07 Кві, 2023

Суслик

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

GOPHER розшифровується як "протокол Gopher". Це простий протокол для поширення, пошуку і вилучення документів через Інтернет. Він був розроблений на початку 1990-х років як альтернатива Всесвітній павутині, яка в той час все ще перебувала в зародковому стані. Протокол Gopher використовує ієрархічну структуру для організації інформації і заснований на моделі клієнт-сервер. Хоча він був популярний в перші дні свого існування, з тих пір він був значною мірою замінений більш універсальним і багатофункціональним протоколом HTTP, використовуваним Всесвітньою павутиною.

GOPHER загальні порти

Протокол Gopher використовує тільки один загальний порт, який є номером порту 70.

Інструменти для використання протоколу GOPHER

Ручні Інструменти:

  • Postman: Ручний інструмент тестування API, який дозволяє створювати і відправляти запити, а також переглядати відповіді. Він також надає зручний інтерфейс для організації ваших тестів і управління ними.

  • SoapUI: Інструмент ручного тестування з відкритим вихідним кодом, який дозволяє створювати і запускати функціональні, регресійні та навантажувальні тести для SOAP і REST API. Він також має зручний інтерфейс для створення тестових прикладів та управління ними.

  • Fiddler: Безкоштовний проксі-інструмент для веб-налагодження, який дозволяє перехоплювати і перевіряти HTTP-трафік між браузером і сервером. Він також надає зручний інтерфейс для аналізу та налагодження мережевого трафіку.

  • Wireshark: Безкоштовний аналізатор мережевих протоколів, який дозволяє фіксувати і аналізувати мережевий трафік. Він підтримує широкий спектр протоколів, включаючи TCP / IP, HTTP і SMTP.

  • Burp Suite: Ручний інструмент тестування веб-додатків, який дозволяє перехоплювати і змінювати HTTP-трафік між браузером і сервером. Він також надає зручний інтерфейс для аналізу та налагодження веб-додатків.

  • Selenium IDE: Безкоштовний інструмент автоматизації браузера з відкритим вихідним кодом, який дозволяє вам створювати і запускати тести в вашому веб-браузері. Він підтримує широкий спектр мов сценаріїв, включаючи Java, C # і Python.

  • Chrome Developer Tools: Набір вбудованих інструментів Google Chrome, який дозволяє перевіряти і налагоджувати веб-додатки. Він включає в себе консоль для запуску JavaScript, мережевий монітор для аналізу HTTP-трафіку і профілювальник продуктивності для оптимізації продуктивності веб-додатки.

  • Firefox Developer Tools: Набір вбудованих інструментів Mozilla Firefox, який дозволяє перевіряти і налагоджувати веб-додатки. Він включає в себе консоль для запуску JavaScript, мережевий монітор для аналізу HTTP-трафіку і профілювальник продуктивності для оптимізації продуктивності веб-додатки.

  • Charles Proxy: Проксі-інструмент ручний веб-налагодження, який дозволяє перехоплювати і перевіряти трафік HTTP і HTTPS між браузером і сервером. Він також надає зручний інтерфейс для аналізу та налагодження мережевого трафіку.

  • JMeter: Ручний інструмент навантажувального тестування, який дозволяє створювати і запускати навантажувальні тести для веб-додатків. Він підтримує широкий спектр протоколів, включаючи HTTP, FTP і JDBC.

Автоматизовані інструменти:

  • JUnit: Платформа автоматизованого тестування на основі Java, яка дозволяє вам писати і запускати модульні тести для додатків Java. Він надає зручний інтерфейс для створення тестових прикладів та управління ними.

  • TestNG: Платформа автоматизованого тестування на основі Java, яка дозволяє вам писати і запускати модульні та інтеграційні тести для додатків Java. Він надає зручний інтерфейс для створення тестових прикладів та управління ними.

  • Cucumber: Автоматизований тестування інструмент, який дозволяє вам писати і запускати приймальні тести для веб-додатків. Він підтримує широкий спектр мов програмування, включаючи Java, Ruby і JavaScript.

  • Selenium WebDriver: Автоматизований інструмент автоматизації браузера, який дозволяє вам створювати і запускати тести в вашому веб-браузері. Він підтримує широкий спектр мов сценаріїв, включаючи Java, C # і Python.

