採用 代理伺服器 (Proxy Server) 的方式,進行資料攔截分析,所以我們也會稱這些工具為 Proxy Tool 或 web debugging proxy。
著名工具
- Charles
- Burp Suite
- Fiddler
- Wireshark
- tcpdump
當然著名的工具不只這些,甚至每一項工具都有自己的特色。(這篇只介紹了Charles, Burp Suite,Charles跟Fiddler everywhere很像,或一樣。Burp 則是基於資安領域由 PortSwigger Web Security 所開發出的軟體,因此裡面提供工具及特點都跟滲透測試及攻擊 web 相關。)
介紹proxy tool
Wireshark 在2006 更名後(前身名為Ethereal)到現在還是非常熱門,不只是免費開源的軟體,它可以解析的東西非常詳細,針對協議,三方交握等訊息,DNS 都可以一一條列出來,是非常出色的網路封包分析工具
前面提到了每個抓包工具都有自己的特色跟優缺點,Wireshark 它的所得到的資料太底層,我們並不在意這些底層運作的資料,需要的是傳送請求及回應的詳細資料,屬於最上層的應用層,太多我們不需要的資料,反而需要過多的操作跟解析。
2.Burp
特點及功能
- HTTP Proxy — 可使用 Web 代理伺服器運行,並且位於瀏覽器和目標 Web 伺服器之間。允許攔截、檢查和修改在兩個方向上通過的原始流量。
- Scanner — Web 應用程式安全掃描器,用於掃描 Web 應用程式漏洞。
- Intruder — 可以對 Web 應用程式執行自動攻擊。提供了一種自定演算法及參數,生成惡意 HTTP 請求。Intruder 工具可以測試和檢測 SQL 注入、跨站腳本、參數篡改和易受蠻力攻擊的漏洞。
- Spider — 自動抓取 Web 應用程式的工具。把以把站台抓取下來
- Repeater — 可以用於修改對伺服器的請求,
重新發送並觀察結果。 - Decoder — 將已編碼的數據轉需要的格式。
- Comparer — 數據比較工具。
- Extender — 允許加載 Burp 擴展,使用自己的或第三方代碼提供的語法擴展 Burp 的功能
- Sequencer — 一種分析數據項樣本隨機性的工具。它可以用於測試應用程式的會話令牌或其他重要的數據項,如反 CSRF 令牌、密碼重置令牌等。
雜湊(hash)函式的應用
保護資料
常用在保護使用者輸入的密碼,就是常聽到的密碼在資料庫有沒以儲存明文
密碼輸入 abc 採用 hash 運算
sha1('abc')實際儲存資料是
a9993e364706816aba3e25717850c26c9cd0d89d確保傳遞真實的資訊
在網路傳輸資料時,將傳輸內容進行hash ,伺服器驗證這組 hash code ,確保資料在中間沒有被串改
這也稱
確保訓息完整性稱(Hash-based message authentication code , 縮寫HMAC)雜湊表
在上方以有簡單介紹,主要用途資料使用及儲存,更多用在資料搜索上的設計
傳輸錯誤校正
在傳輸協議上設計對應的 hash 檢驗,當傳送資料時比對計算hash code 比對不相同時為,傳輸內容有誤
這又稱
冗餘校驗檔案比對 (語音/圖片)
發行的軟體進行雜湊後,並把雜湊碼公布於網站,讓使用者自行比對安裝的為官方出廠沒被竄改過
也稱為
Checksum圖片進行hash 可以快速比對是否相同檔案
語音 影片,分割為很多小檔案進行hash 後可以進行 搜尋 批配是否有相同的部份
網路資源發行後進行hash 碼,配合子資源完整性 (Subresource Integrity ,SRI) 避免使用CDN時內容已被串改
<script src="https://example.com/example-framework.js" integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC" crossorigin="anonymous"></script>
https://ithelp.ithome.com.tw/articles/10247581 未看
沒有留言:
張貼留言