三位一體的漏洞分析方法 web應用安全測試方法

本文**烏雲知識庫

節選自：

• 使用常見的漏洞掃瞄器 • 自動fuzz，填充各種攻擊性資料 • 業務邏輯混淆，導致服務出錯

• 侷限： • 難以處理高互動式應用 • 只能發現暴露給使用者（搜尋引擎）的鏈結，難以覆蓋100%的業務鏈結 • 解決方法：引入半被動式漏洞分析方法 • 在人工未參與的情況下，50%以上的web應用系統存在高危漏洞

http（s）業務流量錄製與重放掃瞄

手工修改業務資料流

檢測邏輯漏洞： •水平許可權繞過 •訂單修改 •隱藏域修改

• 從日誌中獲取url記錄

1. fiddler的url日誌

2. 獲取apache、nginx、tomcat的access日誌

3. 從旁路映象中提取url日誌（安全人員不用再被動等待應用的上線通知）

從fiddler2、 burpsuite 匯出url日誌再匯入到漏洞掃瞄器掃瞄

2.獲取apache、nginx、tomcat的access日誌

從旁路映象中提取url日誌（安全人員不用再被動等待應用的上線通知）如：jnstniffer、 360鷹眼、各大it公司等

• 從旁路映象中獲取url列表，能高效地檢出大量的漏洞，不需要運維人員通知，便可以獲知業務系統的上線情況並執行漏洞掃瞄任務。

- 侷限 ① 時間滯後/token: 流量重發時，不一定能100%重現當時的業務流程及出現的bug。 ② 依然難以覆蓋100%的業務鏈結，存在孤島頁面。（正常資料流不觸發） ③ 漏洞檢測（防禦）技術滯後於攻擊技術，無法解決0day漏洞 - 解決方法：引入全被動式漏洞分析

國外產品：nessus pvs被動掃瞄

• webpvs的優點： • 雖然依然難以覆蓋100%的業務鏈結，但是能覆蓋100%已經發生的業務鏈結。 • 能與黑客同步發現各種漏洞 • 由於http協議是固定，因此能夠根據回包情況發現0day攻擊。