Ένα νέο εργαλείο (Commix) και μάλιστα από Έλληνα προγραμματιστή, είναι διαθέσιμο σε όποιον επιθυμεί να τεστάρει την ασφάλεια των Web εφαρμογών των ιστοσελίδων του, και να αποκαλύψει πιθανές ευπάθειες που θα μπορούσαν να αξιοποιηθούν από απατεώνες με injections.
Το Cοmmix είναι γραμμένο σε Python, έχει δηλαδή ένα απλό περιβάλλον και μπορεί να χρησιμοποιηθεί από τους web developers, penetration testers και από ερευνητές ασφάλειας για να δοκιμάσουν την ασφάλεια των web εφαρμογών τους.
Το πρόγραμμα προορίζεται μόνο για ελέγχους ασφαλείας και ο κατασκευαστής του προγράμματος δεν επιτρέπει επ’ ουδενί την χρήση του για κακόβουλους σκοπούς.
Προορίζεται μόνο για σκοπούς ελέγχου ασφαλείας
Μία επιτυχής επίθεση με injection μπορεί να οδηγήσει στην εκτέλεση αυθαίρετων εντολών σε ένα σύστημα που επηρεάζεται από μια ευάλωτη εφαρμογή.
Μπορεί να συμβεί αν η εφαρμογή δεν παρέχει επαρκή επικύρωση των εισροών και περνά μακριές εντολές από το χρήστη, μέσω φορμών, cookies ή HTTP headers.
Με τη χρήση αυτού του εργαλείου, είναι πολύ εύκολο να βρείτε και να εκμεταλλευτείτε μια ευπαθή εντολή σε injection, αναφέρει ο προγραμματιστής που το κατασκεύασε, Αναστάσιος Στασινόπουλος, στην επεξηγηματική σελίδα του στο GitHub.
Ωστόσο, αν και to Commix προορίζεται για δραστηριότητα ελέγχου και δοκιμών, μπορεί επίσης να χρησιμοποιηθεί από έναν κακόβουλο χρήστη, όπως άλλωστε και κάθε άλλο εργαλείο ασφάλειας.
Ο Στασινόπουλος προειδοποιεί γι “αυτό και λέει ότι «μπορείτε να το χρησιμοποιήσετε μόνον εφ’ όσον σας έχει δοθεί απόλυτη συναίνεση».
Πολλαπλές επιλογές διείσδυσης είναι διαθέσιμες
Οι δυνατότητες του Cοmmix περιλαμβάνουν μια σειρά από επιλογές για να καθορίσετε ποιες παράμετροι μπορούν να δεχθούν injection. Για να εργαστεί το πρόγραμμα θα πρέπει να έχετε εγκαταστήσει το Python, έκδοση 2.6.x ή την έκδοση 2.7.x.
Στην ιστοσελίδα του GitHub που θα κατεβάσετε και το πρόγραμμα, θα βρείτε επίσης και οδηγίες για την εγκατάσταση και τη λειτουργία του.
Για να μπορέσετε να εξοικειωθείτε με το Cοmmix, ο Στασινόπουλος σας παρέχει μια σειρά από παραδείγματα.
Ένα από αυτά είναι και μία σελίδα που είναι ευάλωτη σε PHP/MySQL Web App και που μπορείτε να δοκιμάσετε τις ικανότητές σας, τα εργαλεία σας, και να τη σπάσετε όσο θέλετε αφού έχετε την πλήρη νόμιμη άδεια να το κάνετε… … !!!
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου