BurpSuite

HTTP协议抓包改包

（1）浏览器设置代理的配置：

情景：一个用必应去搜索李连杰的请求，我要从中截断，不让搜索继续。

浏览器访问：http://cn.bing.com/

Burp Suite设置：

拦截HTTPS的请求包

http和https是分开的，对http使用了代理并不代表对https也使用了代理，要配置浏览器让其对https也使用同样的代理。

当然有些浏览器提供“为所有协议使用相同代理”的选项（比如这里的Firefox），那直接钩选这个选项也可以。

（1）确认已将浏览器配置成burpsuite代理模式，然后访问 http://burp/ 界面如下：

BurpSuite漏洞扫描

1.保持抓包功能一直开启

这里应该不用赘述了，只要听说过burpsuite的少年肯定知道如何开启监听功能。

Scanner标签下有五个功能，下面分别进行介绍：

（1）Issue activity问题清单

这里记录了问题发生的顺序，时间，问题类型，url地址等。从截图中我们能够看到burpsuite提供的扫描功能能够扫出以下几个问题：

3）Living scanning在线扫描

通过“Living scanning”页签可以设置扫描策略，即是否在监听时发现站点就进行扫描，这里默认的开关是关。

对burpsuite的扫描进行设置

这个倒不算什么要紧的问题，只是在测试的过程中一定要小心别把监听和代理关掉

（3）照比成熟的商业化扫描器差距太大

鉴于Burp Suite的定位，并不能指望能和AWVS、AppScan等成熟的商业化扫描器平分天下，但是Burp Suite的扫描结果并不能与前面两位大侠同日而语。但是如果出门手头没有扫描器，或者是需要轻载扫描的时候，一个Burp Suite就够了。

模糊测试XSS等漏洞

此处讲的是如何使用Burp Suite模糊测试SQL注入、XSS、命令执行漏洞，今天我将使用打包的套件攻击工具对bwapp应用程序进行模糊测试，手动执行此测试是一个耗时的时间，可能对任何一个渗透性测试的安全人员来说都是无聊的过程。

模糊测试在软件测试中起着至关重要的作用，它是一种工具，用于通过将一组称为模糊的部分地址输入注入到要测试的应用程序的程序中来查找错误，错误，故障。 漏洞检查工具采用文件格式的结构输入来区分有效和无效的输入。漏洞检查工具最适合识别sql注入，缓冲区溢出，xss注入和OS命令注入等漏洞。

模糊测试XSS

开始利用Burp Suite，以拦截请求，然后将拦截的数据发送到攻击工具的服务器。

Burp suite攻击工具包含用于测试xss注入的模糊字符串，因此选择fuzzing -xss，然后单击ADD选项卡将此字符串加载到简单列表中，如下图所示，最后点击开始攻击。

Burp suite攻击工具包含测试命令注入的模糊字符串，因此选择fuzzing full，并单击ADD选项卡将该字符串加载到简单列表中，如下图所示，最后点击开始。

【解决方法】

设置User options——Display——HTTP Message Display的Font为中文字体，比如宋体、微软雅黑等。然后设置Character Sets为Use a specific character set:UTF-8(这里吐槽下，windows默认选择的是Recognize automatically based on message headers，Mac则默认就是UTF-8，当时没发现这点，一直以为是字体原因 =.=！)，具体可见下图：

Happy，burpsuite中文乱码问题解决。

Acunetix

“Acunetix以其尖端的漏洞扫描技术在过去12年来一直处在Web应用程序安全的尖端， 新版本11，我们将针对Web应用程序漏洞的主动扫描与缓解活动的优先级组合在一起。 这种集成可帮助安全团队获得所需的智能，从而更高效地工作并降低成本。”

Acunetix 11的新功能

（1） 内置漏洞管理

最新的集成漏洞管理功能可以对所有目标中的聚合漏洞数据进行审查，优先考虑安全风险，从而让用户对业务安全状态的了若指掌，同时也增强了遵从性。

新的内置漏洞管理功能包括：
所有目标（要扫描的Web应用程序）现在以其各自的设置存储在Acunetix中，并且可以轻松地重新扫描。
目标显示在一个界面中，并按业务的重要程度进行分类，使您可以轻松地关注最重要的资产。
漏洞也可根据目标公司业务的重要性进行优先选择。
合并 表存储在中央界面中。
用户可以在“目标 表”，“扫描 表”和“所有漏洞” 表之间进行选择。

（2）基于 络的用户界面

Acunetix 11的用户界面从头开始重新设计，提高了软件的可用性和可管理性。极简主义的设计注重最广泛使用的功能和重要的功能，消除了多余的杂乱屏幕。由于界面现在基于Web，因此用户不需考虑所使用的操作系统使用，而且允许多个用户从浏览器访问。

