¿La modificación de solicitudes utilizando Burpsuite se considera una vulnerabilidad de seguridad válida?

0

Me gustaría saber si la intercepción y la modificación de solicitudes que utilizan Burpsuite antes de llegar al servidor se consideran una vulnerabilidad.

En nuestras aplicaciones web y móviles, existen medidas de seguridad adecuadas para evitar ataques de repetición e integridad de datos, etc.,

Ahora, uno de los equipos de seguridad de la aplicación está evaluando lo mismo, usan burpsuite para interceptar la carga útil de la solicitud y han generado pocas vulnerabilidades de seguridad que no son reproducibles sin usar Burpsuite.

¿Entonces el uso de estas herramientas sigue siendo un caso válido y se considera vulnerable?

Permítame explicarle el caso de prueba en el que estoy tratando de encontrar una solución, para evitar un ataque de repetición, uso el cliente y el servidor en mi aplicación web. Las solicitudes se interceptan utilizando burp-suite y solo se modifica y se envía el servidor al servidor y se procesa su solicitud obvia. Se plantea para ser una vulnerabilidad.

    
pregunta Samy 23.07.2018 - 08:55
fuente

1 respuesta

1

Lo que hace Burp es interceptar una solicitud y permitir que el usuario / pentester la modifique. Técnicamente, actúa como un proxy, lo que permite al usuario enviar una entrada bastante arbitraria a su aplicación (lado del servidor).

Parece suponer que las solicitudes solo se pueden enviar utilizando su aplicación. Esto no es cierto y en general es bastante peligroso confiar. Tenga en cuenta que todos pueden hacer un "Bash-Fu-1-Liner" con cURL y enviar literalmente cualquier cosa a su servidor. ¡Tu servicio web debe estar preparado para eso ! Si las únicas comprobaciones de entrada que realiza son del lado del cliente (que es un código que no es de confianza ya que los usuarios pueden alterarlo), tiene que pensar demasiado en sus medidas de seguridad.

Lado del lado del cliente y del lado del servidor. Piense en ellos como dos piezas de software que deben ser seguras por sí mismas.

Editar: a medida que agrega un caso de prueba a su pregunta, agregaré la respuesta aquí. Las pruebas de penetración marcan muchas cosas como potencialmente peligrosas. Puede ser cierto y pequeños errores, que no parece que puedan causar estragos en su servidor, lo harán, si se explotan adecuadamente. Sin embargo, un probador de penetración analizará su aplicación, probará, encontrará errores e informará todo lo que parezca peligroso. Tenga en cuenta que él no conoce la aplicación tan bien como usted (o los Ingenieros / Desarrolladores de Software).

Los errores encontrados por él / ella pueden ser falsos positivos y depende de usted (y del evaluador) verificar los errores y priorizarlos (irrelevante - crítico) de acuerdo con su potencial de daño (y otros factores). Una vez en mi entorno, el escáner de un pentester encontró un documento que fue reportado como "Privilege Escalation" ya que su enlace regular está detrás de un inicio de sesión. Falso positivo, ya que era un documento sin importancia.

    
respondido por el GxTruth 23.07.2018 - 09:45
fuente

Lea otras preguntas en las etiquetas