SlideShare a Scribd company logo

WebSockets för applikationstestare

H
holiman

Talk given at Owasp Sweden 2011-01-31 about WebSockets for application testers

1 of 23
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
WebSockets för applikationstestare Owasp Sweden Martin Holst Swende 2011-01-31
Summary • Applikationstestning – Vanliga misstag • WebSockets – På serversidan – På klientsidan – Analys av kommunikation
Applikationstestning i urval
Applikationstestning • Kartlägga kommunikationsflöden – Vad skickas? • Direkta eller indirekta referenser • ”Hemlig” data? • ”Icke editerbar” data? – Var sker datavalidering? • På serversidan eller klientsidan? – Hur ser datavalidering ut? • Vitlistebaserad eller svartlistebaserad?
Vanliga misstag • Direkta referenser, typiska konsekvenser: – Path traversal – Remote file inclusion – Byta användarkonto • Datavalidering på klientsidan – Diverse injection-brister: XSS, SQLi etc. – Ändra priset på en vara / summan på betalning • Svartlistebaserad filtrering – Alltför snäv lista (släpper igenom för mycket). UTF-7? Overlong UTF-8? • Fokus på filtrering istället för korrekt transcoding – Injection-brister är egentligen fel i transformering av data mellan olika format-kontexter.
Okej, vad är det för speciellt med WebSockets?
WebSockets • Paradigmskifte i HTTP-världen. – Verktyg för att analysera HTTP-trafik (proxies) stöder inte WebSockets (än). – Oftast inte bara en quickfix, eftersom det är en helt annan modell.
WebSocket - användning • Server: – Java: Jetty, jWebSocket – PHP: phpWebSocket, WaterSpout – Python: pyWebSocket (Apache httpd), Tornado (Facebook) – Javascript: Node.js • Klient: – WebSocket stöd: Protocol IE FF Ch Safari Opera draft-hixie- 4 5.0.0 thewebsocketprotocol-75 draft-hixie- 4.0 beta 6 5.0.1 11.00(DISABLED) thewebsocketprotocol-76 (DISABLED) draft-ietf-hybi- thewebsocketprotocol-00
Klientstöd, forts • Javascript API definierat av W3C, dock bara ’native’ support i vissa browsers. • Både Flash och Silverlight har stöd för råa sockets, så det kräver inget nytt i ’core’ för att prata websockets. Det finns olika ramverk för att skapa implementera javascript-WebSockets via Flash – gimite/web-socket-js – jWebSocket/FlashBridge • Eller Silverlight: – http://40interop.ep.interop.msftlabs.com/html5/ClientBin/Microsoft.ServiceM odel.Websockets.xap – http://40interop.ep.interop.msftlabs.com/html5/js/jquery.slws.js • WebSockets finns även för IE med CromeFrame • Således kan websockets användas på de flesta browsers som stöder Flash/Silverlight/JavaFX(?)
I praktiken
Jetty Java server API
Node.js Socket.IO API
Browser API
Klient exempel
Analys av WebSocket-kommunikation Applikation • Man kan använda Javascript javascript-debugger för Initierar Websocket att påverka applikationen Browser-API • Man kan koppla in sig Javascript mellan applikationen och Browser-API Hanterar WebSocket TCP- • Man kan övervaka och OS modifiera trafiken på TCP- proxies nivå Sköter nätverkskommunikation på låg nivå
Manipulering av klient-API Monkeypatching
Javascript tampering • När applikation skickar data, kallas send()- metoden: socket.send(’foo’); • Implicit kallas på send()-metoden i ”prototyp”- objektet, (ungf superklassen). • Det går att skriva över send i prototypen:
Javascript tampering • När data tas emot är det svårare, eftersom onMessage- metoden sitter på instansen, inte i en supertyp. • Man kan dock skriva över hela WebSocket-konstruktorn och ’minera’ den
Att nämna • Nackdel: Koden måste köras innan någon websocket-uppkoppling gjorts för att receive() skall kunna fungera • Nackdel: Fungerar bara för javascript websockets, ej för Silverlight eller Flash • Fördel: går att lägga som bookmarklet, bör vara oberoende av browser • Finns även packeterat som en plugin till chrome
Demo
TCP tampering • Lura datorn att koppla upp sig till en (tcp-)proxy – Ändra i /etc/hosts eller motsv – Använda Mallory som default gateway • Proxyn vidarebefordrar all data till den korrekta hosten • Fördelar: Oberoende av klientteknik (js, silverlight, flash) • Nackdelar: väldigt låg nivå (bits & bytes) • Exempel: Mallory, Hatkit proxy, em-proxy (?), socat (?) etc…
Demo - Mallory Mallory Victim Default Internet Gateway
Frågor? Presenterat av: Martin Holst Swende http://martin.swende.se martin@swende.se twitter:@mhswende

