Jednych bardziej cieszą XSSy, innych SQLi, a jeszcze kogoś innego błędy w logice biznesowej, które najtrudniej wykryć przez systemy bezpieczeństwa jak Web Application Firewall, IDS/IPS czy analizę logów serwerów www. Od jakiegoś czasu właśnie one zyskują w moich oczach najwięcej. Może dlatego, że każda aplikacja to co najmniej lekko zmieniona logika, a najczęściej zdecydowanie inna. To niestandardowe wyzwanie, które sprawia, że pentest nie jest taki nudny.
Dlaczego wspominam o tego rodzaju testach? Bo nadal często spotykam ludzi, którzy dziwią się po co pentesterowi założenia biznesowe jaki ma realizować aplikacja. Czy one naprawdę są potrzebne aby wykonać dobry pentest? Może nie są potrzebne, ale mogą dużo pomóc. Szczególnie jeśli testowana jest aplikacja o słabo zrozumiałej logice działania.
Dla zainteresowanych tematem: Na niedawno zakończonej konferencji FRHACK 2009 miała miejsce nawet ciekawa prezentacja: Identification & Exploitation of Business Logic Flaws in Web Applications, do której udostępniono już slajdy. Może komuś się to przyda.
BTW: Czy ktoś próbował lub musiał na podstawie logów z serwerów WWW, ruchu do/z aplikacji webowej sprawdzić czy nie doszło do udanej próby wykorzystania nieznanej luki, może w logice biznesowej aplikacji? Od takie przykładowe zadanie na CTF w kategorii Forensic. :-)
Subskrybuj:
Komentarze do posta (Atom)
2 komentarze:
tak, zdazylo sie, ze dopiero po logach wyszlo na czym polegal blad. dokladniej mowiac chodzilo o badanie wywolywanych url, oraz wielkosc zawartych w nich odpowiedzi.
co do zalozen biznesowych, to jest to bardzo wazna i przydatna rzecz. nie tyle co pomaga w zrozumieniu aplikacji, ale przyspiesza i ulatwia testowanie. dzieki temu wiadomo na jakich obszarach powinnismy sie najpierw skupic, oraz pod jakim katem oceniac poszczegolne bledy.
Ja powiem tyle - z dziką przyjemnością zająłbym się czymś innym, niż szukanie XSSów i SQLi. W pewnej chwili wpada się w rutynę i pojawia się MARAZM. Do tego przez tą rutynę zwiększa się szansa przeoczenia czegoś ciekawszego/większego...
Prześlij komentarz