2019测试指南-web应用程序安全测试（二）指纹Web应用程序框架

时间 2019-11-13

标签测试指南 web 应用程序安全指纹框架栏目 HTML 繁體版

原文原文链接

Web框架[*]指纹识别是信息收集过程的重要子任务。若是这样的框架已经被渗透测试人员测试过，那么了解框架的类型能够自动提供很大的优点。它不只是未修补版本中的已知漏洞，并且框架和已知文件结构中的特定错误配置使得指纹识别过程如此重要。php

几种不一样的供应商和Web框架版本被普遍使用。有关它的信息对测试过程有很大帮助，也能够帮助改变测试过程。这些信息能够经过仔细分析某些常见位置得出。大多数Web框架在这些位置都有几个标记，能够帮助攻击者发现它们。这基本上是全部自动工具所作的事情，他们从预约义的位置寻找标记，而后将其与已知签名的数据库进行比较。为了更好的准确性，一般使用几种标记。css

[*]请注意，本文不区分Web应用程序框架（WAF）和内容管理系统（CMS）。这样作是为了方便在一章中指纹它们。此外，这两个类别都被引用为Web框架。html

测试目标

定义使用的Web框架的类型，以便更好地理解安全测试方法。python

如何测试

黑盒测试

要定义当前框架，须要查看几个最多见的位置：nginx

HTTP标头
饼干
HTML源代码
特定文件和文件夹
文件扩展名
错误信息

HTTP标头

识别Web框架的最基本形式是查看HTTP响应头中的X-Powered-By字段。许多工具可用于指纹目标。最简单的是netcat实用程序。laravel

请考虑如下HTTP请求 - 响应：web

$ nc 127.0.0.1 80 HEAD / HTTP / 1.0 HTTP / 1.1 200好的 服务器：nginx / 1.0.14 日期：星期六，2013年9月7日08:19:15 GMT Content-Type：text / html; charset = ISO-8859-1 链接：关闭 变化：接受编码 X-Powered-By：单声道

从X-Powered-By字段中，咱们了解到Web应用程序框架极可能是Mono。然而，尽管这种方法简单快速，但这种方法在100％的状况下都不起做用。经过适当的配置能够轻松禁用X-Powered-By标头。还有一些技术容许网站对HTTP标头进行模糊处理（请参阅#Remediation一章中的示例）。正则表达式

所以，在同一个示例中，测试人员可能会错过X-Powered-By标头或得到以下答案：数据库

HTTP / 1.1 200好的 服务器：nginx / 1.0.14 日期：星期六，2013年9月7日08:19:15 GMT Content-Type：text / html; charset = ISO-8859-1 链接：关闭 变化：接受编码 X-Powered-By：血，汗和眼泪

有时，有更多的HTTP标头指向某个Web框架。在如下示例中，根据来自HTTP请求的信息，能够看到X-Powered-By标头包含PHP版本。可是，X-Generator标头指出使用的框架其实是Swiftlet，这有助于渗透测试人员扩展他的攻击向量。执行指纹识别时，请始终仔细检查每一个HTTP标头是否存在此类泄漏。浏览器

HTTP / 1.1 200好的 服务器：nginx / 1.4.1 日期：星期六，2013年9月7日09:22:52 GMT 内容类型：text / html 链接：保持活力 变化：接受编码 X-Powered-By：PHP / 5.4.16-1~dotdeb.1 到期日：1981年11月19日星期四08:52:00 GMT 缓存控制：无存储，无缓存，必须从新验证，后检查= 0，预检查= 0 Pragma：没有缓存 X-Generator：金丝燕

饼干

另外一种相似且以某种方式更可靠的方法来肯定当前的Web框架是特定于框架的cookie。

请考虑如下HTTP请求：

已自动设置 cookie CAKEPHP，它提供有关正在使用的框架的信息。常见cookie名称列表在＃Cookies_2章节中介绍。限制是相同的 - 能够更改cookie的名称。例如，对于选定的CakePHP框架，能够经过如下配置完成（摘自core.php）：

