WebSockets för applikationstestare

WebSockets för applikationstestare Owasp Sweden Martin Holst Swende 2011-01-31

Summary• Applikationstestning – Vanliga misstag• WebSockets – På serversidan – På klientsidan – Analys av kommunikation

Applikationstestning i urval

Applikationstestning• Kartlägga kommunikationsflöden – Vad skickas? • Direkta eller indirekta referenser • ”Hemlig” data? • ”Icke editerbar” data? – Var sker datavalidering? • På serversidan eller klientsidan? – Hur ser datavalidering ut? • Vitlistebaserad eller svartlistebaserad?

Vanliga misstag• Direkta referenser, typiska konsekvenser: – Path traversal – Remote file inclusion – Byta användarkonto• Datavalidering på klientsidan – Diverse injection-brister: XSS, SQLi etc. – Ändra priset på en vara / summan på betalning• Svartlistebaserad filtrering – Alltför snäv lista (släpper igenom för mycket). UTF-7? Overlong UTF-8?• Fokus på filtrering istället för korrekt transcoding – Injection-brister är egentligen fel i transformering av data mellan olika format-kontexter.

Okej, vad är det för speciellt med WebSockets?

WebSockets• Paradigmskifte i HTTP-världen. – Verktyg för att analysera HTTP-trafik (proxies) stöder inte WebSockets (än). – Oftast inte bara en quickfix, eftersom det är en helt annan modell.

WebSocket - användning• Server: – Java: Jetty, jWebSocket – PHP: phpWebSocket, WaterSpout – Python: pyWebSocket (Apache httpd), Tornado (Facebook) – Javascript: Node.js• Klient: – WebSocket stöd:Protocol IE FF Ch Safari Operadraft-hixie- 4 5.0.0thewebsocketprotocol-75draft-hixie- 4.0 beta 6 5.0.1 11.00(DISABLED)thewebsocketprotocol-76 (DISABLED)draft-ietf-hybi-thewebsocketprotocol-00

Klientstöd, forts• Javascript API definierat av W3C, dock bara ’native’ support i vissa browsers.• Både Flash och Silverlight har stöd för råa sockets, så det kräver inget nytt i ’core’ för att prata websockets. Det finns olika ramverk för att skapa implementera javascript-WebSockets via Flash – gimite/web-socket-js – jWebSocket/FlashBridge• Eller Silverlight: – http://40interop.ep.interop.msftlabs.com/html5/ClientBin/Microsoft.ServiceM odel.Websockets.xap – http://40interop.ep.interop.msftlabs.com/html5/js/jquery.slws.js• WebSockets finns även för IE med CromeFrame• Således kan websockets användas på de flesta browsers som stöder Flash/Silverlight/JavaFX(?)

I praktiken

Jetty Java server API

Node.js Socket.IO API

Browser API

Klient exempel

Analys av WebSocket-kommunikation Applikation • Man kan använda Javascript javascript-debugger för Initierar Websocket att påverka applikationen Browser-API • Man kan koppla in sig Javascript mellan applikationen och Browser-API Hanterar WebSocket TCP- • Man kan övervaka och OS modifiera trafiken på TCP- proxies nivåSköter nätverkskommunikation på låg nivå

Manipulering av klient-API Monkeypatching

Javascript tampering• När applikation skickar data, kallas send()- metoden: socket.send(’foo’);• Implicit kallas på send()-metoden i ”prototyp”- objektet, (ungf superklassen).• Det går att skriva över send i prototypen:

Javascript tampering• När data tas emot är det svårare, eftersom onMessage- metoden sitter på instansen, inte i en supertyp.• Man kan dock skriva över hela WebSocket-konstruktorn och ’minera’ den

Att nämna• Nackdel: Koden måste köras innan någon websocket-uppkoppling gjorts för att receive() skall kunna fungera• Nackdel: Fungerar bara för javascript websockets, ej för Silverlight eller Flash• Fördel: går att lägga som bookmarklet, bör vara oberoende av browser• Finns även packeterat som en plugin till chrome

TCP tampering• Lura datorn att koppla upp sig till en (tcp-)proxy – Ändra i /etc/hosts eller motsv – Använda Mallory som default gateway• Proxyn vidarebefordrar all data till den korrekta hosten• Fördelar: Oberoende av klientteknik (js, silverlight, flash)• Nackdelar: väldigt låg nivå (bits & bytes)• Exempel: Mallory, Hatkit proxy, em-proxy (?), socat (?) etc…

Demo - Mallory MalloryVictim Default Internet Gateway

Frågor? Presenterat av: Martin Holst Swendehttp://martin.swende.se martin@swende.se twitter:@mhswende

http://daniel.haxx.se	142
http://blog.michaelboman.org	52
http://feeds.feedburner.com	11
http://translate.googleusercontent.com	2

WebSockets för applikationstestare

by holiman on Feb 02, 2011

Accessibility

Tags

Upload Details

Usage Rights

4 Embeds 207

Statistics

WebSockets för applikationstestare — Presentation Transcript