Najczęstszym punktem wstrzyknięcia złośliwych treści do aplikacji są wartości parametrów przekazywanych do niej. Aby poznać, jakie parametry używa dana aplikacja, należy przeprowadzić fazę rekonesansu, czyli testować różne funkcjonalności i zauważać, jakie parametry są wtedy przesyłane. Jednakże, jeśli nie ma się dostępu do pełnej dokumentacji technicznej lub kodu źródłowego, a funkcjonalności nie są w pełni zaimplementowane w interfejsie użytkownika, może okazać się trudne zidentyfikowanie wszystkich obsługiwanych parametrów.
Na szczęście, istnieje wtyczka o nazwie „param-miner”, która umożliwia testowanie ponad 65000 unikalnych nazw parametrów w zapytaniach typu GET i POST. Wtyczka ta radzi sobie również z formatem JSON oraz sprawdza parametry w nagłówkach i ciasteczkach.
Aby skorzystać z wtyczki, wystarczy kliknąć prawym przyciskiem myszy na żądanie (request), które chcemy przetestować, a następnie wybrać odpowiednią opcję z menu kontekstowego. W konfiguracji wtyczki można wybrać opcje, które nas interesują.
![param miner menu kontektowe](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_779/https://my127001.pl/wp-content/uploads/2023/04/image-1-1024x779.jpg)
Kolejno konfigurujemy ustawienia, zaznaczając opcje, które nas interesują:
![param miner ustawienia](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_777/https://my127001.pl/wp-content/uploads/2023/04/image-2-1024x777.jpg)
W loggerze będziemy mogli zauważyć, że wtyczka zaczęła swoją pracę poprzez sprawdzanie różnych parametrów:
![param miner logger](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_774/https://my127001.pl/wp-content/uploads/2023/04/image-3-1024x774.jpg)
Gdy uda jej się zidentyfikować parametr, objawiający się nieoczekiwaną odpowiedzią serwera, poinformuje nas o tym w sekcji „Issues”:
![param miner raportowanie](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_672/https://my127001.pl/wp-content/uploads/2023/04/image-4-1024x672.jpg)
Na przykład, w przypadku testowanego żądania typu GET, wtyczka zidentyfikowała parametr „utm_content”, który pozwolił na zidentyfikowanie podatności typu cross site scripting (XSS):
![utm_content](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_669/https://my127001.pl/wp-content/uploads/2023/04/image-1-1-1024x669.jpg)
![cross site scripting (XSS)](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_633/https://my127001.pl/wp-content/uploads/2023/04/image-1024x633.png)
Wtyczkę „param-miner” można pobrać ze sklepu BApp Store lub z repozytorium na Githubie: https://github.com/PortSwigger/param-miner