/ ** * CakePHP会话cookie的名称。 * *请注意会话名称的准则：“会话名称引用 * Cookie和网址中的会话ID。它应该只包含字母数字 *字符。“ * @link http://php.net/session_name * / Configure :: write（'Session.cookie'，'CAKEPHP'）;

可是，与X-Powered-By标头的更改相比，这些更改的可能性更小，所以能够认为这种方法更可靠。

HTML源代码

此技术基于在HTML页面源代码中查找某些模式。一般人们能够找到不少信息，这有助于测试人员识别特定的Web框架。其中一个常见的标记是直接致使框架公开的HTML注释。更常见的是，能够找到某些特定于框架的路径，即指向特定于框架的css和/或js文件夹的连接。最后，特定的脚本变量也可能指向某个框架。

从下面的屏幕截图中，能够经过上述标记轻松了解所使用的框架及其版本。注释，特定路径和脚本变量均可以帮助攻击者快速肯定ZK框架的实例。

更频繁地，此类信息放在<head> </ head>标记之间，<meta>标记中或页面末尾。然而，建议检查整个文档，由于它可用于其余目的，例如检查其余有用的注释和隐藏字段。有时，Web开发人员并不关心隐藏有关所用框架的信息。仍然有可能在页面底部偶然发现这样的事情：

文件扩展名

URL可能包含文件扩展名。文件扩展名还能够帮助识别Web平台或技术。

例如，OWASP正在使用PHP

 https://www.owasp.org/index.php?title=Fingerprint_Web_Application_Framework_(OTG-INFO-008)&action=edit§ion=4

如下是一些常见的Web扩展和技术

php - PHP
aspx - Microsoft ASP.NET
jsp - Java Server页面

错误信息

共同框架

饼干

骨架	Cookie名称
Zope的	zope3
CakePHP的	CakePHP的
Kohana的	kohanasession
Laravel	laravel_session

HTML源代码

通常标记

％framework_name％

供电

创建在

赛跑

特定标记

骨架	关键词
Adobe ColdFusion	<！ - START headerTags.cfm
Microsoft ASP.NET	__VIEWSTATE
ZK	<！ - ZK
业务催化剂	<！ - BC_OBNW - >
Indexhibit	ndxz工做室

特定文件和文件夹

每一个特定框架的特定文件和文件夹都不一样。建议在渗透测试期间安装相应的框架，以便更好地了解所呈现的基础结构以及服务器上可能留下的文件。可是，已经存在几个好的文件列表，一个很好的例子是可预测文件/文件夹的FuzzDB单词列表（http://code.google.com/p/fuzzdb/）。

工具

下面列出了通常和众所周知的工具。还有许多其余实用程序，以及基于框架的指纹识别工具。

WhatWeb

网站：http ： //www.morningstarsecurity.com/research/whatweb
目前市场上最好的指纹识别工具之一。包含在默认的Kali Linux版本中。语言：用于指纹识别的Ruby匹配用于：

文本字符串（区分大小写）
经常使用表达
Google Hack数据库查询（有限的关键字集）
MD5哈希
URL识别
HTML标记模式
用于被动和激进操做的自定义ruby代码

示例输出显示在下面的屏幕截图中：

BlindElephant

网站：https ：//community.qualys.com/community/blindelephant
这个伟大的工具基于静态文件校验和的版本差别原则，从而提供很是高质量的指纹识别。语言：Python

