HTTP请求和Apache模块：创造性攻击向量

Apache是地球上最坚固的软件项目之一。在Apache的HTTPD中找到漏洞并不是一件小事，我建议您先攻击一些更容易的目标。相比之下，其他HTTPD（例如今天我看到的Nginx）中的漏洞更为常见。还有其他源代码泄露漏洞非常相似，我会看看这个，这里还有另一个。lhttpd在sf.net上已经被放弃了将近十年，并且已知存在影响它的缓冲区溢出，这使得它成为一个有趣的应用程序来测试。
攻击一个项目时，应查看过去发现的漏洞类型。程序员往往会一次又一次地犯同样的错误，通常会出现模式。通过遵循这些模式，您可以找到更多漏洞。您应该尝试搜索Nist's search for CVEs等漏洞数据库。您将看到Apache模块最常被攻击。
一个像Apache这样的项目已经被大量模糊化了。有一些模糊框架，例如Peach。Peach在许多方面都有助于模糊化，其中一种方式是通过提供一些恶意测试数据来帮助您工作。如果您选择这条路，那么对于成熟项目来说，模糊化不是一个很好的方法，我会针对apache模块进行尽可能少的下载。(警告：下载量非常低的项目可能会损坏或难以安装。)
当公司担心安全问题时，他们通常会为自动源代码分析工具（例如Coverity）支付大量费用。国土安全部给Coverity提供了大量资金来测试开源项目，Apache是其中之一。我可以亲口告诉你，我通过模糊化发现了一个缓冲区溢出，而Coverity没有发现。Coverity和其他源代码分析工具（如开源Rats）会产生许多误报和漏报，但它们确实有助于缩小影响代码库的问题范围。
(当我第一次在Linux内核上运行RATS时，我的屏幕上列出了数千个对strcpy()和strcat()的调用，这让我几乎从椅子上摔下来，但是当我深入研究代码时，所有的调用都在使用静态文本，因此是安全的。)
漏洞研究和开发利用非常有趣。我建议攻击PHP/MySQL应用程序并探索The Whitebox。这个项目非常重要，因为它显示了除非你手动逐行阅读代码，否则无法找到一些真实世界中的漏洞。它还有现实世界的应用程序（博客和商店），这些应用程序非常容易受到攻击。事实上，由于安全问题，这两个应用程序都被放弃了。像Wapiti或acuentix这样的Web应用程序模糊器会攻击这些应用程序以及类似的应用程序。博客有一个技巧。新安装不太容易受到攻击。您必须稍微使用一下该应用程序，尝试以管理员身份登录，创建一个博客条目，然后扫描它。在测试SQL注入的Web应用程序时，请确保已启用错误报告。在php中，您可以在php.ini中设置display_errors=On。
祝好运！

根据你使用的其他模块以及激活它们的其他条件（或者只是过大的请求？），您可能需要尝试以下一些方法：

• 错误编码 - 例如，像您提到的那样的过长的utf-8，有些情况下，模块会依赖于它，例如某些参数。
• 参数操作 - 再次取决于模块的功能，某些参数可能会捣乱，无论是通过更改值，删除预期参数还是添加意外的参数。
• 与您的其他建议相反，我会查看“几乎足够短”的数据，即比最大长度短一两个字节，但是使用不同的组合-不同的参数、头文件、请求正文等。
• 了解HTTP请求走私（也可以在这里和在这里）- 不良请求头或无效组合，例如多个Content-Length或无效终止符，可能导致模块误解来自Apache的命令。
• 还要考虑gzip、分块编码等。很可能自定义模块实现了长度检查和解码，但顺序不正确。
• 部分请求怎么样？例如导致100-Continue响应或范围请求的请求？
• @TheRook推荐的模糊测试工具Peach也是一个不错的方向，但是第一次使用时不要期望有很高的回报率。
• 如果您可以访问源代码，则重点进行安全代码审查是一个好主意。或者，即使是使用像Coverity（如@TheRook所提到的）或更好的工具进行自动化代码扫描也可以。
• 即使您没有源代码访问权限，也请考虑进行安全渗透测试，无论是由经验丰富的顾问/渗透测试人员还是至少使用自动化工具（有很多这样的工具）-例如appscan、webinspect、netsparker、acunetix等等。