原文地址:http://drops.wooyun.org/web/5154

0x00 前言

節選自： http://www.owasp.org.cn/OWASP_Conference/owasp-20140924/02OWASPWeb20140915.pdf

• 4.1 ?主動式（全自動 ）：Web2.0、交互式漏洞掃描?
• 4.2 ?半自動式漏洞分析：業務重放、url鏡像，實現高覆蓋度?
• 4.3 ?被動式漏洞分析：應對0Day和孤島頁面

0x01 主動式（全自動 ）Web掃描?

? 使用常見的漏洞掃描器? ? 自動fuzz，填充各種攻擊性數據? ? 業務邏輯混淆，導致服務出錯?

? 局限：? ? 難以處理高交互式應用? ? 只能發現暴露給用戶（搜索引擎）的鏈接，難以覆蓋100%的業務鏈接? ? 解決方法：引入半被動式漏洞分析方法? ? 在人工未參與的情況下，50%以上的Web應用系統存在高危漏洞?

0x02 半自動式漏洞分析：業務重放+url鏡像，實現高覆蓋度?

1. 方法一：業務重放?

• 測試過程使用 burpsuite、fiddler： ?

1. HTTP（S）業務流量錄制與重放掃描?
2. 手工修改業務數據流?
3. 對手機APP也適用?

? 檢測邏輯漏洞：? ?水平權限繞過? ?訂單修改? ?隱藏域修改?

2. 方法二： 手工記錄

??從日志中獲取url記錄?

1. Fiddler的Url日志?
2. 獲取Apache、Nginx、Tomcat的access日志?
3. 從旁路鏡像中提取url日志 （安全人員不用再被動等待應用?的上線通知）?

1. 從Fiddler2、 burpsuite?導出Url日志?再導入到漏洞掃描器掃描

2.獲取Apache、Nginx、Tomcat的access日志?

• 360-日志寶?
• Splunk?
• 各種日志審計系統?

1. 從旁路鏡像中提取url日志?（安全人員不用再被動等待應用?的上線通知）? 如：jnstniffer、 360鷹眼、各大IT公司等

? 從旁路鏡像中獲取url列表，能高效地檢出大量的漏洞，不需要運維人員通知，便可以獲知業務系統的上線情況并執行漏洞掃描任務。

0x03 半自動式漏洞分析：業務重放、url鏡像，高覆蓋度

? - 局限? ① 時間滯后/token: 流量重發時，不一定能100%重現當時的業務流程及出現的bug。? ② 依然難以覆蓋100%的業務鏈接，存在孤島頁面。（正常數據流不觸發）? ③ 漏洞檢測（防御）技術滯后于攻擊技術，無法解決0day漏洞? - 解決方法：引入全被動式漏洞分析?

0x04 全被動式漏洞分析：?

? 國外產品：Nessus PVS被動掃描?

全被動式漏洞分析（不發送任何數據包)?

• 全被動式掃描VS主動式漏洞掃描器? 相同點：都是根據雙向數據包的內容，判斷漏洞是否存在? 不同點：? 檢測方式：被動式掃描不需要聯網，不會主動發出url請求，也不發出任何數據包 PVS和IDS的區別：? ? 更關注漏洞感知，而不是入侵，如頁面出現sql錯誤信息，可觸發pvs報警，但不會觸發ids報警。? ? 報警結果不一樣：pvs按照漏洞的風險等級，ids按照黑客的攻擊手段報警? ? 雙向分析數據報文? ? 更關注于web應用，OWASP TOP10的攻擊手段? ? 按攻擊影響報警（分析雙向報文），而不是按攻擊手段去報警（分析單向報文） Nessus的PVS只是一個思路，它專注及網絡及主機漏洞，對Web應用的檢測能力有限，需要重新設計一個針對web的PVS出來:WebPVS，同步接受用戶提交的所有業務請求，通過掃描引擎識別請求，一旦發現惡意請求或者該請求返回數據，觸發報警處理

? WebPVS的優點：? ? ? 雖然依然難以覆蓋100%的業務鏈接，但是能覆蓋100%已經發生的業務鏈接。? ? 能與黑客同步發現各種漏洞 ? 由于HTTP協議是固定，因此能夠根據回包情況發現0day攻擊。?