constricting the web
play

Constricting the Web Offensive Python for Web Hackers Yes, We are - PowerPoint PPT Presentation

Jun 04, 2023 •13 likes •683 views

Constricting the Web Offensive Python for Web Hackers Yes, We are Weird Marcin Wielgoszewski Security Engineer Nathan Hamiel Principal Consultant Associate Professor at UAT This is Important Reliance on

  1. Constricting the Web Offensive Python for Web Hackers

  2. Yes, We are Weird Marcin ¡Wielgoszewski Security ¡Engineer Nathan ¡Hamiel Principal ¡Consultant Associate ¡Professor ¡at ¡UAT

  3. This is Important • Reliance ¡on ¡tools ¡can ¡= ¡Fail! – Many ¡more ¡people ¡tes4ng ¡web ¡apps – Vendors ¡play ¡catch-­‑up – Success ¡is ¡on ¡your ¡shoulders • Difficult ¡cases – APIs ¡and ¡specialized ¡data ¡formats – Sequenced ¡opera4ons ¡ – Randomized ¡data Black Hat USA 2010

  4. An AppSec Intervention Your ¡tools ¡are ¡ killing ¡you Black Hat USA 2010

  5. Gimme The Codes • Presenta4on ¡materials – hIp://hexsec.com/docs Black Hat USA 2010 5

  6. Modern Infrastructure Black Hat USA 2010

  7. Why Python? • Language ¡specific – Rapid ¡development – Easy ¡to ¡understand – Whitespace ¡is ¡significant ¡  • Wide ¡support – Plenty ¡of ¡security ¡tools ¡wriIen ¡in ¡Python – Vast ¡set ¡of ¡exis4ng ¡modules – Help ¡available ¡<here> Black Hat USA 2010

  8. A Few Tools sulley Scapy Pyscan w3af SpikeProxy MonkeyFist sqlmap PyEMU wapi4 DeBlaze Canvas Peach ProxyStrike Idapython Pcapy PyDbgEng MyNav Impacket uhooker Python-­‑ptrace Black Hat USA 2010

  9. Where Does Python Fit? Black Hat USA 2010

  10. Python Implementations • CPython – hIp://python.org • Jython – hIp://jython.org • IronPython – hIp://ironpython.net Black Hat USA 2010

  11. First Things First • Walk ¡like ¡a ¡duck ¡and ¡quack ¡like ¡a ¡duck Black Hat USA 2010

  12. Helpful Modules 3 rd ¡Party Standard ¡Lib • hIplib • hIplib2 • urllib ¡/ ¡urllib2 • urllib3 ¡/ ¡restkit • urlparse • lxml • HTMLParser • suds • struct • PyAMF • xml • PyQT • json ¡(Python ¡2.6) • difflib Black Hat USA 2010

  13. Basic HTTP Clients • Examples Black Hat USA 2010

  14. Trust But Verify • ReflectRequest.py – Uses ¡reimplementa4on ¡of ¡BaseHTTPRequestHandler – GET, ¡POST, ¡PUT, ¡and ¡DELETE class ¡RequestHandler(BaseHTTPRequestHandler): ¡ ¡ ¡ ¡def ¡do_GET(self): ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡request_path ¡= ¡self.path ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡print("\r\n-­‑-­‑-­‑-­‑-­‑ ¡Request ¡Start ¡-­‑-­‑-­‑-­‑-­‑>\r\n") ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡print(request_path) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡print(self.headers) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡print("<-­‑-­‑-­‑-­‑-­‑ ¡Request ¡End ¡-­‑-­‑-­‑-­‑-­‑\r\n") ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡self.send_response(200) Black Hat USA 2010

  15. Data Representation • Perform ¡transi4on ¡magic – URL ¡encoding ¡and ¡Escaping – String ¡methods ¡(base64 ¡/ ¡hex ¡/ ¡rot13, ¡etc) – Data ¡representa4ons ¡(decimals ¡/ ¡en44es ¡/ ¡etc) • DharmaEncoder – Provides ¡methods ¡to ¡encode ¡and ¡wrap ¡values – Magic ¡is ¡in ¡the ¡encoderlib – hIp://code.google.com/p/dharmaencoder/ ¡ Black Hat USA 2010

