Param-miner — odkryj ukryte parametry

my127001.pl 1 rok temu

Najczęstszym punktem wstrzyknięcia złośliwych treści do aplikacji są wartości parametrów przekazywanych do niej. Aby poznać, jakie parametry używa dana aplikacja, należy przeprowadzić fazę rekonesansu, czyli testować różne funkcjonalności i zauważać, jakie parametry są wtedy przesyłane. Jednakże, jeżeli nie ma się dostępu do pełnej dokumentacji technicznej lub kodu źródłowego, a funkcjonalności nie są w pełni zaimplementowane w interfejsie użytkownika, może okazać się trudne zidentyfikowanie wszystkich obsługiwanych parametrów.

Na szczęście, istnieje wtyczka o nazwie „param-miner”, która umożliwia testowanie ponad 65000 unikalnych nazw parametrów w zapytaniach typu GET i POST. Wtyczka ta radzi sobie również z formatem JSON oraz sprawdza parametry w nagłówkach i ciasteczkach.

Aby skorzystać z wtyczki, wystarczy kliknąć prawym przyciskiem myszy na żądanie (request), które chcemy przetestować, a następnie wybrać odpowiednią opcję z menu kontekstowego. W konfiguracji wtyczki można wybrać opcje, które nas interesują.

Kolejno konfigurujemy ustawienia, zaznaczając opcje, które nas interesują:

W loggerze będziemy mogli zauważyć, iż wtyczka zaczęła swoją pracę poprzez sprawdzanie różnych parametrów:

Gdy uda jej się zidentyfikować parametr, objawiający się nieoczekiwaną odpowiedzią serwera, poinformuje nas o tym w sekcji „Issues”:

Na przykład, w przypadku testowanego żądania typu GET, wtyczka zidentyfikowała parametr „utm_content”, który pozwolił na zidentyfikowanie podatności typu cross site scripting (XSS):

Idź do oryginalnego materiału