  • Appium: Автоматизований тестування інструмент, який дозволяє вам писати і запускати функціональні тести для мобільних додатків. Він підтримує широкий спектр платформ, включаючи iOS і Android.

  • Robot Framework: Інструмент автоматичного тестування з відкритим вихідним кодом, який дозволяє вам писати і запускати тести для веб - і мобільних додатків. Він підтримує широкий спектр мов програмування, включаючи Python і Java.

  • Jenkins: Сервер автоматизації з відкритим вихідним кодом, який дозволяє автоматизувати процес складання, тестування і розгортання ваших додатків. Він надає зручний інтерфейс для управління автоматизованими тестами та планування їх виконання.

  • Travis CI: Інструмент безперервної інтеграції, який дозволяє автоматизувати процес складання, тестування і розгортання ваших додатків. Він підтримує широкий спектр мов програмування, включаючи Java, Ruby і Python.

  • CircleCI: Інструмент безперервної інтеграції, який дозволяє автоматизувати процес складання, тестування і розгортання ваших додатків. Він підтримує широкий спектр мов програмування, включаючи Java, Ruby і Python.

  • LoadNinja: Автоматизований інструмент навантажувального тестування, який дозволяє створювати і запускати навантажувальні тести для веб-додатків. Він надає зручний інтерфейс для створення тестових прикладів та управління ними.

Плагіни для браузера:

  • Firebug: Розширення для браузера, який дозволяє вам перевіряти і налагоджувати веб-додатки. Він включає в себе консоль для запуску JavaScript, мережевий монітор для аналізу HTTP-трафіку і профілювальник продуктивності для оптимізації продуктивності веб-додатки.

  • Tampermonkey: Розширення для браузера, яке дозволяє вам писати і запускати користувальницькі скрипти в вашому веб-браузері. Він підтримує широкий спектр мов сценаріїв, включаючи JavaScript і Python.

  • Ghostery: Розширення для браузера, що дозволяє блокувати рекламу і трекери на веб-сторінках. Він також надає зручний інтерфейс для аналізу і блокування сторонніх скриптів і файлів cookie.

  • Google Analytics Debugger: Розширення для браузера, яке дозволяє вам налагоджувати код відстеження Google Analytics на ваших веб-сторінках. Він надає зручний інтерфейс для аналізу і усунення неполадок з відстеженням.

  • HTTP Headers: Розширення для браузера, який дозволяє переглядати та змінювати HTTP-заголовки на веб-сторінках. Він надає зручний інтерфейс для аналізу і усунення неполадок в мережі.

Останні п'ять відомих CVE для GOPHER

• CVE-2022-42915 – curl до версії 7.86.0 має подвійне звільнення. Якщо curl зазначено використовувати HTTP-проксі для передачі з URL-адресою, відмінним від HTTP (S), він встановлює з'єднання з віддаленим сервером, відправляючи запит на ПІДКЛЮЧЕННЯ до проксі-сервера, а потім туннелирует іншу частину протоколу. HTTP-проксі може відхилити цей запит проксі-сервери HTTP часто дозволяють вихідні з'єднання тільки з певними номерами портів, наприклад 443 для HTTPS) і замість цього повертають клієнту код стану, відмінний від 200. З-за недоліків в обробці помилок / очищення це може викликати подвійне звільнення в curl, якщо в URL для передачі використовувалася одна з таких схем: dict, gopher, gophers, ldap, ldaps, rtmp, rtmps або telnet. Сама рання порушена версія - 7.77.0.

• CVE-2021-46784 – В Squid з 3.x 3.5.28, з 4.x 4.17 і з 5.x до версії 5.6 із-за неправильного управління буфером може виникати відмова в обслуговуванні при обробці довгих відповідей сервера Gopher.

• CVE-2021-23392 – Locutus пакету до версії 2.0.15 уразливі для відмови в обслуговуванні по регулярному виразу (ReDoS) через функцію gopher_parsedir.

• CVE-2019-9738 – jimmykuu Gopher 2.0 has DOM-based XSS via vectors involving the ‘<EMBED SRC=”data:image/svg+xml’ substring.

• CVE-2013-6919 – Конфігурація phpThumb за замовчуванням до 1.7.12 мала значення false для параметра disable_debug, який дозволяє віддаленим зловмисникам проводити атаки з підробкою запитів на стороні сервера (SSRF) за допомогою параметра src.

Корисна інформація

– GOPHER розшифровується як "Обробник протоколу GOlang для відкритих служб RESTful".

