Δοκιμάστε injections σε Web apps με το εργαλείο Commix

Ένα νέο εργαλείο (Commix) και μάλιστα από Έλληνα προγραμματιστή, είναι διαθέσιμο σε όποιον επιθυμεί να τεστάρει την ασφάλεια των Web εφαρμογών των ιστοσελίδων του, και να αποκαλύψει πιθανές που θα μπορούσαν να αξιοποιηθούν από απατεώνες με injections.

Το νέο εργαλείο όπως προαναφέραμε ονομάζεται Commix (συντομογραφία του [comm]and [i]njection e[x]ploiter, που έχει ως στόχο να βρει σφάλματα ή τρωτά σημεία που σχετίζονται με injection επιθέσεις. Πρόκειται δηλαδή για ένα εργαλείο το οποίο προσπαθεί χρησιμοποιώντας αρκετές παραλλαγές από σύνθετα attack vectors να “εντοπίσει” και στην συνέχεια να “εκμεταλλευτεί” ευπάθειες command injection.

 

Commix

Το Commix είναι γραμμένο σε Python, έχει δηλαδή ένα απλό περιβάλλον και μπορεί να χρησιμοποιηθεί από τους web developers, και από ασφάλειας για να δοκιμάσουν την ασφάλεια των web εφαρμογών τους. Το πρόγραμμα προορίζεται μόνο για ελέγχους και ο κατασκευαστής του προγράμματος δεν επιτρέπει επ'ουδενί την χρήση του για κακόβουλους σκοπούς.

Μία επιτυχής επίθεση με injection μπορεί να οδηγήσει στην εκτέλεση αυθαίρετων εντολών σε ένα σύστημα που επηρεάζεται από μια ευάλωτη εφαρμογή. Μπορεί να συμβεί αν η εφαρμογή δεν παρέχει επαρκή επικύρωση των εισροών και περνά μακριές εντολές από το χρήστη, μέσω φορμών, cookies ή HTTP headers.

Με τη χρήση αυτού του εργαλείου, είναι πολύ εύκολο να βρείτε και να εκμεταλλευτείτε μια ευπαθή εντολή σε injection, αναφέρει ο προγραμματιστής που το κατασκεύασε, Αναστάσιος Στασινόπουλος, στην επεξηγηματική σελίδα του στο GitHub.

Ωστόσο, αν και to Commix προορίζεται για δραστηριότητα ελέγχου και δοκιμών, μπορεί επίσης να χρησιμοποιηθεί από έναν κακόβουλο χρήστη, όπως άλλωστε και κάθε άλλο εργαλείο ασφάλειας. Ο Στασινόπουλος προειδοποιεί γι ‘αυτό και λέει ότι “μπορείτε να το χρησιμοποιήσετε μόνον εφόσον σας έχει δοθεί απόλυτη συναίνεση”.

Οι δυνατότητες του Commix περιλαμβάνουν μια σειρά από επιλογές για να καθορίσετε ποιες παράμετροι μπορούν να δεχθούν injection. Για να εργαστεί το πρόγραμμα θα πρέπει να έχετε εγκαταστήσει το Python, έκδοση 2.6.x ή την έκδοση 2.7.x.

Στην ιστοσελίδα του GitHub που θα κατεβάσετε και το πρόγραμμα, θα βρείτε επίσης και οδηγίες για την και τη λειτουργία του.

Για να μπορέσετε να εξοικειωθείτε με το Commix, ο Στασινόπουλος σας παρέχει μια σειρά από παραδείγματα. Ένα από αυτά είναι και μία σελίδα που είναι ευάλωτη σε PHP/MySQL Web App και που μπορείτε να δοκιμάσετε τις ικανότητές σας, τα εργαλεία σας, και να τη σπάσετε όσο θέλετε αφού έχετε την πλήρη νόμιμη άδεια να το κάνετε..

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).