Praktycznie każdy serwis internetowy posiada różne rodzaje kont użytkownika.
Ale jak sprawdzić czy uprawnienia do nich przypisane działają prawidłowo? #od0dopentestera
Można to robić ręcznie – logować się na każde konto z osobna i na każdej podstronie sprawdzać czy dostęp jest prawidłowy.
Czynność tą można również zautomatyzować przy użyciu narzędzia AutoRepeater.
Działa ono na zasadzie znajdź-zamień znanego z edytorów tekstu.
Jest to rozszerzenie do programu Burp.
Najpierw modyfikujemy ustawienia przeglądarki aby cały ruch przechodził przez serwer proxy narzędzia.
Teraz konfigurujemy reguły.
Serwisy zazwyczaj rozpoznają użytkowników na podstawie ciasteczek.
Zamieniamy więc nasze bieżące ciasteczko na wartość przypisaną do innego konta.
Możemy też usunąć ciasteczka całkowicie – aby sprawdzić jak serwis zachowuje się w przypadku niezalogowanych osób.
Teraz przeglądamy witrynę w przeglądarce i wykonujemy różne czynności.
Każde żądanie jest wysyłane do serwera ponownie – tylko, że ze zmienionym ciasteczkiem.
Pora na sprawdzanie wyników.
Najprościej nałożyć na rezultaty odpowiedni filtr.
Dla przykładu jeżeli serwer zwrócił błąd 404 to użytkownik nie posiada dostępu do danej funkcjonalności.
Wszystkie takie wiersze kolorujemy więc na czerwono.
Sprawdzamy tylko te niepokolorowane i decydujemy, czy dana osoba powinna mieć dostęp do danej części serwisu a może znaleźliśmy błąd.
Ale jak sprawdzić czy uprawnienia do nich przypisane działają prawidłowo? #od0dopentestera
Można to robić ręcznie – logować się na każde konto z osobna i na każdej podstronie sprawdzać czy dostęp jest prawidłowy.
Czynność tą można również zautomatyzować przy użyciu narzędzia AutoRepeater.
Działa ono na zasadzie znajdź-zamień znanego z edytorów tekstu.
Jest to rozszerzenie do programu Burp.
Najpierw modyfikujemy ustawienia przeglądarki aby cały ruch przechodził przez serwer proxy narzędzia.
Teraz konfigurujemy reguły.
Serwisy zazwyczaj rozpoznają użytkowników na podstawie ciasteczek.
Zamieniamy więc nasze bieżące ciasteczko na wartość przypisaną do innego konta.
Możemy też usunąć ciasteczka całkowicie – aby sprawdzić jak serwis zachowuje się w przypadku niezalogowanych osób.
Teraz przeglądamy witrynę w przeglądarce i wykonujemy różne czynności.
Każde żądanie jest wysyłane do serwera ponownie – tylko, że ze zmienionym ciasteczkiem.
Pora na sprawdzanie wyników.
Najprościej nałożyć na rezultaty odpowiedni filtr.
Dla przykładu jeżeli serwer zwrócił błąd 404 to użytkownik nie posiada dostępu do danej funkcjonalności.
Wszystkie takie wiersze kolorujemy więc na czerwono.
Sprawdzamy tylko te niepokolorowane i decydujemy, czy dana osoba powinna mieć dostęp do danej części serwisu a może znaleźliśmy błąd.
Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Podcast dostępny na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #biznes #webdev #security