  16. DharmaEncoder Black Hat USA 2010

  17. Parsing Content • Content ¡parsing ¡with ¡Python – Determine ¡content ¡type, ¡use ¡appropriate ¡parser – Don’t ¡use ¡HTMLParser ¡ if ¡html: ¡ ¡ ¡ use ¡lxml.html ¡ elif ¡xhtml: ¡ ¡ use ¡lxml.etree ¡ elif ¡xml: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡use ¡lxml.etree ¡ elif ¡json: ¡ ¡ use ¡json Black Hat USA 2010

  18. Parsing HTML responses content ¡= ¡html.parse(fileobj) ¡ ¡ ¡ ¡ ¡# ¡OR content ¡= ¡html.fromstring(string) # ¡let's ¡get ¡all ¡the ¡href's ¡out ¡of ¡the ¡html: for ¡a ¡in ¡content.iter(tag="a"): ¡ ¡print ¡a.get("href") Black Hat USA 2010

  19. Parsing XML configs with XPath NS ¡= ¡{"j2ee": ¡"http://java.sun.com/xml/ns/j2ee"} servlet ¡= ¡etree.XPath("//j2ee:servlet", ¡namespaces=NS) mapping ¡= ¡'//j2ee:servlet-­‑mapping/j2ee:servlet-­‑name[text() ¡= ¡"%s"]' for ¡node ¡in ¡servlet(webxml): ¡ ¡name ¡ ¡= ¡node.xpath("j2ee:servlet-­‑name", ¡ ¡namespaces=NS)[0].text ¡ ¡klass ¡= ¡node.xpath("j2ee:servlet-­‑class", ¡namespaces=NS)[0].text ¡ ¡_mapping ¡= ¡webxml.xpath(mapping ¡% ¡name, ¡namespaces=NS) ¡ ¡ ¡ ¡for ¡m ¡in ¡_mapping: ¡ ¡ ¡ ¡url ¡= ¡m.getparent().xpath("j2ee:url-­‑pattern", ¡namespaces=NS)[0].text Black Hat USA 2010

  20. Top Twitter Trends import ¡json import ¡urllib2 location ¡= ¡http://search.twitter.com/trends.json req ¡= ¡urllib2.Request(location) response ¡= ¡urllib2.urlopen(req) parsed ¡= ¡json.loads(response.read()) for ¡item ¡in ¡parsed.get("trends"): ¡ ¡ ¡ ¡print(item) Black Hat USA 2010

  21. Fuzz Cases • Do ¡the ¡legwork – Know ¡your ¡app – Know ¡your ¡parameters – Know ¡your ¡data • Work ¡smarter – Create ¡accurate ¡ranges – itertools ¡methods – Don’t ¡empty ¡your ¡clip ¡all ¡at ¡once Black Hat USA 2010

  22. Generating Fuzz Cases qs ¡= ¡dict(cgi.parse_qsl("foo=bar&up=down&left=right")) attacks ¡= ¡["'", ¡";", ¡"' ¡or ¡1=1-­‑-­‑"] for ¡case ¡in ¡ product (qs, ¡attacks): ¡ ¡ ¡ ¡d ¡= ¡dict(qs) ¡ ¡ ¡ ¡d.update(dict([case])) ¡ ¡ ¡ ¡print(urlencode(d)) ... foo=%27&up=down&left=right foo=%3B&up=down&left=right foo=%27+or+1%3D1-­‑-­‑&up=down&left=right foo=bar&up=%27&left=right foo=bar&up=%3B&left=right ... Black Hat USA 2010

  23. pywebfuzz • Web ¡fuzzing ¡lib ¡for ¡Python – hIp://code.google.com/p/pywebfuzz/ – Usable ¡in ¡Python ¡2.x – Easy ¡to ¡distributable ¡and ¡repeat ¡tests • Convenience – Fuzzdb ¡values ¡accessible ¡through ¡classes – Request ¡Logic – Range ¡genera4on ¡and ¡encoding ¡/decoding Black Hat USA 2010

  24. pywebfuzz Examples • Implemen4ng ¡fuzzdb ¡vals • Custom ¡range ¡genera4on • Encoding ¡opera4ons Black Hat USA 2010

  25. Sequence Difficulties • State ¡Issues – Account ¡login ¡/ ¡logout – Randomized ¡values – Maintaining ¡proper ¡state ¡while ¡tes4ng • Request – Process ¡headers ¡(referer ¡and ¡cookies) – Unable ¡to ¡parse ¡content ¡properly – Resort ¡to ¡regular ¡expressions Black Hat USA 2010

