Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Programmi hacker: RESTler, lo strumento di fuzzing per le API Cloud.

Redazione RHC : 4 Giugno 2021 09:00

Per la serie “programmi hacker”, oggi parleremo di RESTler.

Quante volte abbiamo parlato di quanto sia importante una corretta progettazione, gestione e controllo sulle API, visto anche che stiamo andando sempre più verso il cloud?

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

I servizi cloud sono diventati l’infrastruttura critica che ha trasformato il modo in cui eroghiamo i servizi, lavorano gli sviluppatori e anche i tester di sicurezza. Il numero di servizi cloud critici per le aziende continuano a crescere ogni giorno, senza limiti e l’era del software in scatola chiusa sembra sia giunta al termine.

Gli sviluppatori sono ora responsabili della fornitura continua di nuove funzionalità sui servizi live, pur mantenendo la loro sicurezza, scalabilità e disponibilità.

Oggi, per la maggior parte dei servizi cloud e Web, ci si accede in modo programmatico tramite API REST (RE presentational S tate T ransfer). Tuttavia, gli strumenti per l’analisi statica e di fuzz-test che sono comuni nello sviluppo nativo non sono adeguati o sufficienti per gli sviluppatori di servizi web.

Ora più che mai, questi sviluppatori necessitano di approcci automatizzati per scoprire problemi che possono compromettere i servizi attraverso le loro API. Per soddisfare questa esigenza, i ricercatori Microsoft hanno sviluppato e reso open source dei nuovi strumenti per aiutare gli sviluppatori a trovare problemi di sicurezza e affidabilità nei loro servizi cloud testando automaticamente le loro API REST.

RESTler è un nuovissimo strumento di Microsoft per eseguire test fuzz in una determinata API REST. È stato rilasciato il 16 novembre del 2020, quindi perché non provarlo?

Lo strumento richiede che l’API venga specificata utilizzando OpenAPI, precedentemente noto come Swagger, in modo che possa analizzare la “grammatica” che descrive le strutture delle richieste. Successivamente, questa “grammatica” può essere utilizzata per formare richieste HTTP valide che possono essere inviate all’API e, monitorando le risposte, trovare bug e testare efficacemente il servizio. Dopo aver eseguito il comando fuzz test, RESTler genererà molti log, che dovranno poi essere analizzati

RESTler è descritto in questi documenti di ricerca peer-reviewed:

RESTler è stato creato presso Microsoft Research ed è opensource, anche se è ancora in fase di sviluppo, ma è disponibile su su macchine a 64 bit con Windows o Linux supportato da:

  • Python 3.8.2
  • NET core SDK 3.1.

Assicurati di avere installato il modulo libssl-dev e la versione di .NET SDK versione 3.1.

Con le dipendenze installate, procediamo con l’installazione del software effettivo.

Per prima cosa copiamo il file di restler da Github : https://github.com/microsoft/restler-fuzzer

Procediamo quindi a creare una cartella Bins

mkdir bins/

Lanciamo il modulo Python

python ./build-restler.py –dest_dir ./bins

Se tutto funziona a dovere, la directory bins dovrò essere riempita con file binari per eseguire RESTler. Ora configuriamo QRI, per prima cosa scaricandolo dal sito https://github.com/qri-io/qri

Poiché QRI ha un’immagine Docker, eseguire la sua API è estremamente semplice:

docker build . -t qri

Ora esegui:

docker run qri

Conclusioni

RESTler sembra essere uno strumento di fuzzing estremamente utile. Potremmo facilmente individuare i problemi su una base di codice ampia e importante riducendo di molto le tempistiche di analisi attraverso un test manuale.

D’altra parte, il fuzzing nasce proprio per questo, per consentirci di avere un “puntatore” per poi svolgere delle ulteriori analisi e visto che il software è opensource, perchè non provare?

Fonti

https://github.com/microsoft/restler-fuzzer

https://medium.com/swlh/fuzz-testing-with-microsofts-restler-6a3420fffe31

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Apple nel mirino: pubblicato su XSS un presunto data breach del gigante di Cupertino

14 maggio 2025 – Nelle prime ore di questa mattina, sul forum underground russo XSS, noto per essere una vetrina di primo piano per la compravendita di dati compromessi, è apparso un post ...

Fortinet: Un Nuovo Bug Di Sicurezza Consente Accessi Amministrativi Non Autorizzati

Diversi bug di sicurezza sono stati pubblicati recentemente sui prodotti Fortinet, i quali consentono agli aggressori di aggirare l’autenticazione e ottenere l’accesso amministrativo ai ...

RHC Conference 2025: 2 giorni di sicurezza informatica tra panel, workshop e Capture The Flag

Sabato 9 maggio, al Teatro Italia di Roma, si è chiusa la Red Hot Cyber Conference 2025, l’appuntamento annuale gratuito creato dalla community di RHC dedicato alla sicurezza informatica, ...

Gli hacker criminali di Nova rivendicano un attacco informatico al Comune di Pisa

La banda di criminali informatici di NOVA rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico al Comune di Pisa. Disclaimer: Questo rapporto include screenshot e/o tes...

Attacco informatico all’Università Roma Tre: intervengono ACN e Polizia Postale

Un grave attacco informatico ha colpito l’infrastruttura digitale dell’Università nella notte tra l’8 e il 9 maggio, causando l’interruzione improvvisa dei servizi onl...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006