​Набор инструментов для тестирования безопасности WebSockets


Это исследование было впервые представлено на OWASP Global AppSec US 2021.

Серверы #WebSocket в значительной степени игнорируются в сообществе безопасности, несмотря на высокую распространенность их применения в современных веб приложениях. Во многом это связано с отсутствием полноценных инструментов тестирования.

Для решения этой проблемы разработан инструмент под названием STEWS, позволяющий:

1. Находить конечные точки WebSocket сервера (сканирует более 5000 URL-адресов в секунду);

2. Снимать фингерпринт WebSocket сервера (с использованием идентификаторов, обнаруженных в представленном исследовании);

3. Выполнять обнаружение уязвимых серверов WebSocket с помощью известных векторов эксплуатации.

Дополнительные репозитории, созданные в рамках этого исследования, включают в себя:

▫️ Awesome WebSockets Security, который компилирует информацию о безопасности WebSockets для других исследователей

▫️ Репозиторий WebSockets-Playground, который представляет собой скрипт для легкого запуска нескольких локальных серверов WebSocket параллельно.

https://github.com/PalindromeLabs/STEWS

Отправить комментарий

Комментировать (0)

Новые Старые