀏覽器查看用戶名已改變

5.點(diǎn)擊admin，通過篡改uid身份標(biāo)識改變登錄系統(tǒng)人員身份信息

4.4.3?修復(fù)建議

建議對客戶端標(biāo)識的用戶敏感信息數(shù)據(jù)，使用Session會話認(rèn)證方式，避免被他人仿冒身份。

4.5?密文比對認(rèn)證測試

4.5.1?測試原理和方法

在系統(tǒng)登錄時(shí)密碼加密流程一般是先將用戶名和密碼發(fā)送到服務(wù)器，服務(wù)器會把用戶提交的密碼經(jīng)過Hash算法加密后和數(shù)據(jù)庫中存儲的加密值比對，如果加密值相同，則判定用戶提交密碼正確。但有些網(wǎng)站系統(tǒng)的流程是在前臺瀏覽器客戶端對密碼進(jìn)行Hash加密后傳輸給服務(wù)器并與數(shù)據(jù)庫加密值進(jìn)行對比，如果加密值相同，則判定用戶提交密碼正確。此流程會泄漏密碼加密方式，導(dǎo)致出現(xiàn)安全隱患。

4.5.2?測試過程

靶場：4_5.zip

靶場下載鏈接：

gitee：https://gitee.com/Almost_Zhangsan/9787121335815/blob/master/第4章 登錄認(rèn)證模塊測試/4.5 密文比對認(rèn)證測試/4_5.zip

URL：http://192.168.0.108/4_5/4_5.html

1.使用Burp?Suite工具抓包證實(shí)Web系統(tǒng)登錄口令為MD5加密傳輸

2.分析前端代碼判斷密碼是md5加密

3.在Payload?Processing中配置密碼處理類型

4.通過暴力破解測試得到返回長度不一樣的包，顯示登錄成功

5.利用在線md5解密網(wǎng)站查詢密碼

https://www.somd5.com/

4.5.3?修復(fù)建議

將密碼加密過程及密文比對過程放置在服務(wù)器后臺執(zhí)行。發(fā)送用戶名和密碼到服務(wù)器后臺，后臺對用戶提交的密碼經(jīng)過MD5算法加密后和數(shù)據(jù)庫中存儲的MD5密碼值進(jìn)行比對，如果加密值相同，則允許用戶登錄。

4.6?登錄失敗信息測試

4.6.1?測試原理和方法

在用戶登錄系統(tǒng)失敗時(shí)，系統(tǒng)會在頁面顯示用戶登錄的失敗信息，假如提交賬號在系統(tǒng)中不存在，系統(tǒng)提示“用戶名不存在”、“賬號不存在”等明確信息；假如提交賬號在系統(tǒng)中存在，則系統(tǒng)提示“密碼/口令錯(cuò)誤”等間接提示信息。攻擊者可根據(jù)此類登錄失敗提示信息來判斷當(dāng)前登錄賬號是否在系統(tǒng)中存在，從而進(jìn)行有針對性的暴力破解口令測試。

4.6.2?測試過程

靶場：pikachu-敏感信息泄露-?IcanseeyourABC

URL：http://192.168.0.108/pikachu/vul/infoleak/findabc.php

1.用戶名test，密碼test，系統(tǒng)返回信息“您輸入的賬號錯(cuò)誤”，系統(tǒng)間接提示登錄賬號不存在

2.用戶名lili，密碼lili，系統(tǒng)返回信息“您輸入的密碼錯(cuò)誤“，系統(tǒng)間接提示登錄賬號存在，密碼錯(cuò)誤

3.因?yàn)橄到y(tǒng)返回信息“您輸入的賬號錯(cuò)誤”“您輸入的密碼錯(cuò)誤“長度一樣，無法通過看返回包長度判斷爆破結(jié)果，參考以下文章利用正則匹配用戶名枚舉

https://blog.csdn.net/aixioxiaoxaio/article/details/114315174

'您輸入的密碼錯(cuò)誤'.encode('utf-8')

\xe6\x82\xa8\xe8\xbe\x93\xe5\x85\xa5\xe7\x9a\x84\xe5\xaf\x86\xe7\xa0\x81\xe9\x94\x99\xe8\xaf\xaf

4.枚舉出用戶名lili

5.將用戶名設(shè)置為lili，爆破密碼123456

4.6.3?修復(fù)建議

對系統(tǒng)登錄失敗提示語句表達(dá)內(nèi)容進(jìn)行統(tǒng)一的模糊描述，從而提高攻擊者對登錄系統(tǒng)用戶名及密碼的可猜測難度，如“登錄賬號或密碼錯(cuò)誤”、“系統(tǒng)登錄失敗”等。