使用Burp Suite审核和利用电子商务应用程序GydF4y2Ba

在Pobeplay官网可以赌rtswigger，我们定期针对流行的Web应用程序的内部测试床进行预发行的BURP套件，以确保其对现实世界网站的有效性非常有效。beplay体育能用吗最近，我们一直在测试Burp SuiteGydF4y2BaMagentoGydF4y2Ba，一种流行的开源电子商务解决方案。使用纯粹的自动化功能，我们很快在Magento样本站点“ Luma”中发现了许多SQL注入漏洞。这篇文章将提供一个逐步的步行，展示我们如何使用Burp的自动爬网和扫描发现漏洞，使用中继器对其进行验证，并最终使用Intruder发射基于布尔的盲注攻击来倾倒该漏洞后端数据库的内容。GydF4y2Ba

作为测试BURP功能的一部分，我们首先绘制了应用程序。在此测试中，我们使用了GydF4y2Baburp蜘蛛GydF4y2Ba结合Burp的会议处理规则，将蜘蛛“ Luma”。GydF4y2Ba

蜘蛛蜘蛛网后，我们能够转移到测试阶段。我们从目标“站点地图”选项卡中积极扫描了整个应用程序。GydF4y2Ba

打扫扫描仪GydF4y2Ba产生了许多问题，最著名的是许多问题GydF4y2BasqliGydF4y2Ba问题。在检查了“咨询”，“请求”和“响应”选项卡之后，下一步是手动验证问题，以确保扫描仪正确报告漏洞。GydF4y2Ba

我们用了GydF4y2BaBurp RepeaterGydF4y2Ba验证SQL注入问题。中继器工具允许您重复更改和重新提交相同的请求，并查看响应。我们使用了与我们的教程页面中使用的方法类似的方法。GydF4y2Ba使用BURP通过SQL特异性参数操作检测SQL注入GydF4y2Ba”验证扫描仪的发现。我们使用包含ASCII命令的计算表明该应用程序将输入评估为SQL查询。GydF4y2Ba

我们能够使用基于布尔的盲注射来丢弃数据库。例如，以下有效载荷将告诉您用户名是否以'm'开头：GydF4y2Ba

可以使用GydF4y2Ba打击者GydF4y2Ba。以下屏幕截图显示了如何使用此有效负载来列举数据库的用户名。GydF4y2Ba

在入侵者“位置”选项卡中，我们在有效载荷中添加了两个插入点。我们还将攻击类型设置为“群集炸弹”。此攻击类型使用多个有效载荷集，依次通过每个有效负载集进行迭代，以便测试有效负载组合的所有排列。GydF4y2Ba

我们配置了第一个有效载荷，以使用长度为0-20的下划线字符。这使我们能够以一位的间隔在第二个有效载荷中测试每个字符。例如：GydF4y2Ba

在第二个有效载荷中，我们使用了一个人可能希望在典型用户名中找到的字符。GydF4y2Ba

我们按长度和GREP对结果进行排序，与仅在应用程序的正响应中发现的单词匹配。结果表显示了我们能够从数据库中提取的用户名，以及下划线如何允许我们更改第二有效负载集的位置；GydF4y2Ba

样本站点中的漏洞构成了两个关键威胁 - 开发人员可能无法完全删除样本内容，甚至更糟的是，它们可能模仿其不安全的编码实践并创建高度可利用的商店。GydF4y2Ba

我们向2015年12月15日向Magento安全团队报告了这种脆弱性，提供了ASCII有效载荷和数据库转储作为概念验证。Magento安全团队对我们的报告迅速做出了回应，GydF4y2Ba修补了漏洞GydF4y2Ba2016年1月20日，提供了一个宽敞的错误赏金。GydF4y2Ba

这个GydF4y2Ba再次显示GydF4y2Ba通过一系列简单的步骤，Burp的扫描仪甚至可以在非常流行的Web应用程序中发掘漏洞。beplay体育能用吗GydF4y2Ba

SQL注入GydF4y2Ba 赏金GydF4y2Ba 0天GydF4y2Ba 扫描仪GydF4y2Ba

利亚姆·泰·霍根（Liam Tai-Hogan）GydF4y2Ba

@Metalf0xGydF4y2Ba