threats.pl > Bezpieczeństwo aplikacji internetowych > Lekcja 25: Wyzwanie V

Lekcja 25: Wyzwanie V

Tym razem przedmiotem wyzwania jest stosunkowo prosta formatka wyszukiwania. Zadanie polega na znajdowaniu w niej błędów i raportowaniu ich. Na podstawie raportów błędów tworzone będą kolejne wersje zadania. Docelowo formatka ta powinna być bezpieczna, czyli zidentyfikowane i usunięte powinny zostać wszystkie podatności.

Istotną częścią zadania jest nie tylko wykazanie istnienia podatności, ale również tego, że podatność nie istnieje. Będzie to miało szczególnie duże znaczenie przy kolejnych wersjach zadania.

Raporty o znalezionych podatnościach należy nadsyłać na adres bootcamp@threats.pl. Zgłoszenie musi zawierać przypadek testowy, czyli opis jak odtworzyć opisywaną sytuację. Raporty będą publikowane razem z kolejną wersją aplikacji.

Wersje zadania:

Videocasty

Wersja zadania z 27 października wykorzystana jest w dwóch videocastach:

W pierwszym przykładzie pokazuję jak z wykorzystaniem FiddlerScriptu można wykorzystać narzędzie, które samo z siebie nie radzi sobie z tokenami anty-CSRF. W tym wypadku narzędziem tym jest intruder21, natomiast może to być dowolne inne narzędzie, które najlepiej nadaje się do określonego zadania, ale ma jakieś drobne braki, które nie pozwalają na jego bezpośrednie użycie.

W drugim przykładzie pokazuję w jaki sposób można wykorzystać FiddlerScripting do usunięcia w trakcie fuzzingu "szumu" (np. nieistotnych zmian treści strony) tak, by późniejsza analiza rezultatów fuzzingu była łatwiejsza.

Wskazówki

Ponieważ zadanie pozostało nie do końca rozwiązane, postanowiłem wykorzystać je jako przykład dla dłuższych wyjaśnień. Będą one publikowane sukcesywnie. Ich lista dostępna jest poniżej:

Raporty błędów

Poniżej znajduje się lista raportów błędów nadesłanych w ramach tego zadania.