Fuzzing web con Wapiti
El fuzzing es un concepto originado en el entorno de pruebas de software; si bien, debido principalmente a sus características y posibilidades, tiene una aplicación bastante directa en el campo de la seguridad.
Este tipo de pruebas consiste en la generación (casi siempre automatizada) de todo tipo de entradas para un software, generalmente -y con especial énfasis- incluyendo información aleatoria, errónea, malformada o directamente a mala hostia. Como la mítica prueba del gato, pero de forma exhaustiva, vaya.
En el caso concreto de las aplicaciones web, la idea es recorrer el árbol de posibles URL expuestas, prestando especial atención a los parámetros (GET y/o POST), sobre los que se aplicará el fuzzing. Debido a que, en principio, se asume conocimiento cero de las interioridades del software, se usa un acercamiento del tipo “caja negra“, y se prueba a ver qué se traga y por dónde. Como os podréis imaginar, esto genera errores para todos los gustos y colores, en algunos casos inestabilidad en el servidor (algo habrán programado mal si se llega a dar el caso…), e incluso jugosas vulnerabilidades web, especialmente XSS.
Un ejemplo de software para fuzzing sobre web es wapiti. Este software, escrito en Python, recorre en primer lugar el árbol de URL como si se tratara de un crawler o un spider, para posteriormente efectuar las pruebas de fuzzing.
Contenido completo en fuente original Death-Master
Este tipo de pruebas consiste en la generación (casi siempre automatizada) de todo tipo de entradas para un software, generalmente -y con especial énfasis- incluyendo información aleatoria, errónea, malformada o directamente a mala hostia. Como la mítica prueba del gato, pero de forma exhaustiva, vaya.
En el caso concreto de las aplicaciones web, la idea es recorrer el árbol de posibles URL expuestas, prestando especial atención a los parámetros (GET y/o POST), sobre los que se aplicará el fuzzing. Debido a que, en principio, se asume conocimiento cero de las interioridades del software, se usa un acercamiento del tipo “caja negra“, y se prueba a ver qué se traga y por dónde. Como os podréis imaginar, esto genera errores para todos los gustos y colores, en algunos casos inestabilidad en el servidor (algo habrán programado mal si se llega a dar el caso…), e incluso jugosas vulnerabilidades web, especialmente XSS.
Un ejemplo de software para fuzzing sobre web es wapiti. Este software, escrito en Python, recorre en primer lugar el árbol de URL como si se tratara de un crawler o un spider, para posteriormente efectuar las pruebas de fuzzing.
Contenido completo en fuente original Death-Master
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!