Web应用安全漏洞检测与分析
1. 使用Burp Suite查看和修改请求
Burp Suite是一个功能齐全的Web应用测试套件,它不仅是一个简单的Web代理,还具备请求转发器、请求自动化、字符串编码和解码、漏洞扫描器(专业版)等实用功能。以下是使用Burp Suite代理拦截和修改请求的操作步骤:
1. 启动Burp Suite,并将浏览器配置为使用其作为代理。
2. 浏览到http://192.168.56.102/mutillidae/。
3. 由于Burp代理默认启用拦截功能,它会捕获第一个请求。此时需前往Burp Suite,在“Proxy”选项卡中点击“Intercept is on”按钮。
4. 浏览器会继续加载页面。加载完成后,使用“Toggle Security”将应用程序的安全级别设置为1(Arrogant)。
5. 从菜单中导航至“OWASP Top 10 | A1 – SQL Injection | SQLi – Extract Data | User Info”。
6. 在“Name”文本框中输入user<>(包含符号)作为用户名,在“Password”框中输入secret<>,然后点击“View Account Details”,会收到一个提示,告知输入了可能对应用程序有害的字符。
7. 已知表单中不允许使用符号,且这是客户端验证,因为代理的HTTP历史记录选项卡中未记录任何请求。点击Burp Suite中的“Intercept is off”启用消息拦截,尝试绕过此保护。
8. 发送有
