トップ «前の日記(2004-03-23) 最新 次の日記(2004-03-26)» 編集

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2004-03-24

_ ツール2つ

Paros v3.1.1
Burp spider

ひとまずメモだけ。続きは会社行ってから(マテ

_ [ツール] Paros v3.1.1

先日のHTTP Response Splittingを受けてか、「%0D%0ASet-cookie:%20」ってのが増えてますね。と思ったら、前からありました。 他に PerlInjection という名前で、「;ls%20/」とか「;wait%2015;#」なんてのが入ってたり、SQLInjectionなテストには「try BLIND MSSQL INSERT using timing」なんてコメントが見えたりしてます。

更新内容は以下。

New Features:

  • add URL encoder/decoder in "Tools|Hash/Encoding..."
  • improve performance in reading HTTP header
  • add a 'Comment' panel in Log Analyzer to show comments
  • add a 'Script' panel in Log Analyzer to show scripts
  • add two filters 'ReplaceRequestHeader' and 'ReplaceRequestBody' to replace text in HTTP requests
  • rename cookietampering to CRLFInjection to better describe the scanner test case

Bug Fixes:

  • solved a bug that SQL scanner checks may use the tampered/modified query string for scanning
  • solved a bug that the report may be generated before the last scan thread ends.
  • modified 'CookieDetectFilter' filter to handle mutiple Set-Cookie lines in header.

_ [ツール] Burp spider

SecuDiaryでのご指名より。

サイトの自動巡回用のツール。普通の自動巡回ツールは FORM があるとそこで諦めてしまうが、これは FORM に突き当たるたびにフォーム入力するためのウィンドウがあがってきてユーザが入力することもできる。Basic 認証も同じようにできるといいのだが、未対応。

そのサイトに含まれるコンテンツがツリー形式と表形式で見れる。 ツリー形式のほうは、

  • そのページへリンクしているページのURL
  • レスポンス丸ごと(含むレスポンスヘッダ)
  • フォームがある場合は、フォームの各フィールドの情報

が見え、表形式のほうは、

  • SSL かどうか
  • 動的コンテンツかどうか
  • セッション管理がされているか

などが見えるのが、他の自動巡回ツールにはない機能だと思う。

動的コンテンツかどうかの判定が怪しいとか、レスポンスが丸ごと見えるのはいいんだけど日本語ページは文字化けしてるとか、結果を出力できないのかとか、実際に使うには若干の問題はありそう。

本日のツッコミ(全3件) [ツッコミを入れる]
_ bun (2004-03-24 16:25)

こんなとこでいいっすかぁ?>hiro-t

_ hiro-t (2004-03-24 18:00)

十分ですm(__)m 私もこれから触ってみようと思います。

_ みゃー (2004-03-25 12:57)

よかったねー(´ー`)の

お名前:
E-mail:
コメント:

投稿する前にチェックボックスをチェックしてください


無料アクセス解析