6.1 OAST (Out of Band Application Security Testing)
Běžný (tradiční) model testování funguje na principu bezprostřední interakce mezi nástrojem a cílovou aplikací, tedy na modelu Request <-> Response.
Nicméně existují situace, kdy se tradičním způsobem nedaří získat data nebo potvrzení o zranitelnosti (tzv. "slepé" neboli blind zranitelnosti). Právě k tomu slouží OAST (Out of Band Application Security Testing).
OAST
OAST je technika, která obohacuje tradiční testování o schopnost detekovat asynchronní a "slepé" zranitelnosti. OAST funguje tak, že přiřadí payloadu unikátní externí cíl (např. unikátní doménu). Pokud cílový systém zranitelnost obsahuje, provede externí spojení (např. přes DNS, HTTP nebo SMTP) na tento předem připravený cíl ovládaný útočníkem (či nástrojem). Nástroj tyto interakce monitoruje a může tak potvrdit zranitelnost.
Kdy je OAST užitečné?
- Slepé (blind) injekce: Pokud odesíláte payload, ale server na něj nereaguje odpovědí, která by zranitelnost potvrdila (např. Blind SQLi, Blind Command Injection).
- Asynchronní zranitelnosti: Payload se provede později (např. Stored XSS v kontaktním formuláři, který si administrátor přečte až za několik hodin).
- Bypass firewallů a získávání dat: Jste-li v interní infrastruktuře, kde je odchozí HTTP(S) traffic blokován firewallem, může být povolen odchozí DNS dotaz, který OAST může využít pro extrakci dat.
- Self-registration a password recovery: Pokud nechcete používat svůj osobní e-mail (např. kvůli spamu).
Burp Collaborator
Nástroj začleněný v Burp Suite (Professional / Enterprise verze), který běží na doméně (např.
oastify.com) a zaznamenává DNS, HTTP(S) a SMTP(S) interakce z cílového serveru. Umožňuje tak zachytit komunikaci odeslanou asynchronně na základě vašeho payloadu (např. pingnutím speciálně vytvořené unikátní subdomény).Možnosti využití OAST
OAST lze využít k detekci a extrakci u mnoha zranitelností:
- Stored XSS: Např. zanesené skripty v administraci, kdy payload pošle HTTP požadavek na náš OAST server, když jej administrátor načte.
- SSRF (Server-Side Request Forgery) a XXE (XML eXternal Entity).
- Data exfiltration přes DNS: Nástroj
SQLmapumí použít DNS k extrakci dat (--dns-domain=DNS). K tomu lze využít takéCollabfiltrator(rozšíření Burp Suite), aniž byste museli provozovat vlastní DNS infrastrukturu. - LDAP injection, SMTP injection.