Pesquisar este blog

quinta-feira, 24 de novembro de 2011

Teste Manual de Segurança usando Tamper Data

Diariamente realizo diversos Testes de Segurança Automáticos usando a ferramenta AppScan da IBM, no entanto tenho que fazer uma auditoria dos resultados apresentados pela ferramenta, uma maneira fácil de  realizar o teste usando um plugin do firefox que captura o post enviado, e alterando a requisição enviada para o servidor, podemos alterar as variáveis normais por outras maliciosas.

Passos:
1. Baixe o plugin tamper, pelo firefox, é só clicar em aceitar e instalar
https://addons.mozilla.org/en-US/firefox/addon/tamper-data/eula/79565?src=search


Ao abrir o Tamper, temos as seguintes opções:
Star Tamper - Iniciar a captura da Requisição enviada
Stop Tamper - Para o captura do Teste
Clear - Limpar
Options - Opções para mudar ou alterar os valores.
Help - Ajuda


Ao Iniciar a Captura "Start Tamper", ao clicar no botão submit da aplicação, vai captura a requisição e mostrar três opções "Tamper", que seria pra alterar a requisição, "Submit" continuar sem alterar a requisição e "Abort Resquest" nessa opção vai finalizar sem enviar a requisição.


Ao alterar a requisição ele mostra o Header, todo cabeçalho da requisição, temos dois parâmetros de post enviados, o valor que foi colocado no campo texto e o valor do submit que seria o botão pra inserir os dados.
Ao clicar com o botão direito em cima do valor do post, temos varias opções, podemos adicionar novas variáveis ou altera-las, no meu caso adicionei um XSS, um cross site script.

<script>alert('Teste Realizado com Sucesso!!!');</script>



Aqui vemos que a aplicação esta vulnerável ao XSS, a aplicação não esta tratando esse tipo de vulnerabilidade, e precisa ser corrigida.

Sobre o tamper data:
http://tamperdata.mozdev.org/help.html

Nenhum comentário:

Postar um comentário