UploadScanner在Web安全测试中的使用研究

2020-07-14 20:36张家钢朱潼昕王海松

科技创新导报 2020年10期

张家钢朱潼昕王海松

摘要：浏览器/服务器模式是目前广泛采用的服务模式，在多数行业中大量存在。服务器端应用程序提供的文件上传功能是一个常见的功能，但不可避免地存在被入侵的危险。Burp Suite中的扩展功能之UploadScanner可以针对性地测试该服务器是否存在文件上传漏洞，既方便网站管理员的维护工作，也有利于促进本单位的信息安全。

关键词：Web安全 Burp suite UploadScanner

Absrtact： Browser/server mode is a widely used service mode， which exists in many kinds of industries. File upload function provided by server-side application is a common function， but it is inevitable to be invaded. The uploadscanner of the extended function in burpsuite can specifically test whether there is a file upload vulnerability in the server， which is not only convenient for the maintenance of the website administrator， but also conducive to promoting the information security of the unit.

Key Words： Web security; Burp suite; Uploadscanner

随着计算机网络技术的发展，各行业均将自己的业务Web化。Web技术的应用在给企业带来便利的同时，也带来了很大的风险。究其原因，主要是许多Web应用程序缺乏对用户输入内容的过滤。即Web应用程序执行了用户特殊形式的输入，获取了指定的内容或特殊的权限。

1 Web安全测试

Web安全测试，是对网站进行测试，发现其中存在的漏洞和隐藏的风险，形成测试报告，提供给网站管理者或运营者。网站管理者根据测试报告，对网站进行漏洞修补，使网站更加安全。Web安全测试分为白盒测试和黑盒测试。白盒测试是在知道目标网站源码的情况下对其进行测试，类似于源码分析。黑盒测试仅已知网站的网址，模拟恶意人员对网站进行破坏。无论白盒测试或是黑盒测试，均需经过网站管理方的授权。

常见的Web安全漏洞有：SQL注入、XSS跨站脚本、CSRF跨站请求伪造、XXE漏洞、SSRF服务端请求伪造漏洞、文件包含漏洞、文件上传漏洞、文件解析漏洞、远程代码执行漏洞、越权访问漏洞、目录浏览漏洞和任意文件读取/下载漏洞、struts2漏洞、JAVA反序列化漏洞等。

2 Burp Suite扩展功能之UploadScanner

当利用特殊工具探测到了该网站存在漏洞之后，即可利用该漏洞。不同的漏洞有不同的利用工具，不再一一列举。本文只讨论文件上传漏洞。

Burp Suite是用于测试Web应用程序的集成平台，包含了许多功能，基本功能不再赘述。扩展功能提供了强大的API接口，通过使用脚本语言开发额外的功能，许多扩展功能是用Python编写并且可通过Burp的应用商店免费提供使用。

网站的文件上传功能是一个被低估的安全威胁。一般的自动或半自动安全测试工具在遇到文件上传时不能调整其上传途径，达不到利用上传漏洞的目的。利用文件上传漏洞需要各种技术，包括文件扩展名、文件内容类型和内容的关联等。此外，文件内容必须通过服务器端检查或修改，例如图像大小要求或调整大小操作。Burp Suite中的扩展功能之UploadScanner通过对上传文件后残存的内容重建，达到规避服务器端检查过滤的目的。

3 UploadScanner在Web安全测试中的使用

本文利用Metasploitable集成化安全测试环境的DVWA平台测试了UploadScanner的扩展功能。

图1所示为DVWA平台中文件上传功能的三种安全级别下的防护，可以看出不同的防护级别对上传文件的属性要求是不一样的。low级别没有任何限制，可以上传任意文件。medium级别对文件类型和文件大小进行限制。high级别对文件扩展名和大小进行限制。对于medium和high级别的限制，也可以进行手工构造上传文件以绕过限制。

图2所示为使用UploadScanner扩展功能进行自动化上传文件以达到可以获取webshell的条件。通过测试，在三种防护级别下，分别上传了39、11、6个内含可回连脚本的文件。从数量上可以看出，随着防护级别的提高，成功上传的有效文件越来越少，但仍能达到文件上传的目的。但以上过程也存在缺点，即上传的文件数量较多，且文件名较长，容易引起网站管理员的注意。

4 结语

通过本地搭建测试环境，验证了Burp Suite的UploadScanner扩展功能，达到了预期效果，重点是其可以自动化地完成能够获取webshell的文件上传，对Web安全测试工作者起到一定的指導和便捷作用，促使网站管理者进一步完善门户网站建设，加强本单位的门户网站安全。

参考文献

[1] 赵星.Web漏洞挖掘与安全防护研究[D].中北大学，2016.

[2] 吴松泽.基于Web安全的渗透测试技术研究[D].哈尔滨师范大学，2015.

[3] 刘雅楠.Web前端攻击及安全防护技术研究与实现[D].北京邮电大学，2017.