  26. Test Driving the Browser • Browser ¡Automa4on – Helpful ¡for ¡difficult ¡cases – When ¡you ¡need ¡a ¡real ¡browser • Selenium ¡/ ¡Webdriver – hIp://seleniumhq.org/ • Windmill – hIp://www.getwindmill.com/ Black Hat USA 2010

  27. Selenium • Selenium ¡components – Selenium ¡server – Selenium ¡Remote ¡Control – Selenium ¡IDE ¡(Browser ¡plugin) Black Hat USA 2010

  28. Selenium Demo Black Hat USA 2010

  29. Selenium Visuals Black Hat USA 2010

  30. Parsing Burp Logs • Spidering ¡technology ¡in ¡web ¡scanners ¡sucks – Seriously. ¡ ¡And ¡it’s ¡not ¡gelng ¡any ¡beIer – Your ¡tes4ng ¡4me ¡best ¡spent ¡elsewhere • Gelng ¡a ¡good ¡crawl ¡log ¡is ¡essen4al – It’s ¡something ¡you ¡probably ¡have ¡anyway – So ¡let’s ¡work ¡with ¡that Black Hat USA 2010

  31. Introducing GDS Burp API • Parse ¡a ¡Burp ¡Proxy ¡log ¡into ¡a ¡list – gds.pub.burp.parse(filename) • All ¡data ¡pertaining ¡to ¡a ¡request/response ¡is ¡ packaged ¡up ¡into ¡a ¡single ¡object • hIp://mwielgoszewski.github.com/burpee/ ¡ Black Hat USA 2010

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Industrial Panel Industrial Lease Vacancy Vacant space in the city is constricting 8.0% 6.5%

Industrial Panel Industrial Lease Vacancy Vacant space in the city is constricting 8.0% 6.5%

Edmonton Real Estate Forum 2018 Industrial Panel Industrial Lease Vacancy Vacant space in the city is constricting 8.0% 6.5% 6.3% 7.0% 6.0% 5.0% 6.0% 5.0% 4.0% 3.0% 2.0% Historical Average = 4.0% 1.0% 0.0% 2012 2013 2014 2015

459 views • 15 slides
Foundations of Robotics Rod Grupen Department of Computer Science University of Massachusetts

Foundations of Robotics Rod Grupen Department of Computer Science University of Massachusetts

Foundations of Robotics Rod Grupen Department of Computer Science University of Massachusetts Amherst Laboratory for Perceptual Robotics College of Information and Computer Sciences Robotics: Iliad (7th-8th century BCE) Homer a great

528 views • 36 slides
Basic OS Programming Abstractions (and Lab 1 Overview) Don Porter Portions courtesy Kevin

Basic OS Programming Abstractions (and Lab 1 Overview) Don Porter Portions courtesy Kevin

COMP 530: Operating Systems Basic OS Programming Abstractions (and Lab 1 Overview) Don Porter Portions courtesy Kevin Jeffay 1 COMP 530: Operating Systems Recap Weve introduced the idea of a process as a container for a running

628 views • 43 slides
Signals and Inter-Process Communication (IPC) Nima Honarmand (Based on slides by Don Porter and

Signals and Inter-Process Communication (IPC) Nima Honarmand (Based on slides by Don Porter and

Fall 2014:: CSE 506:: Section 2 (PhD) Signals and Inter-Process Communication (IPC) Nima Honarmand (Based on slides by Don Porter and Mike Ferdman) Fall 2014:: CSE 506:: Section 2 (PhD) Outline Signals Overview and APIs Handlers

666 views • 29 slides
JuliaLang: The Ingredients for a Composable Programming Language Dr Lyndon White Research

JuliaLang: The Ingredients for a Composable Programming Language Dr Lyndon White Research

whycompositionaljulia slides http://oxinabox.ucc.asn.au/files/JuliaCompositionalWhy/whyco... JuliaLang: The Ingredients for a Composable Programming Language Dr Lyndon White Research Software Engineer Invenia Labs What do I mean by

406 views • 18 slides
Data Mining Lecture 03: Nearest Neighbor Learning Theses slides are based on the slides by

Data Mining Lecture 03: Nearest Neighbor Learning Theses slides are based on the slides by

