Настройка процесса поиска аномалий: введение
Помимо нахождения уязвимостей в целевом приложении, FAST позволяет обнаруживать аномалии с помощью фаззера (fuzzer).
Далее рассказывается о:
В документе с примером пользовательского расширения FAST демонстрируется аномальное поведение целевого приложения OWASP Juice Shop. Обычно на неверную комбинацию логина и пароля в форме авторизации это приложение посылает ответ с кодом Однако если передать в поле ввода логина одинарную кавычку Сама по себе такая аномалия не приводит к прямой эксплуатации какой-либо уязвимости, но предоставляет злоумышленнику сведения о внутренней структуре приложения и побуждает к выполнению атаки типа «SQL-инъекция».Пример аномалии.
403 Unauthorized
и коротким сообщением «Invalid email or password.».'
, вставленную в любом месте произвольной строки логина, то приложение вернет ответ с кодом 500 Internal Server Error
, содержащий в себе сообщение об ошибке SQL-сервера при попытке выполнить запрос к базе данных: «...SequelizeDatabaseError: SQLITE_ERROR:...», что является аномальным поведением.
results matching ""
No results matching ""
results matching ""
No results matching ""