web-dev-qa-db-fra.com

Comment tester un SPA basé sur AngularJS (application d'une seule page)

J'essaie de Pentest une application qui est construite dans AngularJS. Les difficultés auxquelles je suis confronté :

  1. L'option "spider this Host" de Burp Suite n'est pas en mesure d'explorer toutes les URL car la plupart des demandes sont AJAX et Angular.
  2. Lorsque j'essaie d'analyser manuellement tous les liens à l'aide de Burp Suite. Il est capable d'analyser uniquement le lien de la page d'accueil. Les clics restants ne sont pas interceptés.
  3. Je ne parviens pas à obtenir le contenu des modèles utilisés pour diverses mises en page. Comme: "App/src/dashboard/Menu/Menu.box.tpl.html "est l'un des modèles utilisés dans Angular angulaire. Mais comment analyser son contenu html. (Tout comme nous obtenons une source html pour les URL générales analysées).

Ici, Acunetix a été un peu utile pour donner une brève idée de la façon dont l'application analyse le contenu. Mais pour le pentest manuel, je ne reçois pas de solution appropriée comme les outils, les méthodes, etc. que je devrais utiliser.

Veuillez me guider si quelqu'un connaît les Angular méthodologies de pentesting d'application.

Existe-t-il des liens/ressources/didacticiels pour Pentest pour l'application AngularJS?

penetration-testangularjs
9
Jassi

Utilisé pour enseigner les classes pentest d'applications pour un fournisseur d'applications Fortune 20 aux clients Fortune 100. Il y a des années, l'état de l'art pour ces types d'évaluations était le OWASP Ajax Crawling Tool où il fallait saisir manuellement tous les paramètres et actions Ajax.

Pour AngularJS, il y a le AngularJS Batarang Chrome Extension dans le Chrome Extension Store - très utile pour le débogage. S'il vous arrive également d'exécuter dans Node.js (probablement), vous pouvez également utiliser l'outil de débogage iron-node . Si vous faites du prototypage ou du développement Javascript, je vous suggère également de vérifier ternjs (comme Intellisense). ) module complémentaire à Atom Editor. nVisium Security a rédigé un article de blog sur certains des problèmes de sécurité dans AngularJS. Dinis Cruz aussi écrit sur AngularJS régulièrement.

Les applications d'une seule page peuvent être utilisées beaucoup plus efficacement en utilisant BurpKit , et pour obtenir une analyse efficace, consultez htcap .

4
atdre