观察 Web 应用中的行为异常 超越签名扫描器

Source: Dev.to

概述

大多数网页扫描器依赖于负载签名和响应匹配。实际上，服务器经常会表现出异常行为而不返回明确的错误，例如：

• 延迟峰值
• 意外的重定向
• 状态变化

基于签名的工具通常会将这些情况报告为“安全”，即使它们可能表明后端不稳定或逻辑问题。挑战在于，这些异常不符合传统的漏洞类别（如 SQLi 或 XSS）——它们关注的是系统在异常输入下的响应方式，而不是已知利用是否触发。

示例观察

以下是对 http://testphp.vulnweb.com/artists.php 进行测试时的示例结果：

注意:

• artist=SLEEP(1) 使响应时间从约 197 ms 上升至 3212 ms。
• BODY_HASH 的变化表明服务器响应被修改。
• 其他输入 (%22, %5C, %255c) 也会在没有明确错误的情况下触发正文变化。

截图显示了特定输入导致的延迟峰值（RTT）和正文哈希变化。基于签名的扫描器可能会将其标记为“安全”。

这些异常突显了服务器在测试条件下可能出现的意外行为，而传统的基于签名的扫描器往往会忽略这些情况。

检测行为异常

• 监控响应时间: 跟踪每个请求的往返时间；显著偏差可能揭示基于时间的逻辑路径。
• 哈希响应正文: 对不同输入下的响应正文进行哈希比较，以发现细微的内容变化。
• 记录重定向和状态码: 记录任何意外的 3xx 重定向或状态码变化。
• 与输入模式关联: 将观察到的异常映射回触发它们的特定负载，以推断底层逻辑。

社区讨论

我想了解其他网页安全从业者在测试过程中如何检测和解释这些行为异常。分享超越签名匹配的工具、脚本或方法论将非常有价值。

参考

可选上下文: Blink.