फाइल ट्रांसफर टेस्ट को स्वचालित करें – अपलोड स्कैनर

By | |

"अप्रतिबंधित फ़ाइल अपलोड" वेब एप्लिकेशन कमजोरियों के मेरे पसंदीदा समूह में से एक है। इसका कारण यह है कि अगर मैं इस प्रकार की सुरक्षा त्रुटि का पता लगा सकता हूं, तो यह आमतौर पर सर्वर के रिमोट कंट्रोल की ओर जाता है। यदि आप छवियों को अपलोड कर सकते हैं, तो क्यों न 🙂 के सर्वर की ओर एक निष्पादित फ़ाइल अपलोड करने का प्रयास करें।

चूंकि एक असामान्य सुरक्षा तंत्र का सामना करते समय परीक्षण प्रक्रिया स्वयं थकाऊ होती है, और विचार करने के लिए मामलों की संख्या बड़ी होती है, यह प्रक्रिया को स्वचालित करने लायक है। हमारी मदद से यहां बर्पा के लिए एक महान प्लगइन आता है – अपलोड स्कैनर।

वेबसाइटों पर फ़ाइलें अपलोड करना अक्सर सुरक्षा परीक्षण का एक कम करके आंका गया क्षेत्र होता है।इस प्रकार के हमलों का सतह क्षेत्र बहुत बड़ा है।केवल कुछ समस्याएं जो उत्पन्न होती हैं, वे फ़्यूज़ (उदाहरण के लिए) का बहुत ध्यान आकर्षित करती हैं।ImageTragick भेद्यता । उनके अलावा, अनगिनत कमजोरियां हैं जो उदाहरण के लिए, विभिन्न प्रकार की स्मृति त्रुटियों का कारण बनती हैं। ध्यान दें कि जब आपकी आरईएसटी एक्सएमएल नेटवर्क सेवा बाहरी एक्सएमएल इकाई इंजेक्शन (XXE) के लिए अतिसंवेदनशील नहीं हो सकती है, तो इसका मतलब यह नहीं है कि एक्सएमपी जेपीईजी मेटाडेटा (यानी.XML) के लिए उपयोग की जाने वाली छवि पार्सर को XXE के साथ कोई समस्या नहीं है।

यह निर्धारित करने के लिए कि लागू किया गया फ़ाइल हस्तांतरण तंत्र सुरक्षित है, आपको इसे विभिन्न कोणों से जांचना चाहिए। अन्य बातों के अलावा, सहसंबंध व्यवहार फ़ाइल एक्सटेंशन, सामग्री प्रकार और सामग्री पर निर्भर करता है।इसके अतिरिक्त, फ़ाइल शरीर को सर्वर-साइड संशोधन परीक्षणों से गुजरना चाहिए, जैसे छवि आकार आवश्यकताएं या आकार देने के संचालन।

"अपलोड स्कैनर" प्लगइन की मुख्य कार्यक्षमताएं हैं:

  1. जीआईएफ, पीएनजी, जेपीईजी, झगड़ा, पीडीएफ, ज़िप और एमपी 4 फाइलों के लिए सर्वर प्रदर्शन की जांच करें
  2. छवि को आकार देने के लिए सर्वर प्रदर्शन की जांच करें
  3. छवि रंग बदलने के लिए सर्वर प्रदर्शन की जांच
  4. एक्सिटॉल फाइल मेटाडेटा जैसे "कीवर्ड", "टिप्पणी" आदि के लिए सर्वर प्रदर्शन की जांच करें।
  5. पीएचपी, जेएसपी, एएसपी, एक्सएक्सई, एसएसआरएफ, एक्सएक्सएस और एसएसआई में कारनामे के लिए सर्वर संचालन की जांच करें।
  6. फ़ाइल एक्सटेंशन और सामग्री प्रकारों के संयोजन के लिए सर्वर प्रदर्शन की जांच करें।
  7. निष्क्रिय भार के माध्यम से समस्याओं की जांच करें, बर्प सहयोगी के साथ बातचीत करें, या फ़ाइल को फिर से डाउनलोड करके/
  8. डिफॉल्ट कॉन्फ़िगरेशन में, एक्सटेंशन लगभग 2,000 फ़ाइलों को अपलोड करने का प्रयास करेगा।

मानक रूप में एक्सटेंशन का उपयोग करने के लिए त्वरित शॉर्टकट:

  1. फ़ाइल को सर्वर पर अपलोड करने और प्लग-इन पर रीडायरेक्ट करने के अनुरोध को पकड़ो:
अपलोड स्कैनर के लिए भेजें

2. अपलोड करने के बाद सर्वर पर फ़ाइल पते की सही पहचान करने के लिए पार्सर को कॉन्फ़िगर करें:

अपलोड स्कैनर विन्यास

3. एक स्कैन 🙂 शुरू

प्लगइन को बीपीए स्टॉर्ज और गिथुबी में मिलेगा – अपलोडस्कैनर

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

प्रातिक्रिया दे

आपका ईमेल पता प्रकाशित नहीं किया जाएगा. आवश्यक फ़ील्ड चिह्नित हैं *