成功指纹的示例输出：

pentester $ python BlindElephant.py http：// my_target drupal Loaded /Library/Python/2.7/site-packages/blindelephant/dbs/drupal.pkl包含145个版本，478个差别化路径和434个版本组。 在http：// my_target上为drupal版本启动BlindElephant指纹 点击http：//my_target/CHANGELOG.txt 文件产生不匹配。错误：检索到的文件与已知指纹不匹配。527b085a3717bd691d47713dff74acf4 点击http：//my_target/INSTALL.txt 文件产生不匹配。错误：检索到的文件与已知指纹不匹配。14dfc133e4101be6f0ef5c64566da4a4 点击http：//my_target/misc/drupal.js 基于结果的可能版本：7.12,7.13,7.14 点击http：//my_target/MAINTAINERS.txt 文件产生不匹配。错误：检索到的文件与已知指纹不匹配。36b740941a19912f3fdbfcca7caa08ca 点击http：//my_target/themes/garland/style.css 基于结果的可能版本：7.2,7.3,7.4,7.5,7.6,7.7,7.8,7.9,7.10,7.11,7.12,7.13,7.14 ... 指纹识别致使： 7.14 最好的猜想：7.14

Wappalyzer

网站：http：
//wappalyzer.com Wapplyzer是一款Firefox Chrome插件。它仅适用于正则表达式匹配，除了要在浏览器上加载的页面以外不须要任何其余内容。它彻底在浏览器级别工做，并以图标的形式给出结果。虽然有时会出现误报，但在浏览页面后当即使用哪些技术构建目标网站的概念很是方便。

插件的示例输出显示在下面的屏幕截图中。

参考

白皮书

Saumil Shah：“HTTP指纹识别简介” - http://www.net-square.com/httprint_paper.html
Anant Shrivastava：“Web应用程序指纹” - http://anantshri.info/articles/web_app_finger_printing.html

整治

通常建议是使用上述几种工具并检查日志，以更好地了解攻击者确切地帮助披露Web框架的内容。经过在更改隐藏框架轨道后执行屡次扫描，能够实现更高级别的安全性并确保自动扫描没法检测到框架。如下是框架标记位置和一些其余有趣方法的一些具体建议。

HTTP标头

检查配置并禁用或混淆全部披露技术使用信息的HTTP标头。这是一篇关于使用Netscaler进行HTTP-header混淆的有趣文章：http： //grahamhosking.blogspot.ru/2013/07/obfuscating-http-header-using-netscaler.html

饼干

建议经过更改相应的配置文件来更改cookie名称。

HTML源代码

手动检查HTML代码的内容并删除明确指向框架的全部内容。

通常准则：

确保没有透露框架的可视标记
删除任何没必要要的评论（版权，错误信息，特定框架评论）
删除META和发电机标签
使用公司本身的css或js文件，不要将它们存储在特定于框架的文件夹中
若是必须使用默认脚本，请不要在页面上使用默认脚本或对其进行模糊处理。

特定文件和文件夹

通常准则：

删除服务器上任何没必要要或未使用的文件。这意味着文本文件也公开了有关版本和安装的信息。
限制对其余文件的访问，以便在从外部访问时实现404响应。这能够经过修改htaccess文件并在那里添加RewriteCond或RewriteRule来完成。下面介绍两个常见WordPress文件夹的此类限制的示例。

RewriteCond％{REQUEST_URI} /wp-login\.php$ [OR] RewriteCond％{REQUEST_URI} / wp-admin / $ RewriteRule $ / http：// your_website [R = 404，L]

可是，这些并非限制访问的惟一方法。为了使该过程自动化，存在某些特定于框架的插件。WordPress的一个例子是StealthLogin（http://wordpress.org/plugins/stealth-login-page）。

其余方法

通常准则：

校验和管理这种方法的目的是击败基于校验和的扫描仪，而不是让它们经过哈希来公开文件。一般，校验和管理有两种方法：
- 更改这些文件的放置位置（即将它们移动到另外一个文件夹，或重命名现有文件夹）
- 修改内容 - 即便稍微修改也会产生彻底不一样的哈希值，所以在文件末尾添加单个字节不该该是一个大问题。
控制混乱
一个有趣而有效的方法，涉及从其余框架添加虚假文件和文件夹，以欺骗扫描仪和混淆攻击者。但要当心不要覆盖现有的文件和文件夹，并打破当前的框架！