Data: 11/03/2010
O que é um Fuzzer em Penetration Testing (Pentesting)
Um fuzzer de segurança é uma ferramenta usada por pentesters (profissionais de teste de invasão), analista de segurança e hackers, para testar parâmetros de várias aplicações. Fuzzers testam softwares em busca de buffer overflows, format string vulnerabilities e error handling.
Alguns fuzzers avançados incorporam funcionalidades para testar vulnerabilidades do tipo "directory traversal attacks" ou seja, "ataques de travessia de pastas", onde o atacante acessa pastas em vários níveis sem privilégios, "command execution vulnerabilities", "SQL Injection" e "Cross Site Scripting vulnerabilities". Web Vulnerability scanners tem tipicamente toda a performance e funcionalidade de fuzzer + um proxie para análise de requisições web, podendo ser considerado um fuzzer avançado.
Fuzzers populares são: SPIKE Proxy, Peach Fuzzer Framework e WebScarab.
Links:
SPIKE Proxy (python)
http://www.immunitysec.com/downloads/SPIKE2.9.tgz
Peach Fuzzer Framework (python)
http://peachfuzzer.com/
WebScarab (Java)
http://sourceforge.net/projects/owasp/files/WebScarab/
Nenhum comentário:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.