摘要：介紹本文重點講述采用模糊測試的方法測試目標應用程序時，可利用的前綴和后綴語法。結論在這篇文章中，簡單介紹了后綴和前綴，以及如何使用它們進行程序的模糊測試，文中以服務器為例，但這種方法和思路同樣適用于其他服務器。

本文重點講述采用模糊測試的方法測試目標Web應用程序時，可利用的前綴和后綴語法。

后綴語法- 字母字符+特殊字符（Suffix Syntax – AlphabeticsSpecialcharacters）指字母字符后加特殊字符。因其以特殊字符結尾，故而稱之為后綴。

例如：jonnybravo" （此處jonnybravo是一個字符串，而"是一個特殊字符。）

前綴語法-特殊字符+ 字母字符（Prefix Syntax – SpecialcharactersAlphabetics）指特殊字符后跟字母字符。因其把特殊字符放在開始，故而稱之為前綴。

例如：‘jonnybravo （此處‘是一個特殊字符，而jonnybravo是一個字符串）

此處以一個后綴的例子做演示，驗證并觀察其結果。下圖顯示了在用戶名處輸入后綴語法的字符串jonnybravo"的結果。
輸入字符串jonnybravo’

GET /chintan/index.php?page=user-info.php&username=jonnybravo%27&password=&user-info-php-submit-button=View+Account+Details HTTP/1.1
Host: localhostUser-Agent: Mozilla/5.0 (Windows NT 5.1; rv:27.0) Gecko/20100101 Firefox/27.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateReferer: http://localhost/chintan/index.php?page=user-info.phpCookie: showhints=0; PHPSESSID=39hb01vtdib9sov8rmmfok7kn2Connection: keep-alive

輸入該字符串后，截取該請求，可知瀏覽器將此輸入作為URL的特定格式進行編碼解析。所以特殊字符“"”轉義為“％27”，然后通過瀏覽器發送到服務器。
以下列出了URL中特殊符號及對應的十六進制編碼(編碼的格式為：%加字符的ASCII碼，即一個百分號%，后面跟對應字符的ASCII（16進制）碼值):

！ - 21％ 
@ - 40％ 
＃ - 23％ 
$ - 24％ 
^ - ％5E 
＆ - ％26 
* - ％2A 
（ - 28％ 
） - 29％ 
{ - ％7B 
} - ％7D 
- 2D％ 
+ - 2B 
[ - ％5B 
】 - 5D％ 
; - ％3B 
： - ％3A 
- ％5C 
| - ％7C 
， - ％2C 
< - ％3C 
。 - ％2E 
> - ％3E 
/ - ％2F 
？ - ％3F

轉發以上的GET請求，得到一個錯誤頁面，提示用戶名是不合法的，如下圖所示：

首先從上面的錯誤頁面可以看出在消息框中的jonnybravo"是我們輸入的字符串。然后分析顯示在消息框中的SQL查詢語句。該查詢如下所示：

Query: SELECT username FROM accountsWHERE username=’jonnybravo”;

通過查看這個SQL查詢語句，會立刻知道需要一個后綴和前綴以完成查詢語句本身。通過以下這個格式的查詢語句來說明這個問題：

Query: SELECTusername FROM accounts WHERE username=’jonnybravo”;

這里后綴"結尾該SQL語句，故而一旦輸入jonnybravo"，那么該語法中的后綴"和jonnybravo之前的 ‘組合起來已經完成了查詢語法。可以清楚地看到在開始和結束的特殊字符"是由服務器查詢語法提供的，但此處輸入字符中增加的一個"完成了該語句查詢，在執行查詢時剩余的一個‘導致產出錯誤。因為有一個未用的"字符，這不符合SQL查詢語法的規則。簡而言之，輸入字符中jonnybravo的后綴和服務器提供的前綴配對完成了查詢語句，而服務器提供的后綴未被采用故而導致了SQL語法錯誤。

“如果不能正常關閉，那么無論什么輸入，它永遠不會正常完成，你會得到一個錯誤頁面。”

這是唯一的用戶名查詢頁面，所以可能會嘗試通過后臺運行去提交該查詢。繼續到認證頁面進行測試，可能會看到查詢語句中的“用戶名”和“密碼”字段。此處將jonnybravo’作為用戶名并以momma作為密碼，在用戶名輸入字符串后添加了后綴’，并以簡單字符作為密碼。有時需要將兩者同時提交作為查詢語句。查詢語法如下所示。

Query: SELECT * FROM accounts WHERE username=’jonnybravo”AND password=’momma’

假設我們想要忽略執行上面查詢語句中的AND password=’momma’。那么需要如何才能做到呢？ 這里將使用"作為前綴并以（空格）-作為后綴。之所以用（空格）-是因為假設這是一個MYSQL服務器，所以當輸入（空格） -時，它被解讀為一個注釋符號。在這種情況下無論這之后是什么內容都將被視為注釋語句，注釋部分在服務器執行查詢語句時會被忽略。

注入 – " -

然后，在輸入字段中添加諸如 or 1 = 1" 這樣的載荷，如此一來，最終注入語句類似如下所示：

注入 – " or 1 = 1" -

一旦將此語句注入到用戶名字段，會產生如下圖所示的錯誤。

分析上述的注入語句，由提交字符串中的"來完成“username”用戶名字段，用戶名字段包括了來自服務器的‘ ‘字符，但因為其中加入了注入語句，使其成為‘ ‘ or 1=1′ — ‘。進一步分析查詢語句：

Username=’ ‘ or 1=1′ — ‘ AND password=’ ‘.

之前已經提到，已假定這是MySQL服務器，所以（空格）–后的任何語句都將作為注釋語句來解讀。 那么重新分析這個查詢語句，可以看出，這個查詢語句中唯一執行了的部分只剩下了1=1′。 因此，這是如何使用一個后綴和后綴進行SQL注入的方法 。 由于在1=1后添加一個"可以產出一個在頁面上產出一個錯誤，那么如果刪除了多余的"，那么這個注入將正常完成，服務器不會拒絕1 = 1這種正確的邏輯，所以服務器將執行該查詢。 故而最終的注入語句變成了 "or 1 = 1 -，把這串字符提交給用戶名字段，將會看到如下圖所示的查詢結果：

由顯示結果可知，服務器成功被注入，頁面上顯示出了數據庫整個表中存儲的所有結果，包括用戶名、密碼及其他字段的信息詳情。

在這篇文章中，簡單介紹了后綴和前綴，以及如何使用它們進行web程序的模糊測試，文中以MySQL服務器為例，但這種方法和思路同樣適用于其他服務器。

同作者曾發表了一系列關于手動web應用程序滲透測試的文章，其中與模糊測試方法相關的文章列表如下，如有興趣可點擊以下鏈接進行閱讀：

手動web應用程序滲透測試：模糊測試
http://resources.infosecinstitute.com/manually-web-application-penetration-testing-fuzzing/

手動web應用程序滲透測試：使用Burp工具時的模糊測試參數
http://resources.infosecinstitute.com/web-services-penetration-testing-part-6-fuzzing-parameters-burp/

手動web應用程序滲透測試：更多與Burp工具相關的模糊測試
http://resources.infosecinstitute.com/web-services-penetration-testing-part-7-fuzzing-burp/

轉載自：FreebuF.COM