如果您使用Burp Suite来测试您的网站,则可能有某种方式供用户登录 - 而beplay体育能用吗且,它比填写用户名和密码并点击提交更为复杂。打扫扫描仪始终能够查找和使用简单的登录表单,但是您现在可以录制更多涉及的登录过程,并且它将播放录音以进行身份验证,从而使其通过它来测试所有网站。
BURP扫描仪的较旧版本只会查看网站的原始HTML以识别登录表单,但无法在现代网站上看到使用JavaScript来呈现其内容的登录名。beplay体育能用吗BURP扫描仪的较新版本使用Chromium渲染该站点,执行JavaScript以将网页视为用户。beplay体育能用吗记录登录序列,可以让Burp扫描仪模仿用户的操作,并完全像铬一样与登录过程进行交互。
大多数网站都会隐藏未经验证的用户的许多有趣功能,许多站点将具有多种用户分类(例如用户,管理员,超级管理员等)。登录以善意的用户出现,对于扫描仪彻底测试网站的能力至关重要。beplay体育能用吗
网站之间的登录机制差异很大,这对于自动扫描仪很难处理beplay体育能用吗
让我们花一分钟的时间回顾一下,讨论如何无需录制的登录顺序即可登录网站。beplay体育能用吗这就是Burp扫描仪用于处理所有登录的方式,如果您不提供录制的序列,它仍然会表现出来。
尝试登录时,第一步是在应用程序中找到登录表单。这不是太棘手了,因为我们可以寻找类似的东西<输入类型=“密码”>
在HTML中,由于网站没有理由不使用密码字段上的密码类型。当然,我们还会找到要求密码的注册,因此,一旦找到了一些候选表格,Burp Suite就会获得一个简单的启发式,以确定哪个是登录名:
- 与可能有两个的注册相比,选择最少的密码字段的表单,因为登录可能只有一个密码字段。
- 如果有多种形式具有相同数量的密码字段,则登录表格将是具有较少文本字段的表单 - 注册可能会要求提供其他信息,例如您的名称或电话号码。
- 作为决胜局,请考虑
表格上的字段 - 同样,登录可能比注册的选项更少。
- 如果所有这些都是相同的,那么表格可能是相同的,只是在网站的不同部分上,因此我们可以使用任何一个。
一旦找到表格,我们如何进入?我们可以直接去蛮力,但这似乎是浪费时间和资源。前记录的登录,Burp Suite可以让您指定用于使用的用户名/密码凭据,并在找到它后将其插入表格中。但是,如果表格需要一些额外的信息,该怎么办?考虑到一些启发式线索,这需要猜测 - 例如,想出看起来像合法电子邮件的内容并不难。但是,该表格仍然可以通过要求土星的卫星数量或Metallica的“寻求和销毁”(当然是扫描仪的第一派对国歌)来使扫描仪脱颖而出。
如果该过程分为多个页面,该怎么办?一个很好的猜测可能是在第一页上输入用户名,而在第二页上输入密码,但是如果我们被要求在这两个之间提供出生日期,这将失败。Add in the increasing popularity of SSO services (we’re talking about “Log in with Google”, “Log in with Microsoft” et al.) and the chance for complications makes it untenable for the Scanner to rely on the same login strategy for every website.
记录您的登录名,让扫描仪知道在您的网站上该怎么做beplay体育能用吗
该解决方案是可记录的登录序列。我们捕获了真实用户执行的操作,然后扫描仪可以在需要登录时重播它们。这意味着我们可以处理外部SSO提供商,多阶段表单,并包括任何任意信息 - 如果我们不再重要必须使用用户名登录,然后是Google,然后是Microsoft,然后提供约80年代的鞭毛金属琐事。只要登录过程是一致的,我们就可以每次执行它。
我们很幸运能在Portswigger上有一些非常有才华的开发人员,他们为Chrome扩展而搅打了登录并将JSON中的beplay官网可以赌序列导出到剪贴板上。一旦被捕获,JSON文本就可以简单地粘贴到Burp Suite中,并根据需要播放它 - 详细说明Burp Suite专业人士和Burp Suite Enterprise Edition用户可以在支持中心可用。
附带说明,Burp Suite导航录音机不仅限于登录,还可以记录任何类型的用户交互。例如,如果您找到了XSS您可以使用录音机捕获和播放导致漏洞的序列。
Burp扫描仪通过其基础铬浏览器重新登录
正如突出显示的Alex Borshik关于浏览器驱动扫描的博客文章,Burp Suite使用DevTools协议与它用于驱动扫描的铬浏览器进行通信。在决定如何重播登录时,有几种方法要考虑。例如,在单击元素时,我们可以与WebDriver相似地工作,WebDriver使用查询选择器来定位元素,然后派出单击事件。beplay体育能用吗这主要是扫描仪在爬网和审计的“普通”部分中的工作方式。
但是,对于记录的登录,我们想尽可能地模仿用户采取的动作。DevTools具有一个本机调度调查,相当于用户实际移动鼠标并在某些给定的坐标处单击屏幕。这引起了许多并发症,因为现在我们依靠知道元素的确切位置,这些位置很容易在录制和重播之间改变,并且可能会受到屏幕宽度的影响;我们还需要确保我们不会误以为重叠的元素。制定在所有网站上持续工作的策略很难,但是我们尝试了很多技术,我们对结果感到非常满意。beplay体育能用吗
我们正在努力处理尽可能多的登录
由于扫描仪只是采用用户执行的操作,并每次需要登录时都重新重播它们,因此它对每次相同的登录过程都非常有效。但是,如果本网站每次都beplay体育能用吗要求使用不同的密码数字,或者需要两因素身份验证代码,或者需要解决验证码,则无法预先记录正确的行为,因此记录的登录名无法正常工作。服务器还可能检测到可疑活动并锁定帐户,或者抛出额外的“证明您不是机器人”,而这些登录登录中不存在。
另一个困难是网站使用弹出窗口作为登录过程的一部分。beplay体育能用吗在现有的实施中,我们只能使用DevTools与Chromium中的单个帧进行交谈,因此,当打开第二个选项卡或第二个窗口时,我们将无法使用它。如果您一直在使用录制的登录名,那么您可能会遇到错误消息“当前不支持带有弹出窗口的录制登录序列” - 但这是我们认为我们可以解决的问题,因此请观看此空间。
记录的登录是Burp Suite的强大补充,将变得更加
记录登录的推出确实取得了成功。很高兴听到那些从扫描中获得更多报道的人,我们一直在努力解决向我们报告的问题。除了上述弹出窗口外,你们中的一些人报告了登录时间良好一段时间,然后在扫描过程中断开。下一个重大改进将是稳定重播,尽可能稳定地登录扫描仪。为了跟上我们正在与扫描仪一起工作的所有其他很酷的东西,您可以查看我们的2021路线图。
特别感谢Scanner团队的Dave Paterson,他为这篇文章提供了许多材料。