UploadScanner在Web安全測試中的使用研究

張家鋼 朱潼昕 王海松

摘? ?要：瀏覽器/服務(wù)器模式是目前廣泛采用的服務(wù)模式，在多數(shù)行業(yè)中大量存在。服務(wù)器端應(yīng)用程序提供的文件上傳功能是一個(gè)常見的功能，但不可避免地存在被入侵的危險(xiǎn)。Burp Suite中的擴(kuò)展功能之UploadScanner可以針對(duì)性地測試該服務(wù)器是否存在文件上傳漏洞，既方便網(wǎng)站管理員的維護(hù)工作，也有利于促進(jìn)本單位的信息安全。

關(guān)鍵詞：Web安全? Burp suite? UploadScanner

Absrtact： Browser/server mode is a widely used service mode， which exists in many kinds of industries. File upload function provided by server-side application is a common function， but it is inevitable to be invaded. The uploadscanner of the extended function in burpsuite can specifically test whether there is a file upload vulnerability in the server， which is not only convenient for the maintenance of the website administrator， but also conducive to promoting the information security of the unit.

Key Words： Web security; Burp suite; Uploadscanner

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，各行業(yè)均將自己的業(yè)務(wù)Web化。Web技術(shù)的應(yīng)用在給企業(yè)帶來便利的同時(shí)，也帶來了很大的風(fēng)險(xiǎn)。究其原因，主要是許多Web應(yīng)用程序缺乏對(duì)用戶輸入內(nèi)容的過濾。即Web應(yīng)用程序執(zhí)行了用戶特殊形式的輸入，獲取了指定的內(nèi)容或特殊的權(quán)限。

1? Web安全測試

Web安全測試，是對(duì)網(wǎng)站進(jìn)行測試，發(fā)現(xiàn)其中存在的漏洞和隱藏的風(fēng)險(xiǎn)，形成測試報(bào)告，提供給網(wǎng)站管理者或運(yùn)營者。網(wǎng)站管理者根據(jù)測試報(bào)告，對(duì)網(wǎng)站進(jìn)行漏洞修補(bǔ)，使網(wǎng)站更加安全。Web安全測試分為白盒測試和黑盒測試。白盒測試是在知道目標(biāo)網(wǎng)站源碼的情況下對(duì)其進(jìn)行測試，類似于源碼分析。黑盒測試僅已知網(wǎng)站的網(wǎng)址，模擬惡意人員對(duì)網(wǎng)站進(jìn)行破壞。無論白盒測試或是黑盒測試，均需經(jīng)過網(wǎng)站管理方的授權(quán)。

常見的Web安全漏洞有：SQL注入、XSS跨站腳本、CSRF跨站請(qǐng)求偽造、XXE漏洞、SSRF服務(wù)端請(qǐng)求偽造漏洞、文件包含漏洞、文件上傳漏洞、文件解析漏洞、遠(yuǎn)程代碼執(zhí)行漏洞、越權(quán)訪問漏洞、目錄瀏覽漏洞和任意文件讀取/下載漏洞、struts2漏洞、JAVA反序列化漏洞等。

2? Burp Suite擴(kuò)展功能之UploadScanner

當(dāng)利用特殊工具探測到了該網(wǎng)站存在漏洞之后，即可利用該漏洞。不同的漏洞有不同的利用工具，不再一一列舉。本文只討論文件上傳漏洞。

Burp Suite是用于測試Web應(yīng)用程序的集成平臺(tái)，包含了許多功能，基本功能不再贅述。擴(kuò)展功能提供了強(qiáng)大的API接口，通過使用腳本語言開發(fā)額外的功能，許多擴(kuò)展功能是用Python編寫并且可通過Burp的應(yīng)用商店免費(fèi)提供使用。

網(wǎng)站的文件上傳功能是一個(gè)被低估的安全威脅。一般的自動(dòng)或半自動(dòng)安全測試工具在遇到文件上傳時(shí)不能調(diào)整其上傳途徑，達(dá)不到利用上傳漏洞的目的。利用文件上傳漏洞需要各種技術(shù)，包括文件擴(kuò)展名、文件內(nèi)容類型和內(nèi)容的關(guān)聯(lián)等。此外，文件內(nèi)容必須通過服務(wù)器端檢查或修改，例如圖像大小要求或調(diào)整大小操作。Burp Suite中的擴(kuò)展功能之UploadScanner通過對(duì)上傳文件后殘存的內(nèi)容重建，達(dá)到規(guī)避服務(wù)器端檢查過濾的目的。

3? UploadScanner在Web安全測試中的使用

本文利用Metasploitable集成化安全測試環(huán)境的DVWA平臺(tái)測試了UploadScanner的擴(kuò)展功能。

圖1所示為DVWA平臺(tái)中文件上傳功能的三種安全級(jí)別下的防護(hù)，可以看出不同的防護(hù)級(jí)別對(duì)上傳文件的屬性要求是不一樣的。low級(jí)別沒有任何限制，可以上傳任意文件。medium級(jí)別對(duì)文件類型和文件大小進(jìn)行限制。high級(jí)別對(duì)文件擴(kuò)展名和大小進(jìn)行限制。對(duì)于medium和high級(jí)別的限制，也可以進(jìn)行手工構(gòu)造上傳文件以繞過限制。

圖2所示為使用UploadScanner擴(kuò)展功能進(jìn)行自動(dòng)化上傳文件以達(dá)到可以獲取webshell的條件。通過測試，在三種防護(hù)級(jí)別下，分別上傳了39、11、6個(gè)內(nèi)含可回連腳本的文件。從數(shù)量上可以看出，隨著防護(hù)級(jí)別的提高，成功上傳的有效文件越來越少，但仍能達(dá)到文件上傳的目的。但以上過程也存在缺點(diǎn)，即上傳的文件數(shù)量較多，且文件名較長，容易引起網(wǎng)站管理員的注意。

4? 結(jié)語

通過本地搭建測試環(huán)境，驗(yàn)證了Burp Suite的UploadScanner擴(kuò)展功能，達(dá)到了預(yù)期效果，重點(diǎn)是其可以自動(dòng)化地完成能夠獲取webshell的文件上傳，對(duì)Web安全測試工作者起到一定的指導(dǎo)和便捷作用，促使網(wǎng)站管理者進(jìn)一步完善門戶網(wǎng)站建設(shè)，加強(qiáng)本單位的門戶網(wǎng)站安全。

參考文獻(xiàn)

[1] 趙星.Web漏洞挖掘與安全防護(hù)研究[D].中北大學(xué)，2016.

[2] 吳松澤.基于Web安全的滲透測試技術(shù)研究[D].哈爾濱師范大學(xué)，2015.

[3] 劉雅楠.Web前端攻擊及安全防護(hù)技術(shù)研究與實(shí)現(xiàn)[D].北京郵電大學(xué)，2017.