精确判断网站访问者是否是黑客的方法
原创
burpsuite 是一个渗透测试中必备的抓包工具,几乎每个做渗透的都会用这个软件。对于一个网站来说,网站的访问者如果挂了 burpsuite 的代理来访问网站,那多半是不怀好意的。如果能识别出来访问者使用了 burpsuite 那就可以直接丢进蜜罐。
所以本文主要探讨如何识别访问者有没有使用 burpsuite。
经常使用 burpsuite 的人应该会有留意到,挂着 burpsuite 的代理是可以访问到 http://burp/ 这个地址的。
这个服务提供了证书下载和从浏览器发送请求和查看响应等功能,除此之外还有一个关键的地方就是它有 favicon 图标。
http://burp/favicon.ico
如果要想从自己的网站上去获取 http://burp/ 的内容就会发生跨域,所以要使用可以跨域的 img 标签。
同时配合 onload 事件来判断图片是否加载成功。
还可以用 script 标签加 onload 事件来检测,不一定要访问 favicon.ico。
<script src="http://burp/jquery.js" onload="alert('found burp')"></script> 
这样两段简单的代码就可以完成对 burp 使用状态的检测。 当检测到使用burpsuite后,要做的就是给服务器发送请求,标记当前的访问者是个攻击者,然后就可以把他引入蜜罐了。 我写了一套简单的 demo 用于演示。
/image/feedback.png?用来标记访问者。
最后在拦截器检测访问者有没有被标记,如果被标记到就引入蜜罐。
如果要想不被发现还可以再把代码写复杂一点,加点混淆,插入到 jQuery 的代码里。
我挂着 burp 去访问 index.html 它就会检测到我使用了 burp 并向 feedback.png 发送标记请求。
被标记后再次访问主页就会被拦截器拦下。
这个方法原理很简单,使用成本很低,且检测时不容易被注意到。
不过红队也是可以避免被这种方法检测到的。
第一种方法是最简单的,在挂代理的时候设置?burp?这个主机名不走代理。
第二种方式是直接删除 burpsuite jar包里的favicon.ico文件,
不过需要注意的是这种方法只能防 img 标签访问?favicon.ico,script 标签不行的。
第三种是在代理配置选关闭web接口选项
zip -d burpsuite_pro.jar "resources/Media/favicon.ico"原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。