Tamperdata: un’estensione per Penetration Tester

di Davide Denicolo

scritto il

Tamperdata è un add-on per il browser Firefox, scritto da Adam Judson utile a tutti coloro i quali effettuano penetration test su web application.

Il tool, infatti, consente di tracciare e manipolare tutte le richieste (GET/POST) dirette a un sito internet al fine di modificarne i parametri, verificando così eventuali bug presenti nelle applicazioni web.

Per ciascuna richiesta web, Tamperdata avvertirà l’utente di poter modificarne il contenuto.

Le informazioni di base modificabili sono: User-Agent, Cookie, Host and Keep-alive, ecc…; se ci troviamo davanti a una pagina di autenticazione, per esempio, sono inoltre modificabili i parametri login e password.

Un altro campo modificabile potrebbe essere il Referer che è il campo contenente l’indirizzo dal quale un utente è venuto a conoscenza della stessa pagina; questa informazione viene spesso usato dai sistemi di statistica web per recensire il rank del sito in questione.

Molti siti, per esempio, affidano la sicurezza delle proprie pagine a banali validazioni javascript che, come potrete ben capire, con Tamperdata verrebbero tranquillamente bypassate. Cosa potrebbe accadere, per esempio, se una pagina php non prevedesse la validazione sul contenuto delle variabili di Login?

Ogni campo modificabile in TamperData presenta inoltre un menù contestuale contenente diverse stringhe selezionabili, suddivise per tipologie di attacchi (XSS, SQL Injection, Integer Overflow).

L’ultima versione (9.8.1) è compatibile con Firefox 2.0 ed è tradotta in diverse lingue nonostante il tool sia in continuo sviluppo; sono previste, infatti, nuove feature.

Unica pecca: l’incompatibilità con Google Web Accelerator.