Ondrej Sevecek's Blog

Právě pracuju na jednom penetračním testování webové aplikace a zase jako vždycky, když se k něčemu vracím po pár měsících, tak si už nic nepamatuju, a všechno hledám. Tak tohle berte jenom jako můj vlastní semplík, abych to příště měl po ruce.

Jedná se o ukázku kódu do Fiddler pravidla (rule), který modifikuje jméno souboru uploadovaného z formuláře, který používá enctype="multipart/form-data". Navíc to obarví tu položku na červeno a ztlustí ji (bold). Na zbytek už máte Fiddler ScriptEditor, a jeho inteli sense, ale s něčím musím vždycky začít.

if (oSession.HostnameIs("test.gopas.cz") && oSession.uriContains("/default.aspx") && oSession.HTTPMethodIs("POST")) {

  oSession["ui-color"] = "red";
  var oBody = System.Text.Encoding.UTF8.GetString(oSession.RequestBody);
           
  if (oBody.Contains("Content-Disposition: form-data; name=\"fileUpload\";")) {
       
    oSession["ui-bold"] = "true";
    oBody = System.Text.RegularExpressions.Regex.Replace(oBody, "(Content-Disposition: form-data; name=\"fileUpload\"; filename=\")(.+?)(\")", "$1test.pdf$3");
    oSession.utilSetRequestBody(oBody);
  }
}

Tak dobrou. Mimochodem, tenhle pentest opět ukázal, že mnozí vývojáři webových aplikací o bezpečnosti ještě neslyšeli. A to i když dodávají aplikaci pro banku.