Ένα νέο εργαλείο (Commix) και μάλιστα από Έλληνα προγραμματιστή, είναι διαθέσιμο σε όποιον επιθυμεί να τεστάρει την ασφάλεια των Web εφαρμογών των ιστοσελίδων του, και να αποκαλύψει πιθανές ευπάθειες που θα μπορούσαν να αξιοποιηθούν από απατεώνες με injections.
Το νέο εργαλείο όπως προαναφέραμε ονομάζεται Commix (συντομογραφία του [comm]and [i]njection e[x]ploiter, που έχει ως στόχο να βρει σφάλματα ή τρωτά σημεία που σχετίζονται με injection επιθέσεις. Πρόκειται δηλαδή για ένα εργαλείο το οποίο προσπαθεί χρησιμοποιώντας αρκετές παραλλαγές από σύνθετα attack vectors να “εντοπίσει” και στην συνέχεια να “εκμεταλλευτεί” ευπάθειες command injection.
Το Commix είναι γραμμένο σε Python, έχει δηλαδή ένα απλό περιβάλλον και μπορεί να χρησιμοποιηθεί από τους web developers, penetration testers και από ερευνητές ασφάλειας για να δοκιμάσουν την ασφάλεια των web εφαρμογών τους. Το πρόγραμμα προορίζεται μόνο για ελέγχους ασφαλείας και ο κατασκευαστής του προγράμματος δεν επιτρέπει επ’ουδενί την χρήση του για κακόβουλους σκοπούς.
Μία επιτυχής επίθεση με injection μπορεί να οδηγήσει στην εκτέλεση αυθαίρετων εντολών σε ένα σύστημα που επηρεάζεται από μια ευάλωτη εφαρμογή. Μπορεί να συμβεί αν η εφαρμογή δεν παρέχει επαρκή επικύρωση των εισροών και περνά μακριές εντολές από το χρήστη, μέσω φορμών, cookies ή HTTP headers.
Με τη χρήση αυτού του εργαλείου, είναι πολύ εύκολο να βρείτε και να εκμεταλλευτείτε μια ευπαθή εντολή σε injection, αναφέρει ο προγραμματιστής που το κατασκεύασε, Αναστάσιος Στασινόπουλος, στην επεξηγηματική σελίδα του στο GitHub.
Ωστόσο, αν και to Commix προορίζεται για δραστηριότητα ελέγχου και δοκιμών, μπορεί επίσης να χρησιμοποιηθεί από έναν κακόβουλο χρήστη, όπως άλλωστε και κάθε άλλο εργαλείο ασφάλειας. Ο Στασινόπουλος προειδοποιεί γι ‘αυτό και λέει ότι “μπορείτε να το χρησιμοποιήσετε μόνον εφόσον σας έχει δοθεί απόλυτη συναίνεση”.
Οι δυνατότητες του Commix περιλαμβάνουν μια σειρά από επιλογές για να καθορίσετε ποιες παράμετροι μπορούν να δεχθούν injection. Για να εργαστεί το πρόγραμμα θα πρέπει να έχετε εγκαταστήσει το Python, έκδοση 2.6.x ή την έκδοση 2.7.x.
Στην ιστοσελίδα του GitHub που θα κατεβάσετε και το πρόγραμμα, θα βρείτε επίσης και οδηγίες για την εγκατάσταση και τη λειτουργία του.
Για να μπορέσετε να εξοικειωθείτε με το Commix, ο Στασινόπουλος σας παρέχει μια σειρά από παραδείγματα. Ένα από αυτά είναι και μία σελίδα που είναι ευάλωτη σε PHP/MySQL Web App και που μπορείτε να δοκιμάσετε τις ικανότητές σας, τα εργαλεία σας, και να τη σπάσετε όσο θέλετε αφού έχετε την πλήρη νόμιμη άδεια να το κάνετε..