WebSockets tiene algunas posibles vulnerabilidades nuevas, como Secuestro de sitios websocket .
¿Existe una aplicación vulnerable (como la aplicación web Damn Vulnerable, HackMeBank) que demuestra las vulnerabilidades de WebSocket?
WebSockets tiene algunas posibles vulnerabilidades nuevas, como Secuestro de sitios websocket .
¿Existe una aplicación vulnerable (como la aplicación web Damn Vulnerable, HackMeBank) que demuestra las vulnerabilidades de WebSocket?
Debería consultar Damn Vulnerable Web Sockets de OWASP
Para instalar el contenedor docker docker pull tssoffsec/dvws
para ejecutar, docker run -d -p 80:80 -p 8080:8080 tssoffsec/dvws
Creo que esto es lo que está buscando: Análisis, pruebas y Fuzzing Implementaciones de WebSocket con IronWASP . Parece que tiene un buen conjunto de herramientas para entrenar y comenzar con Web Socket Security. Me encontré con esto hace unos días, pero no tuve la oportunidad de probar su demo. Solo para dar un resumen de esa publicación del blog, el autor ha agregado 5 herramientas nuevas a IronWASP (una plataforma de pruebas de seguridad web avanzada de código abierto) dedicada a las pruebas de sockets web:
1) WebSocket Message Analyzer: una utilidad para analizar WebSocket complejo Implementaciones de forma sencilla. Echa un vistazo a este informe de nuestra Aplicación de demostración de WebSocket.
2) Probador de secuestro de WebSocket entre sitios en línea: una herramienta en línea para Compruebe fácilmente si hay problemas de CSWSH. Compruébalo aquí. Para entender mas sobre el secuestro de WebSocket entre sitios echa un vistazo a esta publicación en NotSoSecure
3) Cliente WebSocket: Cliente WebSocket versátil que le permite enviar almacenar y enviar múltiples mensajes junto con la configuración de Origen y Encabezados de galletas. Perfecto para comprobar el secuestro de WebSocket entre sitios y otros problemas de WebSocket.
4) WebSocket Scripting API para Python y Ruby: para verificaciones automáticas y escribir fuzzers personalizados para implementaciones de WebSocket. Fuzzers genéricos No funciona para protocolos asíncronos como WebSockets.
5) Aplicación de demostración WebSocket: una aplicación vulnerable de ejemplo creada para utilizar WebSockets en gran medida. Buen banco de pruebas para probar y aprender WebSocket. pruebas de seguridad.
Una vez más, no he tenido la oportunidad de probar esto todavía, pero este parecía interesante.
Por favor, siéntase libre de compartir cualquier otro recurso que puedan tener en comentarios, respuestas o incluso agregándolos a mi publicación. Sería bueno tener una lista completa de recursos para fines de capacitación. Aquí hay algunos otros recursos sobre Web Socket Security:
Lea otras preguntas en las etiquetas websocket