做web的安全測(cè)試也有些日子了，以前沒有到這個(gè)版塊來過，今天看了看版面上大家都在討論工具如何如何使用，而很少討論安全漏洞的原理，我就給大家潑潑涼水，談?wù)劰ぞ叩木窒蓿?h3>大家還在迷信工具么？。

    先說下掃描工具的原理：

    掃描工具可以看做由兩部分組成：爬蟲+校驗(yàn)機(jī)構(gòu)。爬蟲的作用是搜集整個(gè)被采集對(duì)象的鏈接，然后校驗(yàn)機(jī)構(gòu)對(duì)這些鏈接逐一進(jìn)行驗(yàn)證。

    然后說掃描工具的局限：

    局限1：掃描未必全面

    一個(gè)網(wǎng)站，能不能被掃描全面，很大程度取決于爬蟲搜集鏈接的能力。我做過爬蟲的測(cè)試，所以大致知道爬蟲的原理，就是對(duì)給定的入口地址發(fā)起請(qǐng)求，然后從返回的內(nèi)容中抽取鏈接，然后再請(qǐng)求抽取到的鏈接，如此反復(fù)。包含在HTML中的鏈接，很容易被抽取到，但是由js生成的鏈接，抽取的時(shí)候就有些難度了，由Flash生成的鏈接，更是難于被抽取到。此時(shí)有人想說圖片驗(yàn)證碼了吧？我們做測(cè)試可以要求網(wǎng)站開綠燈，暫時(shí)屏蔽驗(yàn)證碼，這個(gè)倒可以不考慮。目前ajax技術(shù)的流行，更讓爬蟲搜集鏈接的能力顯得捉襟見肘。所以這就暴露出了掃描工具的第一個(gè)局限，掃描未必全面。

    局限2：對(duì)屏蔽錯(cuò)誤信息的網(wǎng)站效果不好

    如果你覺得掃描不全面可以通過多分析和從不同的入口地址多測(cè)試幾遍可以克服的話，這個(gè)局限就稍微比上邊那個(gè)有點(diǎn)難度了。這個(gè)主要是“校驗(yàn)機(jī)構(gòu)”的局限，校驗(yàn)機(jī)構(gòu)的工作原理是對(duì)特定格式的鏈接或者特定格式的表單匹配特定的模擬攻擊用例，模擬攻擊。我們知道，攻擊是一個(gè)請(qǐng)求的過程，也就是一個(gè)request，而攻擊的結(jié)果怎么看？只能從response里看了。以SQL注入為例，當(dāng)發(fā)送一個(gè)1'這樣的參數(shù)值到后臺(tái)之后，如果返回頁面內(nèi)容中包含了SQLException，那么掃描工具就認(rèn)定它是一個(gè)SQL注入漏洞。但是如果網(wǎng)站設(shè)置了錯(cuò)誤頁面，在有異常發(fā)生時(shí)直接跳轉(zhuǎn)到一個(gè)錯(cuò)誤頁面，告訴你“出錯(cuò)啦！”，然后再?zèng)]其它信息，采集工具怎么判斷是否存在漏洞？難道你去跟研發(fā)人員說“麻煩您把錯(cuò)誤頁面去掉”嗎？要真說了，我們高傲的研發(fā)人員肯定不會(huì)給你好臉色的，

電腦資料

    局限3：對(duì)特定的場(chǎng)景不適合

    局限3跟局限2多少有些類似，但性質(zhì)不太一樣，局限3是指某些特定場(chǎng)景。掃描工具掃描bug的原理，1和2里敘述的差不多了，這里我們舉兩個(gè)例子吧，看了例子大家看看怎么用掃描工具來發(fā)現(xiàn)這倆漏洞，要是不能發(fā)現(xiàn)，那就是掃描工具的局限了。第一個(gè)：有個(gè)網(wǎng)站允許用戶注冊(cè)，用戶注冊(cè)后還允許用戶修改個(gè)人信息，但是修改個(gè)人信息的這個(gè)地方有個(gè)SQL注入漏洞。我們知道，一般修改個(gè)人信息的SQL大致是這樣的update [userinfo] set password='1111', email='abc@163.com' where uid='男孩子'，如果一個(gè)用戶修改自己密碼的時(shí)候把密碼設(shè)為了1111'--，這樣，如果存在SQL注入漏洞，所有注冊(cè)用戶的密碼都變成了1111。這里有漏洞嗎？有！但是工具能發(fā)現(xiàn)嗎？除非查看數(shù)據(jù)庫(kù)，否則根本發(fā)現(xiàn)不了這問題。再看第二個(gè)：站內(nèi)消息我們很多時(shí)候都用到，假設(shè)站內(nèi)消息存在XSS漏洞，那么A給B發(fā)了這么一段惡意的腳本，但是從A那邊看跟普通消息的發(fā)送是沒什么區(qū)別的，所以掃描工具就發(fā)現(xiàn)不了這個(gè)問題，除非再用賬號(hào)B來登錄進(jìn)行掃描。但是，這個(gè)看著簡(jiǎn)單，實(shí)際上操作起來卻比較難。你怎么知道掃描工具模擬攻擊的時(shí)候發(fā)消息給了B，而沒給C或者D或者E呢？所以這個(gè)時(shí)限起來也是不現(xiàn)實(shí)的。同樣道理的還有在外網(wǎng)提交了留言，到管理臺(tái)審核這種模式，都存在類似問題。

    以上只是列舉了3點(diǎn)，算是提醒大家多注意一點(diǎn)工具以外的事兒吧，測(cè)試這個(gè)東西，不是拿個(gè)工具就能搞定的。我說這些不是說大家以后不要用工具，而是要正確的用工具。一個(gè)測(cè)試申請(qǐng)?zhí)峤灰院�，�?yīng)該首先分析哪些地方可能是工具覆蓋不到的，把這些地方先人工檢查，剩下的再用工具做全站覆蓋掃描。

    ​