Come eseguire il test pen-test delle applicazioni RAP

3

Qualcuno dei lettori ha avuto esperienza con le applicazioni di RAP (Remote Application Platform) con penna? Sono particolarmente interessato a test sulla convalida dell'input. Una ricerca superficiale su google, ecc. Non produce nulla. Qualsiasi suggerimento su come attaccare RAP è molto apprezzato.

Addendum

L'applicazione in esame è remota; non c'è modo di osservare l'elaborazione interna dell'applicazione. Tutto quello che posso vedere è lo scambio di messaggi come definito dal protocollo RAP .

    
posta countermode 23.03.2015 - 17:32
fonte

1 risposta

3

Le applicazioni RCP e RAP sono in genere create utilizzando il pacchetto Eclipse E4 Tool. Potrebbero esserci casi di test univoci per il sistema operativo sottostante di destinazione: Eclipse gira su OS X, Linux, Windows e alcuni altri SO. Innanzitutto, ottieni il pacchetto Delta: link

Il pacchetto Delta contiene tutte le risorse specifiche della piattaforma dall'SDK e viene utilizzato per le esportazioni multipiattaforma di applicazioni RCP. Se sai come installare un nuovo software su Eclipse ("Guida", "Installa nuovo software", "Aggiungi"), quindi inserisci quanto segue nel campo Ubicazione:

http://download.eclipse.org/e4/updates/0.17

Dopo che hai una piattaforma stabile e sai come creare e modificare applicazioni RCP e RAP utilizzando E4 e le descrizioni delle tecnologie circostanti, sei sulla buona strada per sapere come pentestare queste app. Molti riguarderanno solo Eclipse e pochi chiameranno un file sul sistema operativo o su una rete. Se lo fanno, puoi sfruttare molti strumenti di test della penna già esistenti Java come Javasnoop , JDB, JSwat, DSer , disordinato (per XML), et al.

La cosa più vicina che riesco a trovare in un'applicazione RAP sarebbe qualcosa come Oracle Forms. Ecco un blog post che descrive tre modi per scegliere come target un'app Oracle Forms che utilizza HTTP o TLS. Il blog consiglia Javasnoop per altre attività più flessibili. Ecco altri casi d'uso per Javasnoop:

Per le porzioni non Java di un pen test RAP, come ad esempio Javascript, potresti voler dare un'occhiata a retire.js (uno strumento simile a OWASP Dependency Check che può essere usato per analizzare i componenti Javascript di terze parti per vulnerabilità note) o Fortify SCA (un buon motore di analisi statica basato sulla sicurezza che funziona con il codice Javascript).

    
risposta data 23.03.2015 - 22:55
fonte

Leggi altre domande sui tag