Web应用安全之漏洞测试技术(4)

截屏显示了一个页面的解析信息。URL Encoded下面用椭圆括住的数据是用于user_login和user_password的变量。 Parsed下面用圆圈包围的数据是用于地址和站点cookie的。

需要注意的是，上面圈起来的是用于user_login和user_password的变量值，即‘) OR 1=1--。接下来需要注意的是，地址已经从http://localhost:3000（主页）变为http://localhost:3000/lobby/games，看上去用户已经成功登录了。这又意味着什么呢？ 它意味着你的站点是易受攻击的。因为‘) OR 1=1--是一个SQL字符串，所以站点容易受到SQL注入的攻击。使用Next按钮滚动结果，并查找那个值。注意，这里的地址保持为http://localhost:3000。由此结果可知，插入这种类型的字符串不会导致成功的登录尝试，所以站点不易受这种类型的攻击的影响。

Paros Proxy

进行安全性测试的时候，另一个常用的工具是Paros Proxy。 就像WebScarab一样，Paros也能捕获浏览器和服务器之间的会话来用于分析。您还可以使用它来检查站点中的安全漏洞。为了运行Paros，您必须更改浏览器的代理设置所使用的端口号。对于WebScarab，您使用的端口号是8008；但是运行Paros之前，需要将这个端口号改为8080，否则Paros就无法正常工作。对于本文来说，我们使用WebGoat——另一款来自OWASP的安全工具。就像Hacme Casino一样，WebGoat使用Tomcat服务器作为本地主机。对于本文来说，使用Paros扫描WebGoat所找到的漏洞比Hacme Casino发现的安全漏洞要更多一些。

使用多个扫描器

凡是对自己站点进行过测试的人可能都知道，同一个站点，使用不同的扫描器会得到不同的扫描结果。这就是为什么专业渗透测试人员工作中会使用多种工具的原因。
更改端口之后，打开Paros，并执行下列步骤：

1. 在WebGoat文件夹中，双击WebGoat.ba以启动Tomcat。

2. 打开浏览器，然后在地址栏输入http://localhost/WebGoat/attack。

3. 在用户名和口令中输入guest。

4. 单击Start WebGoat。

现在，返回到Paros，并开始扫描WebGoat站点。当然，您也可以通过在地址栏输入相应的地址来测试您自己的网站。

在Paros中，展开Sites文件夹，您就会在文件树中看到http://localhost。继续展开这个文件夹以调出WebGoat。高亮显示WebGoat，然后单击Analyse Scan。这样就会马上开始扫描这个站点。对于大型站点来说，所需时间会较长，但是扫描这个站点仅需几秒就够了。一旦启动扫描，底部窗格会自动变为Alerts选项卡。如图7所示。当扫描完成时，在通知您报告所在位置的弹出窗口中单击OK按钮。

图 7. 查看警告信息