[Owasp-brazilian] Anuncio da nova versão de Groundspeed

Felipe Moreno felipe at wobot.org
Thu Jan 28 12:00:07 EST 2010


Olá Marcelo,

Obrigado pela resposta!

<disclaimer>Desculpem o meu português, que esta um pouco enferrujado
:-) são muitos anos fora do Brasil...</disclaimer>

A principal idéia que eu apresentei na conferencia do OWASP é que
manipular parâmetros ao nível do protocolo HTTP (usando ferramentas
como TamperData ou proxies como Burp, Paros) não é eficiente para
certos tipos de parâmetros, em particular parâmetros que se originam
na interface da aplicação.

O argumento e que a interface da aplicação foi desenhada para ser
usada por pessoas e as etiquetas do formulário permitem ao usuário
obter contexto sobre os dados. Ao trabalhar ao nível do protocolo
HTTP, nos perdemos esse contexto e temos que reconstruí-lo para tentar
entender o significado de cada parâmetro e como se pode manipular.
Esse esforco para reconstruir o contexto é um obstáculo para o teste e
realmente não aporta nada, pura "fricção".

Groundspeed é um experimento para tentar explorar outras alternativas
e fazer o processo do teste mais eficiente, eliminado alguns desses
obstáculos "invisíveis" para que toda a atenção do auditor se aplique
ao que importa, encontrar os problemas de segurança.

Tem mais detalhes sobre essa idéia nos slides da apresentação do OWASP
(link no site) e também em alguns posts no blog do Groundspeed (em
inglês) - http://groundspeed.wobot.org

Um abraço,

Felipe.

2010/1/28 marcelojunior at superig.com.br <marcelojunior at superig.com.br>:
>
> Muito legal Felipe.
> Outro add on interessante e útil para testes sql injection por exemplo é o
> Data Tamper...
>
> Abs.
> Marcelo Jr
>
> Olá pessoal,
>
> Eu gostaria de anunciar a nova versão do Groundspeed, uma add-on para
> Firefox que permite manipular a interface das aplicações web para
> facilitar o pentest.
>
> Por exemplo, Groundspeed permite mudar o tipo dos campos dos
> formulários HTML para transforma-los em campos de texto, eliminar os
> limites de tamanho, modificar os event handlers de JavaScript, etc.
>
> Eu publiquei a primeira versão na conferencia do OWASP nos USA em 2009
> (OWASP AppSec DC) com uma apresentação chamada "Manipulating Web
> Application Interfaces, a new approach to input validation testing",
> mas essa primeira versão so estava em inglês. Agora a nova versão esta
> traduzida ao português (e também ao espanhol, francês e russo).
>
> Groundspeed é open source e esta disponível aqui:
> http://groundspeed.wobot.org
> .
>
> Abraços,
>
> Felipe
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>



-- 
Felipe

Groundspeed Firefox Add-on: http://groundspeed.wobot.org


More information about the Owasp-brazilian mailing list