I WebSocket presentano alcune potenziali nuove vulnerabilità, come Cross-Site WebSocket Hijacking .
Esiste un'app vulnerabile (come App dannosa vulnerabile Web, HackMeBank) che dimostra le vulnerabilità di WebSocket?
I WebSocket presentano alcune potenziali nuove vulnerabilità, come Cross-Site WebSocket Hijacking .
Esiste un'app vulnerabile (come App dannosa vulnerabile Web, HackMeBank) che dimostra le vulnerabilità di WebSocket?
Dovresti controllare i Web Sockets dannosi di OWASP
Per installare il contenitore docker docker pull tssoffsec/dvws
da eseguire, docker run -d -p 80:80 -p 8080:8080 tssoffsec/dvws
Penso che questo sia quello che stai cercando: Analisi, test e fuzzing Implementazioni WebSocket con IronWASP . Sembra che abbia un bel set di strumenti per la formazione e per iniziare con Web Socket Security. Mi sono imbattuto in questo qualche giorno fa ma non ho avuto la possibilità di provare effettivamente la loro demo. Solo per fornire un riassunto di quel post sul blog: l'autore ha aggiunto 5 nuovi strumenti a IronWASP (una piattaforma di test per la sicurezza Web avanzata Open Source) dedicata al test Web Socket:
1) WebSocket Message Analyzer: An utility to analyse complex WebSocket implementations in a simple way. Check out this report of of our WebSocket Demo Application.
2) Online Cross-Site WebSocket Hijacking Tester: An online tool to easily check for CSWSH issues. Check it out here. To understand more about Cross-Site WebSocket Hijacking check out this post on NotSoSecure
3) WebSocket Client: Versatile WebSocket client that lets you send store and send multiple messages along with setting custom Origin and Cookie headers. Perfect for checking Cross-Site WebSocket Hijacking and other WebSocket issues.
4) WebSocket Scripting API for Python and Ruby: To automated checks and write custom fuzzers for WebSocket implementations. Generic fuzzers don't work for asynchronous protocols like WebSockets.
5) WebSocket Demo App: A sample vulnerable application that is built to use WebSockets heavily. Good test bed to test and learn WebSocket security testing.
Ancora una volta, non ho ancora avuto la possibilità di provarli, ma questo sembrava interessante.
Non esitare a condividere altre risorse che potresti avere nei commenti, nelle risposte o persino aggiungendole al mio post. Sarebbe bello avere un elenco completo di risorse per scopi di formazione. Ecco alcune altre risorse su Web Socket Security:
Leggi altre domande sui tag websocket