Правила пассивного сканирования Websocket

Сценарии

Сценарии, которые включены по умолчанию в дополнении, и они реализуют следующие правила пассивного сканирования Websocket:

Base64 Disclosure

Этот скрипт анализирует выгодную нагрузку входящей входящей загрузки WebSocket для строк Base64. Кодированная информация может включать конфиденциальные данные, которые могут конкретно не предназначены для конечного потребления пользователя.
Регулярное выражение, которое используется для идентификации строки Base64, основано на характерах прокладки. В результате может возникнуть ложноотрицательный результат, если закодированная строка имеет длину N бит, где (N)mod6 = 0. С другой стороны, ложные срабатывания могут возникать, если входной текст содержит строки, оканчивающиеся на «=».

Примеры:
Оригинал Полезная нагрузкаРезультат
Привет МирSGVsbG8gV29ybGQ=Истинный положительный
Привет МирTHIS_ISSGVsbG8gV29ybGQ=TEXTИстинный положительный
Привет Мир!SGVsbG8gV29ybGQKЛожноотрицательный
122==122НеверныйЛожный положительный результат

Значения по умолчанию:
РискИнформация
Уверенность Средний
Alert ID:110002

Раскрытие информации: ошибки приложения

Этот пассивный сканер проверяет входящие полезные данные сообщений WebSocket на наличие известных сообщений об ошибках приложений. Доступ к таким сведениям может предоставить злоумышленнику средства для дальнейшего злоупотребления веб-сайтом. Они также могут привести к утечке данных, не предназначенных специально для конечного пользователя.

Примеры:
Вариант использования Результат
Предупреждение: нельзя изменить информацию заголовка — заголовки уже отправлены Истинный положительный
'это' равно нулю или не является объектом Истинный положительный
System.Data.OleDb.OleDbException: синтаксическая ошибка в строке в выражении запроса 'User ID = ? И Password = ?'True Positive

Значения по умолчанию:
РискСредний
Уверенность Средний
CWE Идентификатор209: Раскрытие информации через сообщение об ошибке
WASC-идентификатор 13: Утечка информации
Alert ID:110001

Раскрытие информации: номер кредитной карты

This script scans for the presence of Personally Information Identifiable in incoming WebSocket message payload. В частности, он пассивно сканирует полезную нагрузку на предмет номеров кредитных карт. The available scans are for the following credit card types: {American Express, Diners Club, Discover, Jcb, Maestro, Master Card, Visa}.

Примеры:
Вариант использования Результат
5264 8109 66944441Истинный положительный
{"z":0.4333009597918351} False Positive

Default Values:
РискВысокий
Уверенность Высокий
CWE Идентификатор359: Разглашение личной информации («Нарушение конфиденциальности»)
WASC-идентификатор 13: Утечка информации
Alert ID:110005

Раскрытие информации: ошибки отладки

Этот сценарий проверяет полезные данные входящего сообщения WebSocket на наличие известных фрагментов сообщений об ошибках отладки. Доступ к таким сведениям может предоставить злоумышленнику средства для дальнейшего злоупотребления веб-сайтом. Они также могут привести к утечке данных, не предназначенных специально для конечного пользователя.

Примеры:
Вариант использования Результат
Ошибка при обработке запросаИстинный положительный
Предупреждение PHP: ошибка при отправке пакета QUERYИстинный положительный

Значения по умолчанию:
РискИнформация
Уверенность Средний
CWE Идентификатор200: Информационное воздействие
WASC-идентификатор 13: Утечка информации
Alert ID:110003

Раскрытие информации: адрес электронной почты

Этот сценарий сканирует входящие сообщения WebSocket на наличие адресов электронной почты. Адреса электронной почты могут быть не предназначены для использования конечными пользователями.

Значения по умолчанию:
РискИнформация
Уверенность Информация
CWE Идентификатор200: Информационное воздействие
WASC-идентификатор 13: Утечка информации
Alert ID:110004

Раскрытие информации: подозрительные комментарии XML

Этот сценарий проверяет полезные данные входящих сообщений WebSocket в формате XML на наличие подозрительных комментариев. Комментарии, которые он ищет, относятся к компонентам, с помощью которых злоумышленник может извлечь полезную информацию. Такие комментарии, как FIXME, BUG и т. д., могут быть полезны для дальнейших атак, нацеленных на слабые места веб-приложения.

Примеры:
Вариант использованияРезультат
<xml_test><!-- Это раздел комментариев --></xml_test>
Правда отрицательный 
<user_form><!-- FIXME: Кодировать --></user_form>
Истинный положительный

Значения по умолчанию:
РискИнформация
Уверенность Средний
CWE Идентификатор200: Информационное воздействие
WASC-идентификатор 13: Утечка информации
Alert ID:110008

Раскрытие частного адреса

Проверяет полезные данные входящего сообщения WebSocket на предмет включения IPv4-адресов RFC 1918, а также частных имен хостов Amazon EC2 (например, ip-10-0-56-78). Эта информация может дать злоумышленнику полезную информацию о схеме IP-адресов внутренней сети и может быть полезной для дальнейших атак, направленных на внутренние системы.
Этот пассивный сканер может генерировать ложные срабатывания в случае больших числовых строк с точками, таких как vp09.02.51.10.01.09.16, где последние 4 октета представляют собой IPv4-адрес RFC 1918. <0> После просмотра аналитик может пометить такие оповещения как False Positives в ZAP.

Примеры:
Вариант использованияРезультат
10.255.255.255Истинный положительный
ip-10.0.0.0Истинный положительный

Значения по умолчанию:
РискНизкий
Уверенность Средний
Alert ID:110006

Раскрытие имени пользователя

Проверяет полезные данные входящих сообщений WebSocket на наличие имен пользователей. Этот скрипт может найти имена пользователей, хешированные следующими методами: {MD2, MD5, SHA256, SHA384, SHA512}. Имена пользователей должны быть определены в любом контексте заранее. Чтобы добавить пользователя в Context, выполните следующие действия:
  1. Включите запрос рукопожатия в `Context`
  2. Установите целевого пользователя в `Контексте сеанса`

Значения по умолчанию:
РискИнформация
Уверенность Высокий
CWE Идентификатор284: Неправильный контроль доступа
WASC-идентификатор 2: Недостаточная авторизация
Alert ID:110007