【51CTO.com獨(dú)家翻譯】想親自擊敗黑客嗎？OK，沒問題，首先你要了解黑客是如何查找安全漏洞的，其次就是要了解黑客是如何利用Web應(yīng)用程序漏洞的，最后就是了解他們是如何組織進(jìn)攻的。本文將以一個漏洞百出的程序Jarlsberg為例，為大家講解Web應(yīng)用程序的攻防手段，全面解剖黑客的行徑和應(yīng)對辦法。Jarlsberg是用Python編寫的，因此略懂Python會幫助理解本文，但即使不懂也無所謂，因為漏洞和修復(fù)漏洞的方法基本上是與語言無關(guān)的。另外我們會涉及到黑盒黑客和白盒黑客，所謂黑盒黑客就是通過操縱輸入字段或URL參數(shù)，觀察Web應(yīng)用程序的響應(yīng)和變化，嘗試找出讓它出錯的一種攻擊手段，這里我們通常會查看HTTP/HTTPS請求和響應(yīng)，推薦兩款很棒的輔助工具Burp和WebScarab；所謂白盒黑客就是分析Web應(yīng)用程序源代碼，嘗試找出bug并進(jìn)行攻擊的手段。

你完全可以根據(jù)本文介紹的內(nèi)容搭建一個滲透測試環(huán)境，自己做做練習(xí)，以提升自己的技能，當(dāng)然最重要的是通過學(xué)習(xí)達(dá)到舉一反三，以后自己也能發(fā)現(xiàn)和修復(fù)漏洞，Jarlsberg的下載地址是http://jarlsberg.appspot.com/jarlsberg-code.zip，你也可以直接訪問http://jarlsberg.appspot.com/start，AppEngine會自動為你創(chuàng)建一個新的Jarlsberg實(shí)例，每個實(shí)例都運(yùn)行在獨(dú)立的沙盒中，用唯一的ID進(jìn)行標(biāo)識，你可以隨意展開攻擊，你也可以將你唯一的URL分享給其它人進(jìn)行攻擊研究。

如果想在本地運(yùn)行Jarlsberg，需要先安裝Python 2.5，其它版本可能不行，執(zhí)行Jarlsberg安裝的命令如下：

$ cd 
$ ./jarlsberg.py
 

用localhost:8008替換所有文件中的jarlsberg.appspot.com，并用分配給你的唯一ID替換默認(rèn)ID 123。

如果是直接在AppEngine上創(chuàng)建的Jarlsberg實(shí)例，它有諸多限制，如不能訪問和干擾其它Jarlsberg實(shí)例，資源使用也是有限制的，如果你搗鼓得Jarlsberg實(shí)例無法運(yùn)行時，可以通過下面的URL進(jìn)行重置，不過要注意的是所有歷史數(shù)據(jù)都將被清除掉。

http://jarlsberg.appspot.com/resetbutton/123

注意用你自己的ID替換這里的123。

Jarlsberg各個源文件介紹：

◆jarlsberg.py是Jarlsberg Web服務(wù)器

◆jdata.py在數(shù)據(jù)庫中存儲默認(rèn)數(shù)據(jù)，有一個管理員賬號和兩個默認(rèn)用戶

◆jtl.py是Jarlsberg模板語言

◆jsanitize.py是Jarlsberg保護(hù)自身HTML免受攻擊的模塊

◆resources/...目錄下存放了所有模板，圖片和CSS等文件

跨站腳本（XSS）

跨站腳本（XSS）指的是黑客通過網(wǎng)站漏洞在不受自己控制的網(wǎng)站內(nèi)容（通常是HTML或JavaScript）中植入代碼，當(dāng)受害者瀏覽這樣的網(wǎng)頁時，植入的代碼就會在受害者瀏覽器中執(zhí)行，這樣就可以順理成章地竊取受害者與網(wǎng)站請求相關(guān)的個人信息。

在一個反射式XSS攻擊中，攻擊通常是嵌入在請求URL中，受害者瀏覽黑客構(gòu)造的惡意URL時就被攻擊了。在存儲式XSS攻擊中，攻擊者將攻擊代碼保存在應(yīng)用程序內(nèi)，受害者瀏覽到這樣的網(wǎng)頁時就觸發(fā)攻擊代碼的執(zhí)行。

假設(shè)http://www.google.com/search?q=flowers這個URL返回的頁面包含以下HTML片段：

Your search for 'flowers'
returned the following results:

查詢參數(shù)q的值被嵌入到Google返回的頁面中，如果www.google.com不做任何驗證或忽略q，攻擊者就可以構(gòu)造一個類似下面這樣的鏈接進(jìn)行攻擊嘗試：

http://www.google.com/search?q=flowers+%3Cscript%3Eevil_script()%3C/script%3E

接下來就是欺騙受害者點(diǎn)擊這個鏈接，當(dāng)受害者點(diǎn)擊這個鏈接后，他的瀏覽器就會解析下面的代碼：

Your search for 'flowers'
returned the following results:

瀏覽器就會執(zhí)行evil_script()，于是受害者的瀏覽器狀態(tài)和所有該域名對應(yīng)的cookies都全部暴露出來了。

有時即使受害者不直接地點(diǎn)擊惡意鏈接也會遭受攻擊，例如，假設(shè)攻擊者擁有www.evil.example.com域名，在頁面中用