[Owasp-brazilian] Anuncio da nova versão de Groundspeed

Maycon Maia Vitali mayconuvv at gmail.com
Fri Jan 29 08:14:00 EST 2010


Eu particularmente utilizo o FireBug. Com esse add-on consigo capturar 
requisições enviadas por Ajax e até mesmo parâmetros passados por uma 
aplicação em Flash. :-)
De qualquer forma, vou dar uma olhada no seu add-on e fazer alguns 
testes. Qualquer novidade (dica, sugestão, crítica, etc) te mando uma 
mensagem no PVT.

Abraços,

---------------------------------------------
Maycon Maia Vitali
http://maycon.hacknroll.com
http://blog.hacknroll.com
Hack'n Roll
---------------------------------------------

Wagner Elias escreveu:
> Olá Felipe,
>
> eu utilizo o add-on web developer para realizar estas interações.
> Muito bem observado, uma coisa é você manipular uma requisição direto
> no método (URL ou parâmetro do POST), agora os objetos DOM sempre tem
> informações úteis.
>
> Vou adotar, me pareceu mais prático que o Web Developer.
>
> Abs.
>
> Em 28 de janeiro de 2010 15:00, Felipe Moreno <felipe at wobot.org> escreveu:
>   
>> Olá Marcelo,
>>
>> Obrigado pela resposta!
>>
>> <disclaimer>Desculpem o meu português, que esta um pouco enferrujado
>> :-) são muitos anos fora do Brasil...</disclaimer>
>>
>> A principal idéia que eu apresentei na conferencia do OWASP é que
>> manipular parâmetros ao nível do protocolo HTTP (usando ferramentas
>> como TamperData ou proxies como Burp, Paros) não é eficiente para
>> certos tipos de parâmetros, em particular parâmetros que se originam
>> na interface da aplicação.
>>
>> O argumento e que a interface da aplicação foi desenhada para ser
>> usada por pessoas e as etiquetas do formulário permitem ao usuário
>> obter contexto sobre os dados. Ao trabalhar ao nível do protocolo
>> HTTP, nos perdemos esse contexto e temos que reconstruí-lo para tentar
>> entender o significado de cada parâmetro e como se pode manipular.
>> Esse esforco para reconstruir o contexto é um obstáculo para o teste e
>> realmente não aporta nada, pura "fricção".
>>
>> Groundspeed é um experimento para tentar explorar outras alternativas
>> e fazer o processo do teste mais eficiente, eliminado alguns desses
>> obstáculos "invisíveis" para que toda a atenção do auditor se aplique
>> ao que importa, encontrar os problemas de segurança.
>>
>> Tem mais detalhes sobre essa idéia nos slides da apresentação do OWASP
>> (link no site) e também em alguns posts no blog do Groundspeed (em
>> inglês) - http://groundspeed.wobot.org
>>
>> Um abraço,
>>
>> Felipe.
>>
>> 2010/1/28 marcelojunior at superig.com.br <marcelojunior at superig.com.br>:
>>     
>>> Muito legal Felipe.
>>> Outro add on interessante e útil para testes sql injection por exemplo é o
>>> Data Tamper...
>>>
>>> Abs.
>>> Marcelo Jr
>>>
>>> Olá pessoal,
>>>
>>> Eu gostaria de anunciar a nova versão do Groundspeed, uma add-on para
>>> Firefox que permite manipular a interface das aplicações web para
>>> facilitar o pentest.
>>>
>>> Por exemplo, Groundspeed permite mudar o tipo dos campos dos
>>> formulários HTML para transforma-los em campos de texto, eliminar os
>>> limites de tamanho, modificar os event handlers de JavaScript, etc.
>>>
>>> Eu publiquei a primeira versão na conferencia do OWASP nos USA em 2009
>>> (OWASP AppSec DC) com uma apresentação chamada "Manipulating Web
>>> Application Interfaces, a new approach to input validation testing",
>>> mas essa primeira versão so estava em inglês. Agora a nova versão esta
>>> traduzida ao português (e também ao espanhol, francês e russo).
>>>
>>> Groundspeed é open source e esta disponível aqui:
>>> http://groundspeed.wobot.org
>>> .
>>>
>>> Abraços,
>>>
>>> Felipe
>>> _______________________________________________
>>> Owasp-brazilian mailing list
>>> Owasp-brazilian at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>
>>>
>>>       
>>
>> --
>> Felipe
>>
>> Groundspeed Firefox Add-on: http://groundspeed.wobot.org
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>>     
>
>
>
>   



More information about the Owasp-brazilian mailing list