بسیاری از تستکنندگان و ابزارها به محض ارتقای پروتکل به WebSocket تسلیم میشوند یا تنها تحلیل سطحی انجام میدهند. این یک نقطه کور بزرگ است که باعث میشود باگهایی مانند کنترل دسترسی شکسته، شرایط رقابتی و تزریق SQL ناشناخته بمانند.
در این مقاله، نسخه جدید WebSocket Turbo Intruder را بررسی میکنیم، یک افزونه Burp Suite که موتور حمله سریع Turbo Intruder را به تست WebSocket میآورد.
جزئیات فنی
سرعت بالا - پشتیبانی از هزاران پیام در ثانیه
آداپتور HTTP - خودکارسازی تست با ادغام با اسکنرهای HTTP موجود
فیلتر هوشمند - پنهانسازی پاسخهای بیاهمیت برای تمرکز روی نتایج جالب
شروع به کار
میتوانید WebSocket Turbo Intruder را مستقیماً از BApp Store نصب کنید. به Extensions → BApp Store → WebSocket Turbo Intruder بروید و روی Install کلیک کنید.
فیلتر محتوای خستهکننده
برخلاف HTTP، پروتکل WebSocket میتواند چندین پیام ورودی برای یک پیام خروجی ارسال کند. این کار تست را بسیار دشوارتر میکند. افزونه شامل فیلترهای قدرتمندی است که به شما امکان میدهد ترافیک نامرتبط را پنهان کنید.
جزئیات فنی
آلودگی نمونه اولیه سمت سرور WebSocket با Socket.IO
شرایط رقابتی WebSocket با موتور THREADED
Ping of Death WebSocket با موتور TURBO
منبع این مقاله:PortSwigger Research
این مقاله توسط تیم افتاچک ترجمه و خلاصهسازی شده است.