Param-miner — odkryj ukryte parametry

Najczęstszym punktem wstrzyknięcia złośliwych treści do aplikacji są wartości parametrów przekazywanych do niej. Aby poznać, jakie parametry używa dana aplikacja, należy przeprowadzić fazę rekonesansu, czyli testować różne funkcjonalności i zauważać, jakie parametry są wtedy przesyłane. Jednakże, jeśli nie ma się dostępu do pełnej dokumentacji technicznej lub kodu źródłowego, a funkcjonalności nie są w pełni zaimplementowane w interfejsie użytkownika, może okazać się trudne zidentyfikowanie wszystkich obsługiwanych parametrów.

Na szczęście, istnieje wtyczka o nazwie „param-miner”, która umożliwia testowanie ponad 65000 unikalnych nazw parametrów w zapytaniach typu GET i POST. Wtyczka ta radzi sobie również z formatem JSON oraz sprawdza parametry w nagłówkach i ciasteczkach.

Aby skorzystać z wtyczki, wystarczy kliknąć prawym przyciskiem myszy na żądanie (request), które chcemy przetestować, a następnie wybrać odpowiednią opcję z menu kontekstowego. W konfiguracji wtyczki można wybrać opcje, które nas interesują.

Kolejno konfigurujemy ustawienia, zaznaczając opcje, które nas interesują:

param miner ustawienia

W loggerze będziemy mogli zauważyć, że wtyczka zaczęła swoją pracę poprzez sprawdzanie różnych parametrów:

param miner logger

Gdy uda jej się zidentyfikować parametr, objawiający się nieoczekiwaną odpowiedzią serwera, poinformuje nas o tym w sekcji „Issues”:

param miner raportowanie

Na przykład, w przypadku testowanego żądania typu GET, wtyczka zidentyfikowała parametr „utm_content”, który pozwolił na zidentyfikowanie podatności typu cross site scripting (XSS):

utm_content
cross site scripting (XSS)

Wtyczkę „param-miner” można pobrać ze sklepu BApp Store lub z repozytorium na Githubie: https://github.com/PortSwigger/param-miner

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Otagowano , , , , , , , , , , .Dodaj do zakładek Link.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *