对Hackazon进行手动的基本测试

要执行手动漏洞评估，需要一个浏览器和一个代理工具。ZAP代理就是这样一个在安全测试领域中常用的工具。安装和设置这两个工具都需要JRE。Burpsuite、ZAP Proxy和JRE可从以下链接下载:

• ZAP代理:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
• JRE:http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html

ZAP代理需要最少的配置来设置。Sites选项卡显示应用程序的树映射。启用“Set Break”(如图所示)，以便在离开浏览器后需要修改时拦截HTTP请求和响应。

除此之外，端口可以通过在“选项”中应用端口号绑定>>“本地代理”

另外，浏览器必须配置为使用web代理。这可以在Mozilla Firefox中通过“选项”>>“高级”>>“网络”>>“设置”配置窗口完成。要测试代理打开http://localhost在浏览器中。

所有来自网页浏览器的流量将通过burp代理工具路由。可以使用代理工具拦截和修改请求和响应。因此，通过代理工具和浏览器，可以在Hackazon上进行手动测试。

如何找到漏洞Hackazon应用程序

跨站脚本

URL:http://192.168.1.108/search?id=&searchString=NBA参数名称:searchString攻击值:> <脚本警报(1)> < /脚本

下面的截图显示了应用程序的搜索功能。例如，我们根据用户输入搜索“NBA”关键词和应用搜索结果。

在“搜索”字段中输入恶意脚本。

执行注入到代码中的Javascript。

OSCommand注入

URL:http://192.168.1.108/account/documents?page=delivery.html参数名称:page攻击值:测试| / bin /猫/ etc / passwd

下面演示了应用程序的读取文档功能。

我们注入了一个系统命令来读取/ etc / passwd系统文件。

应用程序已执行系统命令并向最终用户显示系统文件。

用户重定向

URL:http://192.168.1.108/user/login?return_url=%2Faccount%2Fhelp_articles参数名称:return_url攻击值:http://www.google.com

Hackazon应用程序具有在登录后重定向到内部应用页面的功能。成功登录后，应用程序将重定向到help_article页面。

将“/account/help_articles”中的“return_url”参数值替换为“http://www.google.com”，然后登录到应用程序中。

应用程序允许用户重定向没有任何验证。这个漏洞被用于钓鱼攻击，让用户在没有意识到的情况下访问恶意网站。