Главная > Uncategorized > О трудностях обеспечения ограничений демо-лицензии у веб сканеров

О трудностях обеспечения ограничений демо-лицензии у веб сканеров

Ни для кого не секрет, что у основных игроков на рынке коммерческих веб-сканеров цены огого: например, базовая лицензия для IBM AppScan SE — примерно 15 000$ за год. Как и для большинства дорогих продуктов, производители сканеров предусматривают возможность пробного использования. Соответственно, перед ними встает интересная задача: с одной стороны надо показать всю функциональность во всей красе, а с другой надо сделать так, чтобы этой функциональностью нельзя было воспользоваться для анализа произвольного веб-приложения без покупки лицензии.
Во всех известных мне сканерах эта задача решена одинаково: в пробной версии можно сканировать только специальные веб-приложения, расположенные на хостах, имена которых забиты в лицензию. Например, Acunetix дает сканировать только два веб-приложения: http://testasp.acunetix.com/ и http://testphp.acunetix.com/.
Любознательный пентестер тут же задастcя вопросом: как же в сканерах обеспечиваются эти ограничения? Например, что будет, если запустить сканер через прокси-сервер (например, WebScarab), на котором модифицировать HTTP-запросы и ответы: подменять хост в URL запроса и заголовки Host? Год назад я проверил свою идею на IBM AppScan, HP WebInspect и Acunetix — полный успех. Любопытно, что на написанные мной уведомления откликнулись только в IBM.
Но самое интересное во всем этом — это нерешенная задача: как же все-таки обеспечить ограничения демо-лицензии при условии, что весь трафик может проходить через полностью недоверенный прокси-сервер. Fingerprinting тут не поможет. Думается, что без подписей тут никак…

Реклама
Метки:
  1. Комментариев нет.
  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: