Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Pentest - Ukázkový kód modifikace obsahu webového požadavku pro Fiddler
leden 09
Pentest - Ukázkový kód modifikace obsahu webového požadavku pro Fiddler

Právě pracuju na jednom penetračním testování webové aplikace a zase jako vždycky, když se k něčemu vracím po pár měsících, tak si už nic nepamatuju, a všechno hledám. Tak tohle berte jenom jako můj vlastní semplík, abych to příště měl po ruce.

Jedná se o ukázku kódu do Fiddler pravidla (rule), který modifikuje jméno souboru uploadovaného z formuláře, který používá enctype="multipart/form-data". Navíc to obarví tu položku na červeno a ztlustí ji (bold). Na zbytek už máte Fiddler ScriptEditor, a jeho inteli sense, ale s něčím musím vždycky začít.

if (oSession.HostnameIs("test.gopas.cz") && oSession.uriContains("/default.aspx") && oSession.HTTPMethodIs("POST")) {

  oSession["ui-color"] = "red";
  var oBody = System.Text.Encoding.UTF8.GetString(oSession.RequestBody);
           
  if (oBody.Contains("Content-Disposition: form-data; name=\"fileUpload\";")) {
       
    oSession["ui-bold"] = "true";
    oBody = System.Text.RegularExpressions.Regex.Replace(oBody, "(Content-Disposition: form-data; name=\"fileUpload\"; filename=\")(.+?)(\")", "$1test.pdf$3");
    oSession.utilSetRequestBody(oBody);
  }
}

 

Tak dobrou. Mimochodem, tenhle pentest opět ukázal, že mnozí vývojáři webových aplikací o bezpečnosti ještě neslyšeli. A to i když dodávají aplikaci pro banku.

Comments

longhornmere

tak si už nic nepamatuju, a všechno hledám. https://moto-x3m.io/
passexplain on 27.7.2023 5:11

Rainbow friends

Nyní, když budete sledovat webové požadavky v Fiddleru, uvidíte, že každý požadavek bude mít https://rainbowfriends.io novou HTTP hlavičku "X-Modified-Header" s hodnotou "ModifiedValue".
donna1205 on 28.7.2023 5:05

Re: Pentest - Ukázkový kód modifikace obsahu webového požadavku pro Fiddler

I share the author's deep https://subwaysurfersgame.io concern about the disproportionate impact of climate change on vulnerable communities.
Jackson on 28.7.2023 10:34

Re: Pentest - Ukázkový kód modifikace obsahu webového požadavku pro Fiddler

 Tento kód zřejmě filtrování provádí v závislosti na hostiteli, URI a metodě HTTP POST. Dále obarvuje a zvětšuje zobrazení výsledku https://autistictest.com
timothyferriss on 9.8.2023 4:59

Re: Pentest - Ukázkový kód modifikace obsahu webového požadavku pro Fiddler

communication is a step https://geometrydashfree.io towards a more connected, compassionate, and united global community.
gessrta on 10.8.2023 9:23

Re: Pentest - Ukázkový kód modifikace obsahu webového požadavku pro Fiddler

Impressive demo of web request mod with Fiddler! 👏 Speaking of mods, anyone tried CarX Street Mod APK? Curious about the gameplay tweaks.


https://carxstreetapk.com
Marcellus on 15.8.2023 18:18

Ukázkový kód modifikace obsahu webového požadavku pro Fiddler

Impressive demo of web request mod with Fiddler! 👏 Speaking of mods https://trafficridergames.com/
Pentest on 3.9.2023 11:38

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments