@Selenum5 июл 2023 в 10:17

Как устранить пробелы в DAST-тестировании с помощью инструментации

4 мин

2.2K

Блог компании Swordfish SecurityИнформационная безопасность *

Мнение

Комментарии 4

@Artsploit 5 июл 2023 в 15:40

Burp suite прекрасно справляется с поиском XXE, но как и любое DAST решение, он должен знать формат запросов для вашего приложения. Конкретно, на какие URLs отправлять запросы и с какими query и post body параметрами.

В вашем случае, просто запустите сканирование и посмотрите во вкладку "Logger" в Burp Suite, там отображаются все запросы к серверу. Убедитесь что сканер правильно подхватил формат запроса к контроллеру "/bill" в котором находится уязвимость.

"Logger" предоставит вам гораздо больше информации что сделал или не сделал сканер чем JaCoCo.

@Selenum 6 июл 2023 в 09:25

Согласен с вашим замечанием, это был очевидный пример, но как логи помогут в решении тех проблем, которые обозначены в статье, мне не совсем ясно.

@fuzzah 6 июл 2023 в 07:18

"Как устранить пробелы в DAST-тестировании с помощью инструментации" - просто используйте инструментирующий фаззер, такой как jazzer, а не Burp Suite.

@Selenum 6 июл 2023 в 09:24

Статья о DAST, вы предлагаете просто использовать другую практику - Fuzzing-тестирование. С тем же успехом можно посоветовать использовать SAST.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий