Modifica delle richieste usando Burpsuite considerata una vulnerabilità di sicurezza valida?

0

Vorrei sapere se intercettare e modificare le richieste usando Burpsuite prima di raggiungere il server è considerato come vulnerabilità.

Nelle nostre applicazioni web e mobili, sono in atto misure di sicurezza adeguate per evitare attacchi di riproduzione e integrità dei dati ecc.,

Ora lo stesso viene valutato da uno dei team di sicurezza delle applicazioni, usano Burpuite per intercettare il carico utile della richiesta e hanno sollevato alcune vulnerabilità di sicurezza che non sono riproducibili senza utilizzare Burpsuite.

Quindi utilizzare tali strumenti è ancora un caso valido e considerato vulnerabile?

Lasciatemi spiegare il caso di test che sto cercando di trovare una soluzione, per evitare attacchi di replay uso il client e il server nonce nella mia applicazione web. Le richieste vengono intercettate usando burp-suite e solo il client nonce viene cambiato e inoltrato al server e la sua richiesta ovvia verrà elaborata. È sollevato per essere una vulnerabilità.

    
posta Samy 23.07.2018 - 08:55
fonte

1 risposta

1

Che cosa fa Burp intercetta una richiesta e consente all'utente / pentitore di modificarla. Tecnicamente si comporta come un proxy, consentendo all'utente di inviare praticamente input arbitrari alla tua applicazione (lato server).

Sembra che tu possa presumere che le richieste possano essere inviate solo usando la tua app. Questo non è vero e generalmente abbastanza pericoloso su cui fare affidamento. Tieni presente che tutti possono fare un "Bash-Fu-1-Liner" usando cURL e inviare letteralmente qualsiasi cosa al tuo server. Il tuo webservice deve essere preparato per questo ! Se gli unici controlli di input che esegui sono sul lato client (che è un codice non attendibile dato che gli utenti possono interferire con esso), devi sovvertire le misure di sicurezza.

Separa lato client e lato server. Pensa a loro come a due software che devono essere protetti da soli.

Modifica: come hai aggiunto un test case alla tua domanda, aggiungerò qui la risposta. I test di penetrazione indicano che molte cose sono potenzialmente pericolose. Potrebbe essere vero e pochi bug, che non sembrano poter distruggere il caos sul tuo server, lo faranno, se sfruttati correttamente. Tuttavia, un Penetration Tester eseguirà la scansione della tua app, verificherà, troverà bug e segnalerà tutto ciò che sembra pericoloso. Tieni presente che non conosce l'applicazione come l'utente (o gli sviluppatori software / sviluppatori).

I bug trovati da lui / lei potrebbero essere falsi positivi ed è su di te (e sul tester) per verificare i bug e dare loro la priorità (irrilevante - critica) in base al loro potenziale di danno (e ad altri fattori). Una volta nel mio ambiente, lo scanner di un pentestore ha trovato un documento che è stato segnalato come "Privilege Escalation" poiché il suo collegamento regolare è dietro un login. False Positive, in quanto documento non importante.

    
risposta data 23.07.2018 - 09:45
fonte

Leggi altre domande sui tag