FileSender, aşağıdakiler için tasarlanmış açık kaynaklı bir web uygulamasıdır: büyük dosyaları güvenli bir şekilde aktarma. FileSender fikri 2007’de doğdu GÉANT araştırma ve eğitim topluluğu için pan-Avrupa ağının görev gücü toplantısı sırasında. Ana hedefleri kolaylaştırmaktı keyfi olarak büyük dosyaların güvenilir bir aracı aracılığıyla özel bir hedef kitleyle ağrısız paylaşımı. Açık kaynak projesinin yönetimi Commons Conservancy vakfı bünyesinde bir program olarak düzenlendi.
FileSender öncelikle kullanılarak oluşturulmuştur PHP ve kullanır MySQL veya PostgreSQL veritabanı yönetimi için. Yıllar geçtikçe aşağıdaki gibi çeşitli özellikleri destekleyecek şekilde gelişti: kullanıcı kimlik doğrulaması, dosya şifreleme, denetim izi, misafir erişimi, özelleştirilebilir kullanıcı arayüzleri.
Bahsedilmesi gereken önemli bir gerçek şu ki istemci tarafı şifreleme desteklenir. Bu şu anlama geliyor yükleme sırasında kullanıcının seçeneği vardır dosyayı şifrelemek aktarılacak; bu olur damla damla, ve tüm süreç gerçekleştirilir tarayıcının içinde kendi seçtiği bir şifreyi kullanarak. Bu şifrelenmiş blob’lar FileSender örneğine yüklenir ve indirici, parolayı kullanarak bu blob’ların şifresini yerel olarak çözer. Örnekten herhangi bir veri çalınırsa, parola ile korunacaktır.
Şu anda FileSender, büyük dosyaları güvenli bir şekilde göndermek için güvenilir bir yola ihtiyaç duyan dünya çapındaki eğitim kurumları, araştırma kuruluşları ve işletmeler tarafından yaygın olarak kullanılmaktadır. Hastanem, Amsterdam Üniversitesi Tıp Merkezi ve Amsterdam Üniversitesi de son 15 yıldır bunlardan biri.
Etkili hataları tanımlamayı hedeflediğimiz için bu, daha yakından incelenmek üzere mükemmel bir hedef olabilir. Özellikle SURFfilesender markası altında hizmet sunan SURF, koordineli zafiyet ifşası ilkelerini desteklediği için.
FileSender genellikle kimliği doğrulanmış kullanıcılar tarafından dosya göndermek için kullanılır, bu nedenle herhangi bir kimlik doğrulama gerektirmeyen bir hata bulmak ve çevrimiçi olan tüm dosya gönderici örneklerini etkilemenin bir yolunu bulmak istiyoruz.
Kimliği doğrulanmamış tüm yolları haritalandırmak için Burp Suite’i, tarayıcımız MITM’yi başlatıyoruz (veya Caido’yu deneyiyoruz) ve FileSender’da bulunan tüm işlevleri deniyoruz!
En ilginç uç noktalardan biri, dosyaları indirmek için kullanılanlardır. Açıkçası, alıcı herhangi biri olabilir (herhangi bir e-posta adresine izin verildiği için) ve bu, test edilecek kimliği doğrulanmamış işlevsellik anlamına gelir.
Bazı testlerden sonra, bir dosyanın süresinin dolması durumunda (varsayılan olarak 7 gün sonra silinecektir) bir hatanın döndürüleceğini keşfettim: