许多人都有这种印象:Web入侵是一种非常棘手的技术工作,最好是留给住在黑屋子里、喝了许多威士忌的年轻人去干。但是,借助Web应用直观的图形用户界面(GUI,读做“gooey”),这件工作并不一定有这么困难。
我们来看看Web入侵有多么简单。在第6章中,我们将介绍最具杀伤力的Web应用攻击之一:SQL注入。尽管这种攻击的内部原理有些复杂,但是对于任何会在网上搜索的人来说,SQL注入的基本细节到处可见。通过搜索可以发现进行相对简单的攻击指南,这种攻击能够绕开质量低下的Web应用的登录页面,只需输入简单的字符集就能让登录功能返回“授权访问”——屡试不爽!图1-1说明实施这种类型的攻击有多么容易,样例是Foundstone公司Web应用Hacme Bank的简单GUI。
有些纯粹主义者无疑会嘲笑仅仅使用浏览器进行“真正”的Web应用入侵的念头,当然,在本章稍后的部分以及整本书中,还将描述许多能够大大地改进基本Web浏览器能力、进行业界领先的入侵工具。但是,不要过分地轻视浏览器。在我们多年的Web应用入侵的经历中,我们已经确定,黑客试图战胜的是应用的基本逻辑,而不在乎使用的是什么工具。实际上,我们所见过的一些最巧妙的攻击仅仅涉及浏览器。
更好的是,这样的攻击也能为Web应用管理员/开发人员/经理/主管提供修复问题的最好动因。还有什么方法比使用这个几乎所有地球人都熟悉的工具进行攻击更能说明漏洞的严重性呢?
图1-1 输入字符串'OR 1=1--绕过了Foundstone的Hacme银行应用示例的登录屏幕。是的,就这么简单