第14章
定制攻击自动化


章不再介绍任何新的漏洞,而是分析向Web应用程序实施攻击的一个关键问题——如何使用自动控制加强并促进定制攻击。我们所讨论的技巧可用于整个应用程序以及攻击过程的每一个阶段,包括最初的解析过程到实际的应用。

每一个Web应用程序都各不相同。渗透测试员需要使用各种手动操作与技巧向应用程序实施有效攻击,以理解它的行为,并探查其中存在的漏洞。同时还必须发挥想象,利用自己的经验与直觉。通常,测试员应当根据已经确定的特殊行为,以及应用程序允许与其交互并对其进行控制的特定情形,实施本质上定制或自定义的攻击。手动实施定制可能极其费力,而且容易出错。为此,最成功的Web应用程序黑客往往会努力简化他们的定制攻击,设法将其自动化,使其更简单、快捷、高效。

本章将讨论一种实现定制攻击自动控制的公认方法。这种方法结合了人类智慧及计算机蛮力的优点,常常会造成破坏性的后果。本章还将介绍使用自动化技巧时遇到的各种障碍,以及避开这些障碍的方法。