Примеры политик тестирования

В этом документе приведено несколько примеров политик тестирования FAST, в том числе тех, которые используются в документации FAST. Эти примеры демонстрируют все аспекты работы с политиками.

Синтаксис описания элементов запроса

Политика тестирования FAST разрешает и/или запрещает FAST-ноде работать с определенными элементами базового запроса.

Элементы запроса описываются с помощью point’ов.

В приведенных ниже примерах политик рядом с каждым элементом запроса указан соответствующий ему point. Например: любые GET-параметры (GET_.*).

Поиск уязвимостей

Список уязвимостей, которые может обнаруживать FAST

Обратите внимание, что выбор типов уязвимостей при настройке политики тестирования влияет только на то, какие из встроенных расширений (детектов) FAST будут запущены.

Пользовательские расширения FAST будут пытаться находить те уязвимости, для поиска которых они разработаны, даже если эти типы уязвимостей не выбраны в настройках политики.

Например, политика может разрешать тестирование на RCE, в то время как пользовательское расширение будет тестировать целевое приложение на наличие SQLi.

Политика тестирования по умолчанию

Неизменяемая политика тестирования. Эта политика позволяет работать с часто встречаемыми элементами запроса, проверяя их на распространенные уязвимости.

Политика разрешает работу с:

  • любыми GET- и POST-параметрами (GET_.* и POST_.*),
  • URI (URI),
  • любыми частями пути в URI (PATH_.*),
  • именем и расширением URL action (ACTION_NAME и ACTION_EXT).

С помощью встроенных расширений FAST будет выполнена проверка на следующие уязвимости: PTRAV, RCE, SQLI, XSS, XXE.

Особенности: политика тестирования по умолчанию не поддерживает работу с фаззером. Чтобы включить фаззер, создайте отдельную политику (пример).

Пример политики по умолчанию

Примечание

  • Когда вы создаете новую политику тестирования, ее настройки будут совпадать с настройками политики тестирования по умолчанию. При этом настройки создаваемой политики можно изменять в соответствии с вашими требованиями.
  • Такая политика может использоваться при демонстрации интеграции FAST в CI/CD.

Обрабатывать все GET- и POST-параметры

Эта политика разрешает работу со всеми GET- (GET_.*) и POST-параметрами запроса (POST_.*).

С помощью встроенных расширений FAST будет выполнена проверка на следующие уязвимости: XSS.

Особенности: фаззер выключен.

Пример политики

Примечание

Такая политика может использоваться при тестировании целевого приложения Google Gruyere в руководстве Быстрый старт.

Обрабатывать URI и закодированный POST-параметр email, запускать только пользовательские расширения FAST

Эта политика разрешает работу с URI (URI) и POST-параметром email, закодированном с помощью JSON (POST_JSON_DOC_HASH_email_value).

Особенности:

  • Разрешен только запуск пользовательских расширений FAST, встроенные расширения не будут выполнены.
  • Фаззер выключен.

Пример политики

Примечание

Такая политика может использоваться при запуске примеров пользовательских детектов.

Обрабатывать URI и закодированный POST-параметр email, использовать фаззер для поиска аномалий

Эта политика разрешает работу с POST-параметром email, закодированном с помощью JSON (POST_JSON_DOC_HASH_email_value).

Особенности:

  • Отключены все встроенные расширения FAST (это допустимо при использовании фаззера).
  • Фаззер включен.

В этом примере политика задает следующее поведение фаззера FAST:

  • Полезные нагрузки размером до 123 байт вставляются в начало декодированного значения point’а (в данном случае это единственный point POST_JSON_DOC_HASH_email_value).
  • Считается, что:
    • Найдена аномалия, если в теле ответа сервера присутствует строка SQLITE_ERROR.
    • Аномалия отсутствует, если статус ответа сервера имеет значение меньше 500.
    • Фаззер останавливается не только по завершению работы со всеми вариантами полезных нагрузок, но и если нашел более двух аномалий в ответах сервера.

Пример политики

Примечание

Такая политика может использоваться при поиске уязвимостей в форме авторизации приложения OWASP Juice Shop.

Запрет работы со значением определенного point’а

Эта политика разрешает работу со всеми GET-параметрами (GET_.*), кроме GET-параметра sessionid (GET_sessionid_value).

Настройка подобного поведения может быть полезна, если необходимо запретить FAST работать с определенным point’ом (например, если непреднамеренное изменение значения конкретного параметра в ходе тестирования может привести к сбоям в работе целевого приложения).

С помощью встроенных расширений FAST будет выполнена проверка на следующие уязвимости: AUTH, IDOR.

Особенности: фаззер выключен.

Пример политики

results matching ""

    No results matching ""