[Owasp-turkey] Reflected XSS Oyun Grubu ve Yarisma

Deniz CEVIK denizcev at gmail.com
Tue Jun 16 09:16:23 EDT 2009


Burada genellikle test edilen uygulamanın büyüklüğü, test edilecek
uygulama sayısı, bant genişliği ve zaman ne tip bir taramaya ağırlık
verileceğinde anahtar rol oynuyor. Ancak her iki yöntemde de
uygulamadaki tüm problemleri bulmak mümkün değil. hiç bir taramada
manual kontrol yapmamakta doğru değil. Ancak XSS test edilirken
<>()[]{}"'/\ karakterlerinden hangilerinin filtrelendiğine bakmak ve
buna göre atak vektörünü seçmek manual test hızını arttırmaktadır.
Eğer bant genişliği ve uygulama performansı yeterli ise otomatik
taramalarda düzgün sonuç verebilir. Örneğin tüm XSS tiplerini içeren
bir listeyi tek tek tüm parmetrelere yollayıp, yollanan verinin aynen
response içinde olup olmadığını kontrol etmek daha kesin sonuç
verebilir. Böyle bir testi ben bu test uygulaması için burpsuite
kullanarak gerçekleştirdim ve 7/6 isabet etti ama bunun için 970 istek
yollamam gerekti. Otomatik araçlardan yüksek verim ancak full tarama
yapıldığı zaman alınabiliyorki, bunun içinde bu araçlara elle müdahele
etmek gerekiyor. Manual tarama yaparkende vakit kazanmak için mutlaka
bazı işlemleri otomatize etmeniz gerekiyor ki hızlı bir şekilde
sonuçları elde edebilesiniz.

Ancak bir aracı default ayarları ile çalıştırarak otomatik tarama
yapmak daha az problemi keşfetmenize yol açacaktır. ÖRneğin bu
uygulamayı burpsuite scanner'in default ayarları ile otomatik
taradığımda 7/3 başarı elde ederken, XSS payload database'ini cheat
sheetlerden topladığım bir veritabanı ile değiştirince 7/6 isabet elde
edebildim.

Bununla birlikte bir uygulamanın tamamen elle taranması durumunda
kaçırılabilececek noktalarda olabileceğini düşünüyorum. Ek olarak
tamamen elle taramanın maliyeti adam/gün hesabına göre oldukça yüksek
olacaktır. Maliyeti düşürmek ve rekabet edebilmemiz için optimum
tarama süresini belirlemek zorundayız ki, bu bizleri genelde otomatik
taramanın daha ağırlıklı hale geldiği taramaları tercih etmemize
malesef neden oluyor.

2009/6/16 Bunyamin DEMIR <bunyamindemir at gmail.com>:
> Merhabalar Onur,
>
> Konuyu açmışken ufak bir tartışma yapmak istiyorum (doğrusu veya olması
> gereken nedir?).
>
> Bu tür açıklıkları manual mi test ediyorsunuz yoksa otomatize ederek mi
> buluyorsunuz (araç v.s kullanarak) ?
>
> Çünkü ben manual testlerin çok fazla zaman alacağına ve kişinin sezgisizene*
> göre başarı oranının artacağına inanıyorum. Tabi şunu da göz ardı
> edemiyorum. Otomatize araçlar ile bulamayacaklarınızı, manual testler de
> yakalayabilirsiniz. Fakat nekadar fark vardır? Buna değer mi?
>
> Bu konuda tecrübesi olanlar, listeyle paylaşırsa çok sevinirim. Tecrübesi
> olmayan arkadaşlara yol göstereceğini düşünüyorum.
>
> *: Tecrübe ve kişinin o konudaki bilgisiyle doğru ortantılıdır.
>
> Saygılar,
>
>
>
> 16 Haziran 2009 Salı 13:11 tarihinde Onur YILMAZ <contact at onuryilmaz.info>
> yazdı:
>>
>> Merhaba,
>>
>>
>>
>> Automate araclar ile acik tespiti yapmak yerine, acigi tespit ettikten
>> sonra araclar ile exploit etmek bence daha olumlu sonuclar verebiliyor.
>>
>>
>>
>> Bu arada hangi araclarla test ettiniz ve sonuclar nasil oldu ?
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>
>
>
> --
> Bünyamin Demir
> http://www.webguvenligi.org
> http://www.owasp.org/index.php/Turkey
>
> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


More information about the Owasp-turkey mailing list