14.7 小结

攻击一个Web应用程序所需执行的绝大多数任务必须根据应用程序的行为以及与它交互和控制它的方法来确定。为此需要经常进行手动操作,分别提交专门设计的请求并审查应用程序对这些请求的响应。

从概念上讲,我们在本章中描述的技巧非常简单。它们包括利用自动技巧使上述定制任务更加轻松、快捷、高效。事实上,渗透测试员可以对想要执行的任何手动操作自动化:使用计算机的处理能力与可靠性能攻击目标程序的漏洞与弱点。

在某些情况下,在直接应用自动化技巧时,可能会遇到各种障碍。但是,多数情况下,这些障碍都可以通过优化自动化工具或查找应用程序防御机制中的缺陷加以克服。

虽然概念上非常简单,但有效使用自动化定制攻击仍然需要运用经验、技能,并发挥想象。有各种工具可帮助渗透测试员实施攻击,或者他们也可以编写自己的工具。但任何工具也替代不了人类的智慧,思考方式的不同是真正熟练的Web应用程序黑客与纯粹爱好者之间的最大区别。掌握本书其他各章描述的所有技巧后,读者应该回过头来温习本章的主题,练习如何将自动化定制攻击方法应用于那些技巧中。