Data Mining Lecture 03: Nearest Neighbor Learning Theses slides are based on the slides by Tan, Steinbach and Kumar (textbook authors) Prof. R. Mooney (UT Austin) Prof E. Keogh (UCR), Prof. F. Provost (Stern, NYU) 1

458 views • 34 slides
Va Variables When creating a variable in Python, no type is provided x = 20 s = You

Va Variables When creating a variable in Python, no type is provided x = 20 s = You

1/29/20 Va Variables When creating a variable in Python, no type is provided x = 20 s = You think youve lost your love pi = 3.14159 So what happens if I do this (after the statements above)? x = pi CS 224

217 views • 5 slides
Censored Planet: Measuring Internet Censorship Globally and Continuously Roya Ensafi AIMS 2018

Censored Planet: Measuring Internet Censorship Globally and Continuously Roya Ensafi AIMS 2018

Censored Planet: Measuring Internet Censorship Globally and Continuously Roya Ensafi AIMS 2018 1 Measuring Internet Censorship Globally PROBLEM: - How can we detect whether pairs of hosts around the world can talk to each other? user ?

780 views • 49 slides
Objec(ves Defining your own func(ons Control flow Scope, variable life(me Refactoring

Objec(ves Defining your own func(ons Control flow Scope, variable life(me Refactoring

Objec(ves Defining your own func(ons Control flow Scope, variable life(me Refactoring Tes(ng Oct 9, 2017 Sprenkle - CSCI111 1 Review What are benefits of func(ons? What is the syntax for crea(ng a func(on? What is

226 views • 18 slides
Monday Week 07 for (i = 1; i &lt; N; i += 2) { list = makeNode(i); // create new node list =

Monday Week 07 for (i = 1; i &lt; N; i += 2) { list = makeNode(i); // create new node list =

Monday Week 07 5/09/2014 6:33 pm Monday Week 07 5/09/2014 6:33 pm int i; Monday Week 07 for (i = 1; i &lt; N; i += 2) { list = makeNode(i); // create new node list = list-&gt;next; // move forward 1/25 } Data and Memory

195 views • 5 slides
Avoid Null Checks Damien Cassou, Stphane Ducasse and Luc Fabresse W7S07 http://www.pharo.org

Avoid Null Checks Damien Cassou, Stphane Ducasse and Luc Fabresse W7S07 http://www.pharo.org

Avoid Null Checks Damien Cassou, Stphane Ducasse and Luc Fabresse W7S07 http://www.pharo.org Anti If Campaign Main &gt;&gt; showHappiness: animal animal isDog ifTrue: [ animal shakeTail ]. animal isDuck ifTrue: [ animal quack ]. animal

269 views • 12 slides
The Strategy Pattern Jay Urbain, Ph.D. urbain@msoe.edu 1 Review What problems are we trying

The Strategy Pattern Jay Urbain, Ph.D. urbain@msoe.edu 1 Review What problems are we trying

The Strategy Pattern Jay Urbain, Ph.D. urbain@msoe.edu 1 Review What problems are we trying to avoid? 2 Review What problems are we trying to avoid? l Class explosions l Code duplication l Tight Coupling l Poor Cohesion What

421 views • 21 slides
James Birchler Engineering Director, IMVU GDC, San Francisco, March 3, 2011 #im imvugdc vugdc

James Birchler Engineering Director, IMVU GDC, San Francisco, March 3, 2011 #im imvugdc vugdc

James Birchler Engineering Director, IMVU GDC, San Francisco, March 3, 2011 #im imvugdc vugdc @jamesbirchler 1. 1. Exp xperiments eriments 2. 2. Produ duct ct Feat atur ures es 3. 3. produ oduct ct developmen elopment The sc

896 views • 71 slides
Intro to Rust for Substrate Developers Or: how I learned to stop worrying and love lifetimes

Intro to Rust for Substrate Developers Or: how I learned to stop worrying and love lifetimes

Intro to Rust for Substrate Developers Or: how I learned to stop worrying and love lifetimes Maciej Hirsz Software developer @ Parity Technologies Ltd. maciej@parity.io | @MaciejHirsz Who is this for? Coming C / C++ or Python / Ruby / JS

863 views • 75 slides
Star clusters without the stars: FIRE at small scales Mike Grudi Caltech GalFRESCA 2017

Star clusters without the stars: FIRE at small scales Mike Grudi Caltech GalFRESCA 2017