（3）基于角色的多用户系统

Acunetix 11允许创建多个用户帐户，可以分配一个特定的目标组。根据分配给用户的权限，用户可以创建，扫描和 告分配给他的目标。这对于需要多个用户帮助保护其资产的大型企业尤其重要。

Acunetix 11发起扫描

注意：不要在没有获取到恰当的认证之前扫描一个 站!

web服务器会显示你发起扫描的IP和所有由Acunetix制造的攻击。如果你不是这个站点或者是某个 络应用的唯一管理员，请确保在发起一个扫描前通知其他管理员知道你将要扫描此 站。有些类型的扫描会导致 站崩溃，如果有需要请尝试重启你的 站。

当你配置好你需要扫描的目标之后，你需要准备好发起一个扫描来辨识你的 站应用存在的任何潜在的安全漏洞。这里有如下许多方法来开始一个扫描：

1.从Target清单中选择一个Target来扫描，点击扫描按钮：

3.从扫描的页面中，点击新建一个扫描。根据 页的提示你需要选择一个Target来作为扫描对象。
当你选择了多个Target来扫描的时候，需要配置扫描选项来用于扫描。

AppScan

工作原理

对一个综合性的大型 站来说，可能存在成千上万的页面。以登录界面为例，至少要输入用户名和密码，即该页面存在两个字段，当提交了用户名和密码等登录信息， 站需要检查是否正确，这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞，可能成为被攻击对象。AppScan正是通过按照设定策略和规则，对Web应用进行安全攻击，以此来检查 站是否存在安全漏洞。

在使用AppScan的时候，通过配置 站的URL 址，AppScan会利用“探索”技术去发现这个 站存在多少个目录，多少个页面，页面中有哪些参数等，即探索出 站的整体结构。通过“探索”可确定测试的目标和范围，然后利用AppScan的扫描规则库，针对发现的每个页面的每个参数，进行安全检查。

简言之，APPScan的工作原理如下：

1）通过“探索”功能，利用HTTP Request和Response的内容，爬行出指定 站的整个Web应用结构；

2）AppScan本身有一个内置的漏洞扫描的规则库，可随版本进行更新。从探索出的url中，修改参数or目录名等方式，构造不同的url对照组向服务器发送请求or攻击；

3）根据HTTP Response返回的内容，和正常请求所返回的响应作对比，是否产生差异性，而这种差异性又是否符合扫描规则库的设定规则，以此来判断是否存在不同类型的安全漏洞；

4）若APPScan可判断存在安全漏洞，则对这些漏洞的威胁风险给出说明，进行严重程度提示，并给出修复的建议和方法，以及漏洞发现的位置提示。

漏扫操作流程

1.启动软件进入主界面—>选择创建新的扫描：

1）若登录方法选择“记录”，则可通过界面右侧的“记录（R）”按钮打开APPScan内置浏览器并输入登录信息，关闭内置浏览器后，AppScan即可记录该用户名和密码，扫描的时候相当于是已登录此账户的状态进行扫描；
2）若选择“提示”，则根据 站扫描探索过程中需要登录会提示输入登录信息，人工输入正确的账 信息之后继续扫描；
3）若选择“无”，则不需输入登录账户。

1）全面自动扫描：探索的同时，也进行攻击测试；
2）仅自动“探索”：自动探索 站的目录结构，可被测的链接范围及数目，不作实际攻击测试；
3）手动探索：先通过AppScan内置浏览器打开被测 站，手动点击不同的目录页面，然后AppScan记录之；
4）稍后启动扫描：先把此次 站的扫描配置进行保存，后续若想扫描的时候再继续操作。

漏扫注意事项

【1】AppScan扫描过程中，会向服务器发送较多请求，会占用一定的正常请求访问的资源，可能导致一些垃圾数据，建议只在本地测试环境执行；

【2】使用AppScan之前，请提前备份好数据库的数据，假若扫描致使服务器异常关闭，则需重启服务；若扫描产生的请求数据过多，或Web程序出现异常，可能需要从备份数据恢复还原。一般情况下，正常扫描Web程序很少可能出现Web服务异常的情形；

【3】AppScan扫描配置时，有区分为Web Application（Web应用程序）和Web Service（Web服务）的扫描方向。若只对Web程序本身的漏洞检测，就选Web Application扫描即可；若选择Web Service扫描，则需提前告知服务器维护的负责人，建立异常情况发生的处理机制，最好避开访问请求的高峰or办公人员集中使用的时间，比如下班后自动扫描；

【7】结果分析（Analysis）在APPScan扫描结果基础上，根据不同的严重级别进行排序、手工+工具验证的方式对漏洞验证可靠性，排除误 的情况，并尽可能找出漏 的情况，把本次扫描结果汇总，对以上已验证存在的安全漏洞排列优先级、漏洞威胁程度，并提出每个漏洞的修复建议然后，再把此次安全漏洞整理的 告提交给项目负责人，由负责人决定哪些漏洞转给开发工程师修复，而后再由安全测试工程师进行回归验证修复的状况。