۱۴۰۵/۰۴/۱۱🔌 PortSwigger Research
📖 5 دقیقه

WebSocket Turbo Intruder: استخراج گنجینه WebSocket با حملات سریع

آموزش جامع WebSocket Turbo Intruder برای تست نفوذ WebSocket، کشف آسیب‌پذیری‌هایی مانند SQLi، Race Condition و Prototype Pollution

بسیاری از تست‌کنندگان و ابزارها به محض ارتقای پروتکل به WebSocket تسلیم می‌شوند یا تنها تحلیل سطحی انجام می‌دهند. این یک نقطه کور بزرگ است که باعث می‌شود باگ‌هایی مانند کنترل دسترسی شکسته، شرایط رقابتی و تزریق SQL ناشناخته بمانند.

در این مقاله، نسخه جدید WebSocket Turbo Intruder را بررسی می‌کنیم، یک افزونه Burp Suite که موتور حمله سریع Turbo Intruder را به تست WebSocket می‌آورد.

جزئیات فنی

سرعت بالا - پشتیبانی از هزاران پیام در ثانیه

آداپتور HTTP - خودکارسازی تست با ادغام با اسکنرهای HTTP موجود

فیلتر هوشمند - پنهان‌سازی پاسخ‌های بی‌اهمیت برای تمرکز روی نتایج جالب

شروع به کار

می‌توانید WebSocket Turbo Intruder را مستقیماً از BApp Store نصب کنید. به Extensions → BApp Store → WebSocket Turbo Intruder بروید و روی Install کلیک کنید.

فیلتر محتوای خسته‌کننده

برخلاف HTTP، پروتکل WebSocket می‌تواند چندین پیام ورودی برای یک پیام خروجی ارسال کند. این کار تست را بسیار دشوارتر می‌کند. افزونه شامل فیلترهای قدرتمندی است که به شما امکان می‌دهد ترافیک نامرتبط را پنهان کنید.

جزئیات فنی

آلودگی نمونه اولیه سمت سرور WebSocket با Socket.IO

شرایط رقابتی WebSocket با موتور THREADED

Ping of Death WebSocket با موتور TURBO

منبع این مقاله:PortSwigger Research

این مقاله توسط تیم افتاچک ترجمه و خلاصه‌سازی شده است.