自制分布式漏洞扫描工具

1.前言

在渗透测试和安全扫描工作中,发现越来越多站点部署了应用防护系统或异常流量监控系统,其中包括:WEB应用防火墙(软件WAF、硬件WAF、云WAF)、入侵检测系统、入侵防御系统、访问监控系统等。很多防护系统不仅可实时检测攻击和拦截,并且具备自动阻断功能。当系统检测到某些IP在特定时间段内产生大量攻击行为时会开启阻断功能,阻断该IP在一定时间内的任何访问。

常见应用防护系统和异常流量监控系统的阻断策略主要有以下几种:

- 单IP访问频率
- 单IP+URL访问频率
- 单IP+COOKIE特定时间段内攻击次数
- 单IP造成可疑或攻击行为频率
- 单IP特定时间段内触发HTTP404状态次数
- 识别扫描器暴力扫描行为(扫描器指纹)

2. 分布式漏洞扫描

2.1分布式漏洞扫描基本思路

通过自开发的“代理分发程序”,将扫描器发送的大量测试请求以自轮询的方式分发给成千上万台HTTP代理服务器或webshell http proxy。通过该方法把扫描器的大量测试请求平均负载到多台中间代理服务器上,这样防护系统通过判断访问频率和攻击频率的方式都无法触发阻断策略,可达到自动化扫描的目的。同时,通过在中间加一层BURP的过滤,可将各个扫描器的特殊指纹擦除,防护系统更加难以判断攻击行为。

分布式漏洞扫描的整体框架图如下:

2.2常见扫描器及漏洞检测工具

漏洞扫描器根据功能和特点分为多种类型,主要总结为以下几类:

#全能应用漏洞扫描器

- AcunetixWeb Vulnerability Scanner
- IBMAppscan
- HPWebInspect
- Netsparker
- Nussus
- W3af
- BurpSuite
- N-Stalker
等

#特定漏洞工具

- Sqlmap
- Havij
- Pangolin
- Safe3
等

#目录猜解工具

- DirBuster
- wwwscan
- wscan
等

2.3扫描器指纹擦除

利用BURP擦除漏洞扫描器指纹

利用BURP的请求修订功能可将数据流中的扫描器指纹信息进行擦除,排除明显的扫描行为特征。

开启Burp,进入“Proxy——>Options”中的“Match and Replace”功能将扫描器指纹信息消除,扫描器指纹信息大多包含Http头部字段、http参数值、COOKIE特殊参数等如下图:

以下总结部分常见应用漏洞扫描器的指纹:

AcunetixWeb Vulnerability Scanner指纹特征

特征一:

请求的HTTP头部字段包含以下几种自定义字段名:

Acunetix-Aspect
Acunetix-Aspect-Password
Acunetix-Aspect-Queries

特征二:

请求的参数值中包含字符串特征:

acunetix_wvs_security_test

特征三:

请求的URI地址包含字符串特征:

/acunetix-wvs-test-for-some-inexistent-file

特征四:

请求的COOKIE参数名包含字符串特征:

acunetixCookie

HPWebInspect指纹特征

特征一:

请求的HTTP头部字段包含以下几种自定义字段名:

X-WIPP
X-RequestManager-Memo
X-Request-Memo
X-Scan-Memo

特征二:

请求COOKIE参数名包含特征:

CustomCookie

Netsparker指纹特征

特征一:

请求中的参数值包含字符串:

netsparker

2.4HTTP代理分发程序

HTTP代理分发程序用于将来自漏洞扫描器的大量测试请求和流量平均的引流到多个代理IP地址或者webshell的代理IP,通过将大量的扫描流量分散到大量代理IP上,可规避防护及监控系统的阻断策略,从而顺利实施扫描测试。

抓取大量代理服务器IP地址,并提取出针对目标站点可访问的代理地址形成“有效代理列表”。分发程序从“有效代理列表”中依次提取代理地址,每发送一个测试请求即切换代理IP,并进行轮询分发。

3. 总结

利用大量的开放匿名代理IP可实现很多功能,突破各种基于统计的防护设施.例如:

突破撞库防护;
突破暴力破解防护;
突破地址猜解防护;
突破指纹猜解防护;
等等

引用黑防的一句恒久远永流传的话——在攻与防的对立统一中寻求突破。欢迎交流攻防战术。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-01-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

苹果电脑“快速查看”存在漏洞 或可泄密加密数据

一般认为,自十多年前“快速查看”这一功能推出以来,这个安全漏洞就已存在。本月初,安全研究员Wojciech Regula在博客中详细描述了这一安全漏洞。Patr...

833
来自专栏数据和云

122Architecture 全面解读 - 第一篇 全局解析+ADG+IM模块

Oracle自发布12.1之后,就一直声称要全面转云,在之后的三四年里,一直杳无音信,大家都在猜测,Oracle又在憋什么大招,果然,2017阳春三月,大招来了...

3759
来自专栏极客生活

非常Nice的几个Chrome插件

安装一个新的环境,第一件事打开系统自带的浏览器下载安装Chrome,第二件事就是设置为默认浏览器。

831
来自专栏区块链大本营

绯闻女孩传八卦也能作为区块链协议?10分钟告诉你为啥

随着比特币等数字加密货币的兴起,区块链技术逐渐升温,霎时间,各种区块链技术落地场景应运而生。但是关于区块链技术本身,“去中心化”、“数据不可篡改”、“数据溯源”...

1052
来自专栏Coding+

如何多端同步 Hexo 框架博客

这个必要性其实不用多说,用着用着你就自己能体会到,比如头天晚上在家里发布了一篇技术文章,第二天在公司 Coding 的过程中突然想到之前发的文某个地方有 Bug...

1411
来自专栏FreeBuf

伽利略远程监控系统完全安装指南

7月初,外媒用臭名昭著形容意大利的网络军火商公司hacking team及其被黑事件,黑吃黑的黑客将该公司rcs系统的安装程序、源代码和邮件打包供所有人下载,更...

36410
来自专栏应兆康的专栏

QCloud_OCR 身份证识别 初探

今天给大家带来的是腾讯云的OCR文字识别,如何使用它来识别身份证。当然,它还可以识别名片,还有许多功能,喜欢研究的小伙伴可以深入深入。本教程采用了Python语...

1.4K5
来自专栏游戏杂谈

PhoneGap Build的使用

      纯粹属于闲折腾的结果,只是这中间还遇到一些问题,记录一下。因为没有IOS的开发key,所以这里只发布成功Android系统的安装程序。之前写过一篇构...

3503
来自专栏小白安全

小白博客 Windows最基本快捷键功能

今天要说的东西,可能不少朋友都会觉得太基础,或者不适用但是还会有不少朋友喜欢的 其实 Win 的快捷键有很多,甚至很多人还能自己把热键改成自己喜欢的。 ? 首先...

2865
来自专栏沃趣科技

基于Oracle的私有云架构探析(连载三)@【DTCC干货分享】

• 启用Instance Caging Instance Caging 通过设置2个数据库的初始化参数来达到管控CPU的目的: • cpu_count ...

3905

扫码关注云+社区

领取腾讯云代金券