带外应用安全测试(OAST)
这篇文章更多的是对burp Collaborator 的总结和使用。(跳转到第二部分,查看Burp Collaborator的用法)
什么是OAST安全测试
带外应用程序安全测试是使用外部服务器来帮助我们来查看无回显的漏洞。
了解一下目前主流的集中应用安全测试技术。
DAST: 动态应用程序安全测试(Dynamic Application Security Testing)技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应,从而确定该Web应用是否易受攻击。
SAST:静态应用程序安全测试(Static Application Security Testing)技术通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。
IAST:交互式应用程序安全测试(Interactive Application Security Testing)是2012年 Gartner 公司提出的一种新的应用程序安全测试方案,通过代理、VPN或者在服务端部署Agent程序,收集、监控Web应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST相当于是 DAST 和 SAST 结合的一种互相关联运行时安全检测技术。
OAST 结合了传统 DAST 的交付机制和 IAST 的检测能力。它动态地发送检测代码到应用程序,当以不安全的方式被执行时,就会触发漏洞,攻击的结果不会直接返回到响应包中,而是使其与外部系统进行网络互动(例如:DNS)。互动的内容包括了漏洞的类型和触发互动的输入点。
OAST强大之处
DAST 无法检测响应中不可见的漏洞,也就是针对无回显的漏洞,DAST明显是检测不到的, 同样也无法扫描到异步触发的漏洞,相反,OAST 能够发现无回显和延迟的漏洞。
SAST 能够发现DAST 检测不到的模糊漏洞,但静态分析技术出现误报的概率太大,需要对报告的漏洞逐个验证,相反,OAST 就不存在误报,如果有互动,那就是检测到了漏洞。
IAST 相当于结合了动态检测和静态检测,它涉及了对应用程序进行侵入性的行为,很可能导致网站或服务器引起新的问题,损害性能,适合在应用未上线之前进行检测,外带检测(OAST)则不会对系统进行修改,只有验证代码在存在漏洞的位置才会被执行,并且验证代码不具有攻击性。
OAST的工作方式
在看这篇文章前,如果对 带外通道技术(OOB)有所了解的话,那么很容易理解 OAST 的工作方式。
用burp 解释 Collaborator的方式来理解一下, 通常我们使用的技术可以统称为 带内攻击(in-band attack)
带内攻击模型
我们发送有效载荷,服务器也就是目标网站执行并返回执行后的响应。这种方式属于我们与目标建立的一个通信信道,可以信道理解成一个管道,数据交互都是在管道内来回传输,数据并不会超出这个管道范围,所以我们可以形象的认为这种方式属于带内攻击
前面我也提到了,这种方式无法直接检测没有回显的漏洞,PostSwigger 引入了 Burp Collaborator,帮助渗透测试人员解决了这一问题,
带外攻击模型
在带外攻击中,攻击发出的请求并不会直接返回攻击者,而是携带着载荷执行后的响应与我们的带外服务器(burp collaborator)产生了交互。
OAST 并没有颠覆渗透测试
OAST 只是让测试更加的完美,但并不是绝对的能发现漏洞
