Paweł Goleń, blog

Po długiej przerwie udostępniam dwa nowe videocasty w ramach cyklu Bootcamp: Bezpieczeństwo aplikacji internetowych. Oba odcinki dotyczą możliwości wykorzystania skryptów w narzędziu Fiddler. Oczywiście wszystko po to, by ułatwić sobie życie.

FiddlerScripting #1

W tym odcinku pokazuję jak z wykorzystaniem FiddlerScripting można “poprawić” fuzzer tak, by radził sobie ze stroną zabezpieczoną przez token anty-CSRF. Oczywiście mówię o takim fuzzerze, który sam z siebie tej funkcji nie zawiera.

Tego typu ćwiczenie nie jest tylko “sztuką dla sztuki”. Kilka razy spotkałem się z sytuacją, w której narzędzie najlepiej nadające się do wykonania określonego zadania miało jakąś “małą” wadę, na przykład nie potrafiło sobie poradzić z tokenem anty-CSRF, albo uporczywie generowało nieprawidłowe nagłówki. Kilka linii kodu i już wszystko działało zgodnie z oczekiwaniami.

FiddlerScripting #2

W tym przypadku pokazuję jak z wykorzystaniem skryptów usunąć “szum” z wyników pracy fuzzera. Po prostu usuwam wszystkie nieistotne (w danym kontekście) zmiany, dzięki czemu łatwiej:

• zidentyfikować zmiany istotne,
• zidentyfikować podstawowe typy odpowiedzi – reakcji aplikacji na fuzzing,

Dokładniejsza analiza przypadków testowych i reakcji aplikacji na nie w kolejnym odcinku.

Do fuzzingu mam stosunek nieco ambiwalentny. Fuzzing pozwala sprawdzić wiele przypadków testowych w krótkim czasie, ale wyniki fuzzingu jeszcze trzeba przeanalizować. Nie zawsze można liczyć na to, że aplikacja będzie kulturalnie informowała o problemach rozbudowanymi komunikatami błędu. Dlatego każda możliwość szybkiej identyfikacji istotnych/interesujących przypadków jest, moim zdaniem, na wagę złota.

Dodatkowe informacje

W tych odcinkach wykorzystałem:

• przykład http://bootcamp.threats.pl/lesson25d/ jako testowaną aplikację,
• rozszerzenie intruder21 (fuzzer),
• swoje własne rozszerzenia,

Miłego oglądania/słuchania :)

Oryginał tego wpisu dostępny jest pod adresem Dwa nowe videocasty

Autor: Paweł Goleń