Aplicación de sockets web vulnerables para capacitación

7

WebSockets tiene algunas posibles vulnerabilidades nuevas, como Secuestro de sitios websocket .

¿Existe una aplicación vulnerable (como la aplicación web Damn Vulnerable, HackMeBank) que demuestra las vulnerabilidades de WebSocket?

    
pregunta paj28 29.09.2016 - 14:44
fuente

2 respuestas

2

Debería consultar Damn Vulnerable Web Sockets de OWASP

Para instalar el contenedor docker docker pull tssoffsec/dvws

para ejecutar, docker run -d -p 80:80 -p 8080:8080 tssoffsec/dvws

    
respondido por el Aidan Grimshaw 02.09.2017 - 00:53
fuente
3

Creo que esto es lo que está buscando: Análisis, pruebas y Fuzzing Implementaciones de WebSocket con IronWASP . Parece que tiene un buen conjunto de herramientas para entrenar y comenzar con Web Socket Security. Me encontré con esto hace unos días, pero no tuve la oportunidad de probar su demo. Solo para dar un resumen de esa publicación del blog, el autor ha agregado 5 herramientas nuevas a IronWASP (una plataforma de pruebas de seguridad web avanzada de código abierto) dedicada a las pruebas de sockets web:

  

1) WebSocket Message Analyzer: una utilidad para analizar WebSocket complejo   Implementaciones de forma sencilla. Echa un vistazo a este informe de nuestra   Aplicación de demostración de WebSocket.

     

2) Probador de secuestro de WebSocket entre sitios en línea: una herramienta en línea para   Compruebe fácilmente si hay problemas de CSWSH. Compruébalo aquí. Para entender mas   sobre el secuestro de WebSocket entre sitios echa un vistazo a esta publicación en   NotSoSecure

     

3) Cliente WebSocket: Cliente WebSocket versátil que le permite enviar   almacenar y enviar múltiples mensajes junto con la configuración de Origen y   Encabezados de galletas. Perfecto para comprobar el secuestro de WebSocket entre sitios   y otros problemas de WebSocket.

     

4) WebSocket Scripting API para Python y Ruby: para verificaciones automáticas y   escribir fuzzers personalizados para implementaciones de WebSocket. Fuzzers genéricos   No funciona para protocolos asíncronos como WebSockets.

     

5) Aplicación de demostración WebSocket: una aplicación vulnerable de ejemplo creada para   utilizar WebSockets en gran medida. Buen banco de pruebas para probar y aprender WebSocket.   pruebas de seguridad.

Una vez más, no he tenido la oportunidad de probar esto todavía, pero este parecía interesante.

Por favor, siéntase libre de compartir cualquier otro recurso que puedan tener en comentarios, respuestas o incluso agregándolos a mi publicación. Sería bueno tener una lista completa de recursos para fines de capacitación. Aquí hay algunos otros recursos sobre Web Socket Security:

respondido por el Rahil Arora 29.09.2016 - 21:15
fuente

Lea otras preguntas en las etiquetas