Star clusters without the stars: FIRE at small scales Mike Grudi Caltech GalFRESCA 2017 FIRE Simulations Wetzel 2016 Simulate galaxy formation with explicitly-resolved ISM physics Trend toward finer mass resolutions: -

336 views • 15 slides
Data Mining Classification: Alternative Techniques Lecture Notes for Chapter 4 Instance-Based

Data Mining Classification: Alternative Techniques Lecture Notes for Chapter 4 Instance-Based

Data Mining Classification: Alternative Techniques Lecture Notes for Chapter 4 Instance-Based Learning Introduction to Data Mining , 2 nd Edition by Tan, Steinbach, Karpatne, Kumar 1 Nearest Neighbor Classifiers Basic idea: If it

166 views • 6 slides
The Cosmological Constant Problem and the Multiverse of String Theory Raphael Bousso Berkeley

The Cosmological Constant Problem and the Multiverse of String Theory Raphael Bousso Berkeley

The Cosmological Constant Problem and the Multiverse of String Theory Raphael Bousso Berkeley Center for Theoretical Physics University of California, Berkeley PiTP , 3rd lecture, IAS, 29 July 2011 The (Old) Cosmological Constant Problem Why

1.06k views • 71 slides
CS 445 Introduction to Machine Learning Features and the KNN Classifier Instructor: Dr. Kevin

CS 445 Introduction to Machine Learning Features and the KNN Classifier Instructor: Dr. Kevin

CS 445 Introduction to Machine Learning Features and the KNN Classifier Instructor: Dr. Kevin Molloy Quick Review of KNN Classifier If it walks like a duck, and quacks like a duck, it probably is a duck. k = 5 k = 1 Distance (dissimilarity)

686 views • 14 slides
CS 445 Introduction to Machine Learning Features and the KNN Classifier Instructor: Dr. Kevin

CS 445 Introduction to Machine Learning Features and the KNN Classifier Instructor: Dr. Kevin

CS 445 Introduction to Machine Learning Features and the KNN Classifier Instructor: Dr. Kevin Molloy Features If it walks like a duck, and quacks like a duck, it probably is a duck. Features describe the observation: Decision Tree

330 views • 18 slides
Object-Oriented Programming Scientific Programming with Python Andreas Weiden Based on talks by

Object-Oriented Programming Scientific Programming with Python Andreas Weiden Based on talks by

Department of Physics Object-Oriented Programming Scientific Programming with Python Andreas Weiden Based on talks by Niko Wilbert and Roman Gredig This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 License . 24/06/2019

827 views • 40 slides
Metalearning - A Tutorial Christophe Giraud-Carrier December 2008 Christophe Giraud-Carrier

Metalearning - A Tutorial Christophe Giraud-Carrier December 2008 Christophe Giraud-Carrier

Outline Introduction Metalearning The Practice of Metalearning Metalearning Systems The Road Ahead Metalearning - A Tutorial Christophe Giraud-Carrier December 2008 Christophe Giraud-Carrier Metalearning - A Tutorial Outline Introduction

789 views • 63 slides
61A LECTURE 14 An abstrac/on might have more than one

61A LECTURE 14 An abstrac/on might have more than one

7/16/13 Generic Functions 61A LECTURE 14 An abstrac/on might have more than one representa/on. MULTIPLE Python has many sequence types: tuples, ranges, lists, etc.

478 views • 5 slides
SUBSURFACE DRIP DISPERSAL OF EFFLUENT for LARGE SYSTEMS Presented by: David Morgan and

SUBSURFACE DRIP DISPERSAL OF EFFLUENT for LARGE SYSTEMS Presented by: David Morgan and

SUBSURFACE DRIP DISPERSAL OF EFFLUENT for LARGE SYSTEMS Presented by: David Morgan and Rodney Ruskin Program Map Making Program Soil Parent material, Relief, Time. Organisms, Color, Texture, Depth, Profile and Restrictive Horizons.

768 views • 72 slides
2013 Naffziger Lecture Officer of the American College of Surgeons Founding member of one of

2013 Naffziger Lecture Officer of the American College of Surgeons Founding member of one of

Disclosures No financial conflicts of interest 2013 Naffziger Lecture Officer of the American College of Surgeons Founding member of one of organizations I will discuss today Carlos A. Pellegrini MD FACS The Henry N. Harkins Professor and

660 views • 32 slides

More recommend