More Related Content

PDF
LocalStorage
Anton Tibblin
 
PPTX
Integration mule
hedenberg
 
PDF
VT2018 - DA355A - Phonegap, react, vue.js
Anton Tibblin
 
PDF
VT16 - DA355A - Geolocation & media
Anton Tibblin
 
PDF
Cms - WordPress
Johannes Karlsson
 
PDF
Webboptimering 25 min
Fredrik Wendt
 
PPT
RIA-utveckling Kalmar
David Waller
 
PDF
jQuery and Ajax
Anton Tibblin
 
LocalStorage
Anton Tibblin
 
Integration mule
hedenberg
 
VT2018 - DA355A - Phonegap, react, vue.js
Anton Tibblin
 
VT16 - DA355A - Geolocation & media
Anton Tibblin
 
Cms - WordPress
Johannes Karlsson
 
Webboptimering 25 min
Fredrik Wendt
 
RIA-utveckling Kalmar
David Waller
 
jQuery and Ajax
Anton Tibblin
 

Viewers also liked (17)

PPT
Vietnam power point
Michelle Haddix
 
PPTX
искусство,музыка,живопись,кино
Vika Markosyan
 
PPTX
ամենաաղտոտ գետերը
Vika Markosyan
 
PPTX
VocalPress Overview
VocalPress
 
PPT
Vietnam Power Point
Michelle Haddix
 
PPTX
Մխիթար Սեբաստացի
Vika Markosyan
 
PPTX
Presentación proyecto enuy ingles
Angel Nuñez
 
PPTX
Halloween
Vika Markosyan
 
PPTX
талусни растения
Pavlina Elinova
 
PPTX
նախագիծ
Vika Markosyan
 
PPTX
Republica bolivariana de venezuela1
Roonald Perez
 
PPTX
եսապատում
Vika Markosyan
 
PPT
Hatkit Project - Datafiddler
holiman
 
PPT
The very hungry_caterpillar_book
valeriewatt
 
PPTX
90’s cartoons
Derek De Witt
 
PPTX
Tranter Australia Information
bjs123
 
PPTX
հեքիաթներ
Vika Markosyan
 
Vietnam power point
Michelle Haddix
 
искусство,музыка,живопись,кино
Vika Markosyan
 
ամենաաղտոտ գետերը
Vika Markosyan
 
VocalPress Overview
VocalPress
 
Vietnam Power Point
Michelle Haddix
 
Մխիթար Սեբաստացի
Vika Markosyan
 
Presentación proyecto enuy ingles
Angel Nuñez
 
Halloween
Vika Markosyan
 
талусни растения
Pavlina Elinova
 
նախագիծ
Vika Markosyan
 
Republica bolivariana de venezuela1
Roonald Perez
 
եսապատում
Vika Markosyan
 
Hatkit Project - Datafiddler
holiman
 
The very hungry_caterpillar_book
valeriewatt
 
90’s cartoons
Derek De Witt
 
Tranter Australia Information
bjs123
 
հեքիաթներ
Vika Markosyan
 
Ad

Similar to WebSockets för applikationstestare (20)

