2.2 应用剖析

我们已经介绍了基础架构剖析的方法,现在可以进入调查应用本身这个主要部分了。这可能是平淡而乏味的工作,但是在我们的专业咨询工作中这一贯是遇到关键突破的地方。

应用检查的目的是生成内容、组件、功能和网站流向的全景,以便获得底层漏洞的线索。一般用自动化的漏洞检查程序来搜索已知的脆弱URL,而用大面积的应用检查来发现每个部分组合的方式。合适的检查能够揭示应用各方面的问题,而不仅仅是传统的某些漏洞特征是否存在。

粗略地说,应用剖析很容易。你只要慢慢地点击应用的各个部分,并且注意URL和整个网站的结构就行了。根据你的经验,应该能够很快发现网站是由什么语言编写的、基本的网站结构、动态内容的使用等。在这个调查中你所发现的每个细节都需要注意,这一点无论怎样强调都不过分。认真地做笔记并且研究发掘出来的每个事实,因为看上去毫无意义的CSS文件就可能包含着信息宝藏,比如引导你进入某个应用的注释。

这一小节将介绍Web应用剖析的基本方法,由如下的关键任务组成:

·手工检查

·搜索工具

·自动化爬行

·常见Web应用剖析