CAT: Context App Tool


CAT es una herramienta para facilitar las pruebas manuales en los tests de intrusión web. Esta diseñada para hacer frente a  todos los niveles de pruebas necesarios en este tipo de tests, eliminando las pruebas repetitivas y permitiendo al auditor aprovechar mejor su tiempo y enforcarlo hacia la aplicación web.



Existe una amplia variedad de pruebas que CAT puede llevar a cabo:

- Repetidor de Peticiones – Usado para repetir un petición única
- Proxy – Un proxy Inline clásico
- Fuzzer – Permite enviar una batería de pruebas contra el servidor para fuerza bruta, fuzzing de parámetros, navegación forzada etc.
- Log – Permite ver la lista de peticiones para ordenarlas, buscar repetidas,  etc. Permite modificar y repetir una secuencia de peticiones
- Comprobador de autenticación – Dos proxies sincronizados que pueden ser usados para comprobar los controles de autenticación y autorización.
- Comprobador SSL – Solicita una página específica con varios cifrados SSL y versiones.
- Notepad – Un editor de texto/RTF que se puede utilizar para conversiones,  etc.
- Navegador web – Un navegador web integrado con un proxy pre-configurado basado en el motor de renderización de Internet Explorer.




Existen algunas diferencias reseñables entre CAT y la mayoría de los proxies web disponibles actualmente. Alguna de estas diferencias son:

- Uso del motor de renderización de Internet Explorer para la presentación del HTML
- Soporte de numerosos tipos de conversión de texto incluyendo: URL, Base64, Hex, Unicode, HTML/XML, SQL y JavaScript no Quotes
- Detección de XSS e inyección SQL integrados
- Proxies sincronizados para la comprobación de la autenticación y autorización
- Mayor velocidad gracias a cacheo de las conexiones HTTP
- Comprobador de las versiones y cifrados de SSL usando OpenSSL
- Mayor flexibilidad para importar/exportar los logs y proyectos salvados
- Interfaz con pestañas que permite el uso de múltiples herramientas en una, por ej. múltiples repetidores con diferentes logs
- Capacidad parar repetir y modificar una secuencia de peticiones (aspecto especialmente indicado para las pruebas de SSO)
- ¡Es gratis!

Las pruebas de CAT cubren:

- Modelos complejos de autorización
- Capacidad para testear formularios complejos multi-fase, por ej. sistemas single sign-on (SSO)
- Permite fuzzear formularios protegidos por tokens para CSRF (cross site request forgery)
- Soporte para diferentes codificaciones usados en web services, Ajax y para comproabar otras vulnerabilidades más complejas 
- Capacidad para ejecutar sensitive timing attacks
- Aplicaciones Ajax pesadas

Comentarios