PDF
HT17 - DA354A - Webbapplikation
Anton Tibblin
 
PDF
HT18 - DA354A - Bottle web app
Anton Tibblin
 
PDF
jQuery & Ajax
Anton Tibblin
 
PDF
VT2019 - DA355A - jQuery och Ajax
Anton Tibblin
 
PDF
VT24 - jQuery & Ajax - Flerplattformsapplikationer med webbtekniker
Anton Tibblin
 
PDF
HT19 - DA354A - Webbprogrammering med bottle
Anton Tibblin
 
PDF
DA395A -jQuery och Ajax - Flerplattformsapplikationer med webbtekniker
Anton Tibblin
 
PPTX
HT15, DA354A - Introduktion till Webbprogrammering - Bottle (2)
Anton Tibblin
 
KEY
OPTIMERA STHLM! Loadimpact
.SE (Stiftelsen för Internetinfrastruktur)
 
PDF
VT2019 - DA355A - JS-ramverk
Anton Tibblin
 
PPTX
HT15, DA354A - Introduktion till Webbprogrammering - Bottle
Anton Tibblin
 
PPTX
Snabbt och användbart webbgränssnitt
Marcus Österberg
 
PDF
Molntjänster som it superhjältar
Per Åström
 
PPTX
Lär dig ajaxifiera dina tillägg med jQuery
tdhftw
 
PPT
PHP och MySQL
bjornh
 
PDF
HT23 - DA354A - Webbprogrammering med Python
Anton Tibblin
 
PDF
DA354B - Introduktion till programmering - Webbprogrammering
Anton Tibblin
 
PDF
FullStackDeveloper
Mats (Borris) Borrstäde
 
PDF
Cookies och Websockets
Daniel Stenberg
 
PDF
HT17 - DA156A - Sammanfattning av kursen
Anton Tibblin
 
HT17 - DA354A - Webbapplikation
Anton Tibblin
 
HT18 - DA354A - Bottle web app
Anton Tibblin
 
jQuery & Ajax
Anton Tibblin
 
VT2019 - DA355A - jQuery och Ajax
Anton Tibblin
 
VT24 - jQuery & Ajax - Flerplattformsapplikationer med webbtekniker
Anton Tibblin
 
HT19 - DA354A - Webbprogrammering med bottle
Anton Tibblin
 
DA395A -jQuery och Ajax - Flerplattformsapplikationer med webbtekniker
Anton Tibblin
 
HT15, DA354A - Introduktion till Webbprogrammering - Bottle (2)
Anton Tibblin
 
OPTIMERA STHLM! Loadimpact
.SE (Stiftelsen för Internetinfrastruktur)
 
