fuzzing przegladarki internetowej
witajcie
chcialbym sie dowiedziec jak wykonac fuuzing przegladarki internetowej
w jakich funkcjach moze dojsc do buffer overflow itp
jak w ogole to wyglada
w internecie niestety nie moge znalexc materialow na ten temat
jest jeden fuzzer bodajze scapy ale nie chodzi mi o gotowe rozwiazania
jesli cos wiecie w tym temacie, pomozcie
scapy to nie ta kategoria - to program do manipulacji pakietow w sieciach tcp/ip a nie do fuzzowania http... zobacz na stronie co potrafi scapy
z tego co rozumiem to chcesz wiedziec jak wywalic przegladarke - jesli chodzi o content, to napisz sobie nawet prosty serwerek www i nim kombinuj zwracajac rozne smieci i patrz co sie dzieje w przegladarce... jak dokladnie okdeslisz co chcesz osiagnac to bedzie Ci o wiele prosciej
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
byc moze pomylilem masz racje, pewnie chodzilo mi o spike, mniejsza z tym nie pamietam
dokladnie to chcialbym wiedziec w jaki sposob do jakich funkcji i zmiennych mam przesylac te dane zeby szukac podatnosci
ok do tej pory uczylem sie na prostych przykladach atakow buffer overflow troche format string itp i zmienne podawane byly w argumencie, wiec sprawa jest prosta, ok podanie zmiennej przepelniajacej bufor w aplikacji konsolowej tez nie jest specjalnie trudne,ale gdzie mam przekazywac wartosci do zmiennych w aplikacjach takich jak przegladarka internetowa?
Zacznij od analizy jak wyglądały błędy w przeglądarkach w przeszłości.
Niestety milw0rm.com nie odpowiada, a ja nie wiem gdzie jeszcze można znaleść exploity
światło mądrości oświetla drogę z nikąd do nikąd
OWASP albo Backtrack
Ściągnij sobie najnowszy Backtrack, osadź na maszynie wirtualnej, albo wgraj na CD i w działce "Web Application Analysis" masz pełen wybór fuzzerów. Możesz te użyć narzędzi z OWASP - w końcu to pakiet do pentestów aplikacji webowych - też dostępny jako liveCD i maszyna wirtualna. Oferuje w zakłądce Fuzzers co prawda tylko jeden WSFuzzer do www, ale skoro ONI go polecająJa nie używałem niestety.
Downloads | BackTrack Linux - Penetration Testing Distribution
Downloads | AppSecLive.org
(maszyny wirtualne VMWare chodzą pod darmowym VMPlayerem)
fuzzing przegladarki internetowej a www to zupelnie co innego
wiec nie o to chodzi
Ops! Faktycznie - przeczytałem pierwszy post bez zrozumienia
Więc tylko uwaga do któregoś z poprzednich wpisów: zdaje się, że testowanie przeglądarki na różne kombinacje danych wejściowych nie wymaga podłączenia do sieci - dane równie dobrze mogą być z pliku lub strumienia, nieprawdaż?
ale gdzie te dane mam przesylac?
do jakich funkcji java script?
gdzie?
nowości to Ty nie napisales
hejka odkopuje swoj temat bo nie uzyskalem odpowiedzi na swoje pytanie i nadal nie wiem za duzo w tym temacie
jesli cos wiecie piszcie
Zasady Postowania
Copyright © 2006-2025 - HACK.pl. Wszelkie prawa zastrzeżone.
Odpowiedź z Cytatem