Selenum Jul 5 2023 at 10:17

Как устранить пробелы в DAST-тестировании с помощью инструментации

4 min

1.7K

Swordfish Security corporate blogInformation Security*

Opinion

Comments 4

Artsploit Jul 5 2023 at 15:40

Burp suite прекрасно справляется с поиском XXE, но как и любое DAST решение, он должен знать формат запросов для вашего приложения. Конкретно, на какие URLs отправлять запросы и с какими query и post body параметрами.

В вашем случае, просто запустите сканирование и посмотрите во вкладку "Logger" в Burp Suite, там отображаются все запросы к серверу. Убедитесь что сканер правильно подхватил формат запроса к контроллеру "/bill" в котором находится уязвимость.

"Logger" предоставит вам гораздо больше информации что сделал или не сделал сканер чем JaCoCo.

Selenum Jul 6 2023 at 09:25

Согласен с вашим замечанием, это был очевидный пример, но как логи помогут в решении тех проблем, которые обозначены в статье, мне не совсем ясно.

fuzzah Jul 6 2023 at 07:18

"Как устранить пробелы в DAST-тестировании с помощью инструментации" - просто используйте инструментирующий фаззер, такой как jazzer, а не Burp Suite.

Selenum Jul 6 2023 at 09:24

Статья о DAST, вы предлагаете просто использовать другую практику - Fuzzing-тестирование. С тем же успехом можно посоветовать использовать SAST.