Dwa nowe videocasty
Po długiej przerwie udostępniam dwa nowe videocasty w ramach cyklu Bootcamp: Bezpieczeństwo aplikacji internetowych. Oba odcinki dotyczą możliwości wykorzystania skryptów w narzędziu Fiddler. Oczywiście wszystko po to, by ułatwić sobie życie.
FiddlerScripting #1
W tym odcinku pokazuję jak z wykorzystaniem FiddlerScripting można “poprawić” fuzzer tak, by radził sobie ze stroną zabezpieczoną przez token anty-CSRF. Oczywiście mówię o takim fuzzerze, który sam z siebie tej funkcji nie zawiera.
Tego typu ćwiczenie nie jest tylko “sztuką dla sztuki”. Kilka razy spotkałem się z sytuacją, w której narzędzie najlepiej nadające się do wykonania określonego zadania miało jakąś “małą” wadę, na przykład nie potrafiło sobie poradzić z tokenem anty-CSRF, albo uporczywie generowało nieprawidłowe nagłówki. Kilka linii kodu i już wszystko działało zgodnie z oczekiwaniami.
FiddlerScripting #2
W tym przypadku pokazuję jak z wykorzystaniem skryptów usunąć “szum” z wyników pracy fuzzera. Po prostu usuwam wszystkie nieistotne (w danym kontekście) zmiany, dzięki czemu łatwiej:
- zidentyfikować zmiany istotne,
- zidentyfikować podstawowe typy odpowiedzi – reakcji aplikacji na fuzzing,
Dokładniejsza analiza przypadków testowych i reakcji aplikacji na nie w kolejnym odcinku.
Do fuzzingu mam stosunek nieco ambiwalentny. Fuzzing pozwala sprawdzić wiele przypadków testowych w krótkim czasie, ale wyniki fuzzingu jeszcze trzeba przeanalizować. Nie zawsze można liczyć na to, że aplikacja będzie kulturalnie informowała o problemach rozbudowanymi komunikatami błędu. Dlatego każda możliwość szybkiej identyfikacji istotnych/interesujących przypadków jest, moim zdaniem, na wagę złota.
Dodatkowe informacje
W tych odcinkach wykorzystałem:
- przykład http://bootcamp.threats.pl/lesson25d/ jako testowaną aplikację,
- rozszerzenie intruder21 (fuzzer),
- swoje własne rozszerzenia,
Miłego oglądania/słuchania :)
Oryginał tego wpisu dostępny jest pod adresem Dwa nowe videocasty
Autor: Paweł Goleń