O documento discute a técnica de fuzzing para testes de aplicações web. Ele explica o que é fuzzing, como usar a base de dados OWASP FuzzingCode e demonstra como aplicar fuzzing em pontos de entrada como parâmetros GET, POST, cookies e XML.
6. O que é Fuzzing Teste Fuzzing ou Fuzzing é a técnica que possibilita identificar falhas injetando dados 12/1/2009 3 Hackers to Hackers Conference
7. OWASP FuzzingCode Database Projeto que tem como objetivo catalogar listas de definições para serem usadas em testes fuzzing 12/1/2009 4 Hackers to Hackers Conference http://www.owasp.org/index.php/Category:OWASP_Fuzzing_Code_Database
8. Aplicando Fuzzing em testes de aplicações Web Onde injetar dados Analisando Resultados Vulnerabilidades que podem ser identificadas Exemplos 12/1/2009 5 Hackers to Hackers Conference
9. Onde Injetar Dados GET /FUZZ/FUZZ/parâmetro=FUZZFUZZ User-Agent: FUZZ Cookie: FUZZ 12/1/2009 6 Hackers to Hackers Conference
10. Onde Injetar Dados POST /FUZZ/FUZZ/ FUZZ User-Agent: FUZZ Cookie: FUZZ parâmetro=FUZZ 12/1/2009 7 Hackers to Hackers Conference
11. Onde Injetar Dados POST /FUZZ/FUZZ/ FUZZ User-Agent: FUZZ Cookie: FUZZ <?xml version="1.0" encoding="UTF-8" ?><methodCall> <methodName>wp.getPages</methodName> <params> <param> <value> <string>FUZZ</string> </value> </param> </params></methodCall> 12/1/2009 8 Hackers to Hackers Conference
12. Analisando Resultados Analisar resposta HTTP (200; 302; 401; 403; 500) Usar expressão regular para pesquisar informações na resposta HTTP Comparar resultados usando hashs 12/1/2009 9 Hackers to Hackers Conference
13. Quais falhas podem ser encontradas 12/1/2009 10 Hackers to Hackers Conference
15. Conclusão Fuzzing é uma técnica muito eficaz para identificar falhas Para bons resultados é essencial ter boas listas e identificar as interfaces de entrada Use todos os recursos para analisar as respostas (Regex; Hashs) 12/1/2009 12 Hackers to Hackers Conference