渗透测试步骤

解释型语言注入是一个非常宽泛的主题,涵盖许多不同种类的漏洞,并可能影响Web应用程序支持基础架构中的每一个组件。检测并利用代码注入缺陷的详细步骤取决于攻击所针对的是何种语言,以及应用程序开发者使用了什么编程技巧。但也有一些适用于各种情形的常规方法,如下所示。

(1)提交可能在解释型语言中引发问题的无效语法。

(2)确定应用程序响应中可能表示存在代码注入漏洞的任何反常现象。

(3)如果收到任何错误消息,分析这些消息,获得与服务器上发生的问题有关的证据。

(4)如有必要,系统性地修改初始输入,尝试确定或否定最初假设的漏洞诊断。

(5)构造一个概念验证测试(proof-of-concept test),使安全命令以可证实的方式执行,得出结论以证明应用程序中存在一个可被利用的代码注入漏洞。

(6)利用目标语言和组件的功能实现攻击目标,对漏洞加以利用。