03 漏洞发现:使用 ZAP 查看和修改请求

Tamper Data 虽然已经能给测试过程提供很大的便利了,但是有时候,我们需要更加灵活的方法去修改请求,还需要一些其它功能,比如修改请求方法(GET 或 POST),保存request/response信息,供后期测试中其它工具使用。OWASP ZAP 不仅仅是一个Web代理器,它不仅可以拦截通信,还有很多其它功能,比如爬虫(之前的文章中提到过), 漏洞扫描,fuzzer,暴力破解等。它还有一个脚本引擎,用于构建自动化的任务,或者开发一个新的功能。这篇文章,我们先看一下它的Web代理,请求拦截,并在修改请求后发往服务器的功能。

实施方法

先根据前面讲过的内容,启动 ZAP ,配置浏览器代理,让 ZAP 监听浏览器请求和响应。

浏览器访问:http://192.168.150.144/mutillidae/

选择页面左边菜单栏第一个 OWASP Top 10 | A1 – SQL Injection | SQLi – Extract Data | User Info

Paste_Image.png

下一步是提高应用的安全等级,如下图所示,单击** Toggle Security ,把安全等级调整为 Security Level:1 ** (Client-side Security)。

Paste_Image.png

在安全等级1的情况下,点击登陆,输入用户名: test', 输入密码:password',然后点击登陆,查看相应提示信息,如下图:

Paste_Image.png

上图所示的提示信息,告诉我们,输入内容校验机制,发现了非法字符。图中的撇号(')就被检测到了,并且被应用的安全机制拦截了。

点击确定按钮,关闭告警窗口。

此时,我们查看ZAP中监听的请求历史,我们可以看到没有请求发出给服务器,这说明刚才的校验是一个客户端的校验机制,如此一来,我们可以通过代理拦截请求来绕过客户端的校验。

现在,启动请求拦截(这个功能在ZAP中成为断点),点击** break on all requests **按钮:

Paste_Image.png

下一步,我们使用合法的用户名和密码(test/password),再次点击login提交登陆请求。提交请求后,焦点会切换到ZAP,并弹出Break弹窗:

Paste_Image.png

上图所示的请求,就是我们刚刚在登陆页面发起的登陆请求,这个POST请求的参数中包含的用户名和密码,在这里可以修改成刚才不允许的包含非法字符的用户名和密码,然后点击发送按钮,将修改后的请求发给服务器,如下图所示:

Paste_Image.png

包含非法字符参数的请求发给服务器后,返回的错误信息如下图,这就说明,服务器端没有加对该异常的处理和校验:

Paste_Image.png

如果要关闭 ZAP 断点,再次点击之前的那个圆形按钮即可。

总结

这篇文章,我们使用 ZAP 的代理来拦截一个合法请求,修改为非法请求后,再发给服务器,触发异常响应。前面几部,我们开启了应用的安全保护来检测撇号(非法字符)。然后我们测试了几个参数,用来查看应用的校验情况。当告警窗口出现的时候,ZAP代理中没有像后台发送任何请求,基于此我们判断,应用的校验机制是客户端校验(如JavaScript校验)。然后基于以上信息,我们提交了一个合法请求,在ZAP代理截取了请求后,这就使得我们可以绕过客户端的校验。 通过修改请求参数,添加非法字符,构造恶意请求,发给服务器,返回错误响应。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,456评论 5 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,370评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,337评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,583评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,596评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,572评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,936评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,595评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,850评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,601评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,685评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,371评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,951评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,934评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,167评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,636评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,411评论 2 342

推荐阅读更多精彩内容