至顶网›安全频道 ›应用安全›十大工具及应用策略搞定OWASP热门威胁

十大工具及应用策略搞定OWASP热门威胁

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

如果你以一位安全问题分析师的角度，已经花费了不少时间来寻求网页应用程序的安全保障方案，或者是以开发者的身份来探讨SDLC的实践应用，那么你很可能会对OWASP的十大工具感兴趣，进而在今后面对问题的时候用到它们的功能。

来源：51CTO 2011年3月31日

关键字： OWASP 注入式攻击 XSS CSRF

在本页阅读全文(共10页)

　　第四位: 对不安全对象的直接引用-Burp Suite

　　我始终坚信文件路径及目录浏览过程中检查步骤的缺乏，正是对不安全对象的直接引用这类现象产生的最大根源。借助这一薄弱环节，攻击者们将能够获取到/etc/passwd目录下的内容。

　　虽然我将Burp作为自己的首要网页应用程序安全漏洞分析工具--使用的是特殊的商用版本，其实你也可以使用这款工具的免费版(不具备扫描功能)来对路径及目录浏览过程进行监测。

　　Burp同样可以作为一款代理软件来使用;跟ZAP类似，只要在FoxyProxy上进行相应设置即可。启动Burp(你会需要安装Java)，然后将你的浏览器指向要访问的目标地址。通过WebGoat，我们能够得到关于被称为访问控制漏洞--规避路径访问控制计划的宝贵经验。右击目标地址的URL(http://localhost/WebGoat/attack?Screen=17&menu=200)，将其添加到Burp左侧的信息格中并选择将其发送至中继器中。现在转至中继器选项卡并修改Backdoors.html条目以使其将文件参数提交至BackDoors.html..\..\..\..\..\..\..\..\..\..\windows\win.ini。然后点击go按钮。

　　图四清楚地表明，我们已经可以对主机系统中的win.ini文件进行直接访问。

　　图四 - Burp>

　　如果大家使用的是基于Windows系统的网页服务器，攻击者显然会使用一种危害性更强的字符串(例如SAM)进行攻击。

OWASP 2016亚洲