martes, 28 de enero de 2020

Vooki – Rest API Scanner



By @raulrenales & @db3rn4l

Pues seguimos trabajando con herramientas de análisis de APIs, como ya sabéis el objetivo es crear un pequeño arsenal y que vayamos probando una a una para ver que tal funcionan. Hoy presentamos Vooki, un scanner con dos sabores, aplicaciones web y APIs.

El escáner de aplicaciones REST de Vooki es una herramienta automatizada para escanear y detectar vulnerabilidades en la API REST. Nuestra herramienta ayuda a descubrir las vulnerabilidades con facilidad, es muy fácil y efectivo e incluye funciones para importar los datos de Postman.
El scanner soporta las siguientes vulnerabilidades:

  • Inyección SQL
  • Inyección de comandos
  • Inyección de encabezado
  • Scripting entre sitios: reflejado.
  • Secuencias de comandos entre sitios: almacenadas.
  • Scripting entre sitios: basado en dom.
  • Faltan encabezados de seguridad
  • Divulgación de información confidencial en encabezados de respuesta
  • Divulgación de información confidencial en mensajes de error
  • Falta la validación de entrada del lado del servidor
  • Uso no deseado de métodos HTTP
  • Respuesta HTTP incorrecta


Primero de todo podéis conseguir Vooki en la siguiente url: https://www.vegabird.com/vooki/

Lo tenéis disponible para windows y para mac.


Una vez descargado e instalado la primera decisión es si queremos utilizar el scanner para web o el scanner para APIs.


En nuestro caso vamos a utilizar el REST API SCANNER para analizar una API de ejemplo. Una vez seleccionado podemos iniciar nuestro analisis creando un proyecto en le menu FILE.


Creamos un nuevo proyecto y vemos como en la barra de la izquierda nos aparece una carpeta. Pulsando con el botón derecho sobre ella podemos registrar una llamada. En este caso vamos a utilizar una API muy simple de JsonPlaceholder. Como veis en la imagen anterior, añadimos la petición en la caja de texto y seleccionamos el método GET, pulsamos en enviar. Automáticamente en la parte inferior veremos el resultado de la petición.


Al final vemos el resultado de la petición.


Si lo que queremos es scanear las vulnerabilidades relacionadas con esta API disponemos de la opción manual de añadir a la petición nuestro payload o utilizar un scanner automatico que nos dara todas las vulnerabilidades asociadas.



Pulsando y seleccionando una de ellas podemos ver los detalles en la parte inferior en la pestaña DETAILS.


en
Etiquetas: , , , , ,
Ubicación: 19243 Congostrina, Guadalajara, Spain

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)