Web Fuzzing i WebAii

Automatyzacja testowania:Web fuzzing&
WebAii
Beata Frączek

O czym powiem:
Web Fuzzing
Co to fuzzing?
Fuzzing a bezpieczeństwo
Jak się ma do aplikacji webowych?
Za i przeciw
Narzędzia (aplikacje i frameworki)
WebAii
Co to i do czego służy?
Głównie zalety (i wady)
Demo

Webfuzzing ?
ATAK? ZABAWKA HACKERA?
TESTOWANIE PRZYSZŁOŚCI?

WebfuzzingCo to fuzzing?
Metoda testowania oprogramowania
Luki w bezpieczeństwie
Losowe dane
Jakie? – najlepiej wadliwe (bazy payload-ów)
Co zrobi aplikacja?
Zaakceptuje i zachowa się nieprzewidzianie
Cieszy się tester - nie cieszy się programista
Odrzuci i zachowa się według planu
Cieszy się tester – cieszy się programista
Proces w pełni automatyczny
Nie stanowi standardowej metody testowania!

WebfuzzingCo to fuzzing?

FuzzingJak się ma do aplikacji webowych?
Fuzzing – technika, Fuzzer – aplikacja
Działaniu fuzzera można poddawać:
Aplikacje działające lokalnie
Aplikacje sieciowe
Aplikacje webowe !
Kontrolki ActiveX
Biblioteki współdzielone
Pliki
...

WebfuzzingProces fuzzingu aplikacji webowej

WebfuzzingBłędy aplikacji webowych
Istnienie niebezpieczne
Ryzyko wystąpienia wysokie
Cross-site Scripting (XSS)
Cross-site Request Forgery (CSRF)
Injection bugs (Code Injection, SQL Injection, LDAP Injection, XPath Injection, SMTP Injection …)
Wyciek danych oraz zła obsługa błędów
Niepoprawne zarządzanie sesją (Session Fixation, Session Poisoning itd.)
Path Traversal
Błędy autoryzacji i uwierzytelnienia
Błędy logiczne? Błędy kombinowane?

Webfuzzing Straty:
Utrata Danych
Podmiana Danych
Zniszczony wizerunek
Straty finansowe

Webfuzzing Straty:
Garbage in – garbage out
Brak mechanizmu walidacji danych
Brak mechanizmów badających tolerancje na nieprawidłowe dane
Fuzzer

FuzzingAplikacje i Frameworki
Aplikacje:
Powerfuzzer
Wapiti
WFuzz
Rfuzz
Frameworki:
Spike (typy danych i struktury bloków, funkcje sieciowe)
Rfuzz (Ruby)
Język – dowolny. Polecane: Python, Ruby, Java

do tworzenia oprogramowania testującego inne aplikacje pod kątem błędów bezpieczeństwa
prostota
przejrzystość kodu źródłowego,
ogromnych możliwości manipulowania ciągami tekstowymi.
mniej skomplikowanym niż C/C++,
napisanie w pełni funkcjonalnego
programu zajmuje mniej czasu.
Minus: skryptowa natura Pythona
for w PHP wygląda znajomo:
<?PHP
for($i=1;$i <=5;$i++)
{
print $i.'<br />';
}
?>
W Pythonie mniej
for i in range(1,6):
print i

FuzzingFuzzery napisane w Pythonie
Peach– wieloplatformowy framework, którego głównymi cechami są duże możliwości oraz prostota użycia
Taof– fuzzer wyspecjalizowany w testowaniu protokołów sieciowych. Posiada rozbudowane GUI (Linux, Windows)
SMUDGE– fuzzer wyłącznie protokołów sieciowych.
FileP– program do generowania zmodyfikowanych plików na podstawie określonego wzorca i wysyłania ich do (testowanej) aplikacji.
Antiparser– prosty framework

Składniki frameworku Peach
Generators– służą do generowania różnego rodzaju danych. Możemy używać także takich danych jak – złych adresów IP, nieprawidłowych łańcuchów tekstowych czy nieodpowiednich nazw plików.
Publishers– jest to zbiór miejsc docelowych, do których będą wysyłane generowane dane. Peach pozwala nam wysyłać dane do standardowego wyjścia, plików, połączeń ODBC, TCP i UDP oraz sesji FTP
Transformers– pozwalają zmieniać dane według określonego wzorca. Obsługiwane są m. in. kodowanie bzip2, gzip, algorytmy MD5 oraz SHA1, a także zmiana kodowania (UTF8, UTF16, URL).
Group– grupy powiązane są z generatorami. Za ich pomocą możemy tworzyć schematy pracy generatorów i uzyskać nad nimi pełną kontrolę.

Autorski Fuzzer?Udowodnij programiście błąd :]
Bloki funkcjonalne odpowiedzialne za:
nawiązywanie połączeń, wysyłanie,
odbieranie oraz kodowanie danych
generowanie danych wysyłanych do aplikacji.
identyfikację punktów wejściowych
wykrywanie błędów.
agregowanie wyników działania fuzzera.
Każdy blok ma identyczny priorytet
Jest integralną częścią fuzzera.

Wady i zalety fuzzingu:
Zalety:
Pełna automatyzacja testu!
Błędy trudne do identyfikacji za pomocą manualnych testów
Możliwość szybkiego znalezienia błędu
Wady:
Błędy logiczne
Niejednolitość testów - wykorzystanie losowości
Pojedynczy test jest trudny do powtórzenia
Brak możliwości określenia dokładnego czasu potrzebnego na wykonanie testu -> dynamicznie zmieniający się zbiór wartości testowych

WebAii™ Automation Framework
Darmowa biblioteka .NET, .NET framework 3.5
Automatyzacja testów funkcjonalnych aplikacji internetowych
Można zastosować do testów wydajnościowych (performance)
Wsparcie dla ASP .NET
Zawiera przykłady w C# i VB .NET

Biblioteka dedykowana do testów aplikacji Web 2.0
Rich Internet Applications (RIA)
AJAX
ASP .NET
Obsługa ramek
Obsługa okien dialogowych i pop-upów
Pełen dostęp do struktury DOM

zdolność testowania .NET
testowanie AJAX i Java Script
rozpoznawania różnych elementów stron www
testowanie Silverlighta

Przeglądarki:
Wspólne API dla Internet Explorer 6 i 7, Firefox 2 i 3
konfiguracja przeglądarek
Środowisko:
NUnitlubVisual Studio Team System
.NET framework 3.5, Visual Studio C# Express 2008
Primary Interop Assemblies (PIA)
Firebug, Internet Explore Developer Toolbar

Źródła:
www.fuzzing.eu
www.fuzzing.org
Hakin9 09.05.2008
http://www.securitum.pl/

http://www.imagineblog.pl	243
http://www.slideshare.net	13

Web Fuzzing i WebAii

by Empathy Interactive on Jan 07, 2010

Accessibility

Categories

Tags

Upload Details

Usage Rights

2 Embeds 256

Statistics

Web Fuzzing i WebAii — Presentation Transcript