[Owasp-brazilian] Anuncio da nova versão de Groundspeed

Wagner Elias wagner.elias at gmail.com
Fri Jan 29 07:37:22 EST 2010


Olá Felipe,

eu utilizo o add-on web developer para realizar estas interações.
Muito bem observado, uma coisa é você manipular uma requisição direto
no método (URL ou parâmetro do POST), agora os objetos DOM sempre tem
informações úteis.

Vou adotar, me pareceu mais prático que o Web Developer.

Abs.

Em 28 de janeiro de 2010 15:00, Felipe Moreno <felipe at wobot.org> escreveu:
> Olá Marcelo,
>
> Obrigado pela resposta!
>
> <disclaimer>Desculpem o meu português, que esta um pouco enferrujado
> :-) são muitos anos fora do Brasil...</disclaimer>
>
> A principal idéia que eu apresentei na conferencia do OWASP é que
> manipular parâmetros ao nível do protocolo HTTP (usando ferramentas
> como TamperData ou proxies como Burp, Paros) não é eficiente para
> certos tipos de parâmetros, em particular parâmetros que se originam
> na interface da aplicação.
>
> O argumento e que a interface da aplicação foi desenhada para ser
> usada por pessoas e as etiquetas do formulário permitem ao usuário
> obter contexto sobre os dados. Ao trabalhar ao nível do protocolo
> HTTP, nos perdemos esse contexto e temos que reconstruí-lo para tentar
> entender o significado de cada parâmetro e como se pode manipular.
> Esse esforco para reconstruir o contexto é um obstáculo para o teste e
> realmente não aporta nada, pura "fricção".
>
> Groundspeed é um experimento para tentar explorar outras alternativas
> e fazer o processo do teste mais eficiente, eliminado alguns desses
> obstáculos "invisíveis" para que toda a atenção do auditor se aplique
> ao que importa, encontrar os problemas de segurança.
>
> Tem mais detalhes sobre essa idéia nos slides da apresentação do OWASP
> (link no site) e também em alguns posts no blog do Groundspeed (em
> inglês) - http://groundspeed.wobot.org
>
> Um abraço,
>
> Felipe.
>
> 2010/1/28 marcelojunior at superig.com.br <marcelojunior at superig.com.br>:
>>
>> Muito legal Felipe.
>> Outro add on interessante e útil para testes sql injection por exemplo é o
>> Data Tamper...
>>
>> Abs.
>> Marcelo Jr
>>
>> Olá pessoal,
>>
>> Eu gostaria de anunciar a nova versão do Groundspeed, uma add-on para
>> Firefox que permite manipular a interface das aplicações web para
>> facilitar o pentest.
>>
>> Por exemplo, Groundspeed permite mudar o tipo dos campos dos
>> formulários HTML para transforma-los em campos de texto, eliminar os
>> limites de tamanho, modificar os event handlers de JavaScript, etc.
>>
>> Eu publiquei a primeira versão na conferencia do OWASP nos USA em 2009
>> (OWASP AppSec DC) com uma apresentação chamada "Manipulating Web
>> Application Interfaces, a new approach to input validation testing",
>> mas essa primeira versão so estava em inglês. Agora a nova versão esta
>> traduzida ao português (e também ao espanhol, francês e russo).
>>
>> Groundspeed é open source e esta disponível aqui:
>> http://groundspeed.wobot.org
>> .
>>
>> Abraços,
>>
>> Felipe
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>>
>
>
>
> --
> Felipe
>
> Groundspeed Firefox Add-on: http://groundspeed.wobot.org
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>



-- 
Wagner Elias - OWASP Leader Project Brazil
------------------------------------------------------------------
Twitter: www.twitter.com/welias
Blog: http://wagnerelias.com
Profile: http://www.linkedin.com/in/wagnerelias


More information about the Owasp-brazilian mailing list