欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_安全工具正文

怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽

de64384a174e12dc2020-08-19234安全工具

明天我将运用打包的套件进击对象对bwapp运用顺序停止隐约测试,手动实行此测试是一个耗时的时候,能够对任何一个渗透性测试的平安职员来讲都是无聊的历程。

隐约测试在软件测试中起着至关重要的感化,它是一种对象,用于经由过程将一组称为隐约的局部地点输入注入到要测试的运用顺序的顺序中来查找毛病,毛病,毛病。 破绽搜检对象接纳文件花样的构造输入来辨别有用和有效的输入。破绽搜检对象最适合辨认sql注入,缓冲区溢出,xss注入和OS敕令注入等破绽。

隐约测试XSS

最先运用Burp Suite,以阻拦要求,然后将阻拦的数据发送到进击对象的服务器。

1501570974138651.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第1张 1501570974138651.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第1张

能够经由过程在要求参数中提交种种测试字符串,并剖析运用顺序对毛病音讯和其他非常的相应来检测很多基于输入的破绽,如SQL注入,跨站点剧本和文件途径遍历。

测试的症结点是找到有用载荷将被拔出的地位,并肯定分配给有用载荷地位的体式格局。

有用地位是测试时输入的用户名,进击范例是运用一个有用载荷。

1501570994569226.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第3张 1501570994569226.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第3张

要肯定在进击时期有用载荷能被放到它自己的地位,就要运用设置装备摆设预界说的有用载荷清单(config predefined payload lists)来停止挑选,该清单里包罗了罕见的隐约字符串来设置装备摆设有用载荷列表。

Burp suite进击对象包罗用于测试xss注入的隐约字符串,因而挑选fuzzing -xss,然后单击ADD选项卡将此字符串加载到简朴列表中,以下图所示,最初点击最先进击。

1501571025635770.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第5张 1501571025635770.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第5张

它将经由过程发送包罗随机字符串的要求来最先进击,以测试目的运用顺序中的xss破绽。现在从给定的运用字符串列表中挑选具有最高长度的有用载荷作为给定图象所示的输入,我挑选了长度即是13926的要求1。

1501571062188838.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第7张 1501571062188838.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第7张

将所选的有用内容拔出截取的要求中,然后转发此要求。

1501571089440459.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第9张 1501571089440459.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第9张

如许隐约测试就完成并发明运用顺序有能够致使xss破绽的毛病。从下图你能够看到它显现一个xss警报提醒。

1501571133147176.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第11张 1501571133147176.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第11张

隐约测试敕令实行破绽

与隐约测试XSS一样,反复以上相反的历程以截取要求,然后将阻拦的数据发送到进击对象的服务器。

1501571465941161.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第13张 1501571465941161.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第13张

找到有用载荷将被拔出的地位,运用进击范例肯定分配给有用载荷地位的体式格局。

有用地位为www.nsa.gov(目的用户输入的用户名),进击范例是运用一个有用载荷。

----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

----------------------------------------------

1501571471186924.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第15张 1501571471186924.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第15张

Burp suite进击对象包罗测试敕令注入的隐约字符串,因而挑选fuzzing full,并单击ADD选项卡将该字符串加载到简朴列表中,以下图所示,最初点击最先。

1501571479919063.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第17张 1501571479919063.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第17张

它将经由过程发送包罗恣意字符串的要求来最先进击,以测试目的运用顺序中的操作系统敕令注入破绽。现在从给定的运用字符列表中挑选具有最高长度的有用载荷作为给定图象所示的输入,我挑选了长度即是13343的挑选要求34。

将所选的有用内容拔出截取的要求中,然后转发此要求。

1501571486851037.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第19张 1501571486851037.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第19张

这时候,隐约测试就完成了,就能够发明运用顺序涌现致使操作系统敕令破绽的毛病。从下图中,你能够看到运用顺序依据所选有用载荷的要求显现ID。

1501571494549511.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第21张 1501571494549511.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第21张

隐约测试SQL注入

反复相反的历程以截取要求,然后将阻拦的数据发送到进击对象的服务器。

1501571643753481.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第23张 1501571643753481.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第23张

找到有用载荷将被拔出的地位,运用进击范例肯定分配给有用载荷地位的体式格局,SQL注入类似于暴力进击。

有用地位:1:1(用户输入的登录暗码),进击范例是运用两个有用载荷。

1501571652561786.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第25张 1501571652561786.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第25张

Burp suite进击对象包罗将测试SQL注入的隐约字符串,因而挑选fuzzing -SQL注入用于第一个有用载荷地位,然后单击ADD选项卡将该字符串加载到简朴列表中,以下图所示,最初点击最先。

1501571660281755.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第27张 1501571660281755.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第27张

反复相反的历程来设置第二个有用载荷地位的有用载荷选项

1501571668208985.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第29张 1501571668208985.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第29张

它将经由过程发送包罗恣意字符串的要求来最先进击,以测试目的运用顺序中的SQL注入破绽。现在从给定的字符串列表中挑选具有最高长度作为输入的有用载荷,以下图象所示,我挑选了长度即是13648的挑选要求168。

1501571677954674.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第31张 1501571677954674.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第31张

将所选的有用内容拔出截取的要求中,然后转发此要求。

1501571686539618.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第33张 1501571686539618.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第33张

如许隐约测试就完成了,也发明运用顺序有毛病致使SQL注入破绽。 从下图能够看出,我登录到Neo的帐户没有有用的输入,这只是依据所挑选的有用载荷的要求发作的。

1501571694179001.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第35张 1501571694179001.png 怎样运用Burp Suite隐约测试SQL注入、XSS、敕令实行破绽  安全工具 第35张

本文翻译自:http://www.hackingarticles.in/fuzzing-sqlxss-command-injection-using-burp-suite/ ,如若转载,请说明来源于嘶吼: http://www.4hou.com/vulnerable/6933.html

网友评论

2条评论
  • 2020-08-19 00:00:02

    欧博注册网址www.sweetyhk.com欢迎进入欧博网址(Allbet Gaming),欧博网址开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。保质保量的内容

  • 2020-08-19 00:00:02

    欧博注册网址www.sweetyhk.com欢迎进入欧博网址(Allbet Gaming),欧博网址开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。保质保量的内容