6、Web应用安全漏洞检测与分析

Web应用安全漏洞检测与分析

1. 使用Burp Suite查看和修改请求

Burp Suite是一个功能齐全的Web应用测试套件，它不仅是一个简单的Web代理，还具备请求转发器、请求自动化、字符串编码和解码、漏洞扫描器（专业版）等实用功能。以下是使用Burp Suite代理拦截和修改请求的操作步骤：
1. 启动Burp Suite，并将浏览器配置为使用其作为代理。
2. 浏览到http://192.168.56.102/mutillidae/。
3. 由于Burp代理默认启用拦截功能，它会捕获第一个请求。此时需前往Burp Suite，在“Proxy”选项卡中点击“Intercept is on”按钮。
4. 浏览器会继续加载页面。加载完成后，使用“Toggle Security”将应用程序的安全级别设置为1（Arrogant）。
5. 从菜单中导航至“OWASP Top 10 | A1 – SQL Injection | SQLi – Extract Data | User Info”。
6. 在“Name”文本框中输入user<>（包含符号）作为用户名，在“Password”框中输入secret<>，然后点击“View Account Details”，会收到一个提示，告知输入了可能对应用程序有害的字符。
7. 已知表单中不允许使用符号，且这是客户端验证，因为代理的HTTP历史记录选项卡中未记录任何请求。点击Burp Suite中的“Intercept is off”启用消息拦截，尝试绕过此保护。
8. 发送有