VT2019 - DA355A - JS-ramverk
Anton Tibblin
 
HT15, DA354A - Introduktion till Webbprogrammering - Bottle
Anton Tibblin
 
Snabbt och användbart webbgränssnitt
Marcus Österberg
 
Molntjänster som it superhjältar
Per Åström
 
Lär dig ajaxifiera dina tillägg med jQuery
tdhftw
 
PHP och MySQL
bjornh
 
HT23 - DA354A - Webbprogrammering med Python
Anton Tibblin
 
DA354B - Introduktion till programmering - Webbprogrammering
Anton Tibblin
 
FullStackDeveloper
Mats (Borris) Borrstäde
 
Cookies och Websockets
Daniel Stenberg
 
HT17 - DA156A - Sammanfattning av kursen
Anton Tibblin
 
Ad

WebSockets för applikationstestare

  • 1. WebSockets för applikationstestare Owasp Sweden Martin Holst Swende 2011-01-31
  • 2. Summary • Applikationstestning – Vanliga misstag • WebSockets – På serversidan – På klientsidan – Analys av kommunikation
  • 4. Applikationstestning • Kartlägga kommunikationsflöden – Vad skickas? • Direkta eller indirekta referenser • ”Hemlig” data? • ”Icke editerbar” data? – Var sker datavalidering? • På serversidan eller klientsidan? – Hur ser datavalidering ut? • Vitlistebaserad eller svartlistebaserad?
  • 5. Vanliga misstag • Direkta referenser, typiska konsekvenser: – Path traversal – Remote file inclusion – Byta användarkonto • Datavalidering på klientsidan – Diverse injection-brister: XSS, SQLi etc. – Ändra priset på en vara / summan på betalning • Svartlistebaserad filtrering – Alltför snäv lista (släpper igenom för mycket). UTF-7? Overlong UTF-8? • Fokus på filtrering istället för korrekt transcoding – Injection-brister är egentligen fel i transformering av data mellan olika format-kontexter.
  • 6. Okej, vad är det för speciellt med WebSockets?
  • 7. WebSockets • Paradigmskifte i HTTP-världen. – Verktyg för att analysera HTTP-trafik (proxies) stöder inte WebSockets (än). – Oftast inte bara en quickfix, eftersom det är en helt annan modell.
  • 8. WebSocket - användning • Server: – Java: Jetty, jWebSocket – PHP: phpWebSocket, WaterSpout – Python: pyWebSocket (Apache httpd), Tornado (Facebook) – Javascript: Node.js • Klient: – WebSocket stöd: Protocol IE FF Ch Safari Opera draft-hixie- 4 5.0.0 thewebsocketprotocol-75 draft-hixie- 4.0 beta 6 5.0.1 11.00(DISABLED) thewebsocketprotocol-76 (DISABLED) draft-ietf-hybi- thewebsocketprotocol-00
  • 9. Klientstöd, forts • Javascript API definierat av W3C, dock bara ’native’ support i vissa browsers. • Både Flash och Silverlight har stöd för råa sockets, så det kräver inget nytt i ’core’ för att prata websockets. Det finns olika ramverk för att skapa implementera javascript-WebSockets via Flash – gimite/web-socket-js – jWebSocket/FlashBridge • Eller Silverlight: – http://40interop.ep.interop.msftlabs.com/html5/ClientBin/Microsoft.ServiceM odel.Websockets.xap – http://40interop.ep.interop.msftlabs.com/html5/js/jquery.slws.js • WebSockets finns även för IE med CromeFrame • Således kan websockets användas på de flesta browsers som stöder Flash/Silverlight/JavaFX(?)
  • 15. Analys av WebSocket-kommunikation Applikation • Man kan använda Javascript javascript-debugger för Initierar Websocket att påverka applikationen Browser-API • Man kan koppla in sig Javascript mellan applikationen och Browser-API Hanterar WebSocket TCP- • Man kan övervaka och OS modifiera trafiken på TCP- proxies nivå Sköter nätverkskommunikation på låg nivå
  • 16. Manipulering av klient-API Monkeypatching
  • 17. Javascript tampering • När applikation skickar data, kallas send()- metoden: socket.send(’foo’); • Implicit kallas på send()-metoden i ”prototyp”- objektet, (ungf superklassen). • Det går att skriva över send i prototypen:
  • 18. Javascript tampering • När data tas emot är det svårare, eftersom onMessage- metoden sitter på instansen, inte i en supertyp. • Man kan dock skriva över hela WebSocket-konstruktorn och ’minera’ den
  • 19. Att nämna • Nackdel: Koden måste köras innan någon websocket-uppkoppling gjorts för att receive() skall kunna fungera • Nackdel: Fungerar bara för javascript websockets, ej för Silverlight eller Flash • Fördel: går att lägga som bookmarklet, bör vara oberoende av browser • Finns även packeterat som en plugin till chrome
  • 20. Demo
  • 21. TCP tampering • Lura datorn att koppla upp sig till en (tcp-)proxy – Ändra i /etc/hosts eller motsv – Använda Mallory som default gateway • Proxyn vidarebefordrar all data till den korrekta hosten • Fördelar: Oberoende av klientteknik (js, silverlight, flash) • Nackdelar: väldigt låg nivå (bits & bytes) • Exempel: Mallory, Hatkit proxy, em-proxy (?), socat (?) etc…
  • 22. Demo - Mallory Mallory Victim Default Internet Gateway
  • 23. Frågor? Presenterat av: Martin Holst Swende http://martin.swende.se martin@swende.se twitter:@mhswende