sWebMachineGun.exeの動作モード

Last updated at 2024-05-30Posted at 2019-01-28

リクエストの例

以下のリクエストを例とする。

画面は、「Request」タブで、送信するリクエストのテンプレートを準備する

1発目は、「/input.cgi」へ送るリクエスト

2発目は、「/confirm.cgi」へ送るリクエスト

3発目は、「/complete.cgi」へ送るリクエスト

この「1→2→3」「/input.cgi→/confirm.cgi→/complete.cgi」を "セッション" と呼ぶことにする。

とりあえず、"セッション" を生かすには、セレクトボックスが「全て使用」になっている事が重要。

これは、変数置換を行うリクエスト番号をしているもの。

上記のサンプルでは、「1(/confirm.cgi)」となっている。

「Setting」タブで設定する事ができる

これは、XSSなどの判定を行うレスポンスをどれにするのかを対応するリクエストの番号指定するもの

上記のサンプルでは、「2(/complete.cgi)」となっている。

「Judge/RegEx」タブで設定する事ができる

「変数置換対象ページ」と「判定対象ページ」は上記のように個別に設定できるが、同じ値の場合(XSSの反射型など)は、「Target」ボタンで設定することもできる。

また「AutoTarget」チェックボックスは、表示されているリクエストが自動的に「変数置換対象ページ」と「判定対象ページ」になる。表示を切り替えると自動的に追随する。

上記を踏まえて、"セッション" を指定した回数分だけ繰り返す

この図は「1回だけ繰り返す」ということになっている

上記は、回数分だったが、今回は「パターンの個数分」繰り返す

つまり、置換リストの中でもチェックされた置換パターンの分だけ、置換される。

これは、全リクエスト中の「%s%」の部分が、そのパターンに置換されるという繰り返しを行う。

上記は、パターンの回数分だったが、今回は各パラメータに対して、各パターンを繰り返していく。

今回は、「変数置換対象ページ」のパラメータ(今回は「/confirm.cgi」の「a」「c」「e」の3つ)に対して、置換パラメータをそれぞれ行う。

例えば「/webapp/id/50」とかなら、「最後のみ」でも「数値のみ」でもよいと思う。
「/webapp/id/50/age/30」とかなら「数値のみ」が最適かと思う。

「何もしない」は、置換する前に、なにもしない(置換しない)セッションを実施するということ。置換句の返しの前に正常性の確認ができる。
「最後に何もしない」は、置換繰り返し後に何もしないセッションを実施することで、繰り返し処理などで、セッション外に連れていかれたのかそうではないのかの確認ができる
「数値計算を行う」は、数値の値に対して、+1して-1した計算式を与えるかどうか
「数値に文字」は、数値の値に対して、通常のアルファベットを与える。(つまり脆弱性なのか、数値変換できなかっただけなのかの判別に使う)
「除外変数名」は、CSV形式で、置換対象外にするパラメータ名を入れる
「CSRFToken名は除外する」は、別途指定されている CSRFTokenのパラメータを除外するかどうか
「CSV変数名」は、CSV形式の値となっているパラメータ名を指定。CSVのデリミタはその後ろのテキストボックスで指定
「変数追加」は、置換文字列を名前としてパラメータを新規追加するかどうか。
「配列無視」は「a[0]=a&a[1]=b」を一つのパラメータとしてみなすかどうか
「UrlEncoded」は、置換後にURLエンコードするか、そのまま投げるか