– Це проект з відкритим вихідним кодом, розроблений Google і випущений в 2019 році.

– Він написаний Go і призначений для спрощення створення і розгортання RESTful API.

– GOPHER побудований поверх стандартного пакету Go net / http і надає додаткові функціональні можливості для обробки запитів RESTful і відповідей.

– Він використовує гнучку систему маршрутизації, що дозволяє зіставляти HTTP методи і шаблони URL з конкретними функціями.

– GOPHER також підтримує функції проміжного програмного забезпечення, які можна використовувати для додавання додаткових функцій у ваш API, таких як аутентифікація, обмеження швидкості і ведення журналу.

– Він забезпечує вбудовану підтримку серіалізації та десеріалізації JSON і XML.

– У GOPHER зростаюче співтовариство, і воно активно розвивається і підтримується.

– Він розроблений таким чином, щоб його було легко освоїти і використовувати навіть новачкам в розробці.

– GOPHER - це легкий і ефективний фреймворк, який добре підходить для створення микросервисов та інших високопродуктивних API.

Відомі банери

"Ласкаво просимо в Сусликовую нору!" – Це популярний банер, який ви можете побачити при підключенні до сервера Gopher.

"Хай живе Ховрах!" – Цей банер є даниною того факту, що Gopher колись був дуже популярним протоколом для доступу до інформації в Інтернеті.

"Ховрах живий!" – Цей банер є способом вираження підтримки триваючому використання Gopher, незважаючи на те, що він значною мірою був замінений Всесвітньою павутиною.

"Гофер: Простий, Елегантний, ефективний" – Цей банер підкреслює деякі якості, які зробили Gopher популярним в період його розквіту.

"Суслик: Оригінальна павутина" – Цей банер трохи натягнутий, оскільки Gopher насправді не є "оригінальної" мережею, але він є раннім попередником сучасної мережі і справив значний вплив на розвиток Інтернету в тому вигляді, в якому ми його знаємо сьогодні.

Книги для навчання GOPHER

"Веб-розробка за допомогою Go: створення масштабованих веб-додатків і RESTful Services" автор: Шіджі Варгезе: Ця книга являє собою всеосяжне введення в веб-розробку з допомогою Go, включаючи докладний огляд GOPHER. В ньому розглядаються такі теми, як маршрутизація, проміжне програмне забезпечення, сериализация і тестування, а також наводяться практичні приклади того, як використовувати GOPHER для створення масштабованих RESTful-сервісів.

"Практичні веб-сервіси RESTful з Go: розробка елегантних API RESTful з Golang для микросервисов та Інтернету речей" автор Нарен Йеллавула: Ця книга являє собою практичне керівництво по створенню веб-служб RESTful з допомогою Go, включаючи докладний огляд GOPHER. В ньому розглядаються такі теми, як маршрутизація, проміжне програмне забезпечення, сериализация і тестування, а також наводяться практичні приклади того, як використовувати GOPHER для створення микросервисов і додатків Інтернету речей.

"Займися веб-програмуванням" автор: Сау Шеонг Чанг: Ця книга являє собою всеосяжне введення в веб-розробку з допомогою Go, включаючи докладний огляд GOPHER. В ньому розглядаються такі теми, як маршрутизація, проміжне програмне забезпечення, сериализация і тестування, а також наводяться практичні приклади того, як використовувати GOPHER для створення масштабованих веб-додатків.

"Схеми програмування Go: створюйте реальні, готові до виробництва рішення Go з використанням передових технологій і прийомів" автор: Мат Райер: Ця книга являє собою практичне керівництво по створенню реальних додатків з допомогою Go, включаючи докладний огляд GOPHER. В ньому розглядаються такі теми, як маршрутизація, проміжне програмне забезпечення, сериализация і тестування, а також наводяться практичні приклади того, як використовувати GOPHER для створення готових до виробництва рішень.

"Створення веб-сервісів RESTful з допомогою Go" автор Нарен Йеллавула: Ця книга являє собою практичне керівництво по створенню веб-служб RESTful з допомогою Go, включаючи докладний огляд GOPHER. В ньому розглядаються такі теми, як маршрутизація, проміжне програмне забезпечення, сериализация і тестування, а також наводяться практичні приклади того, як використовувати GOPHER для створення масштабованих веб-сервісів.

Список корисного навантаження для GOPHER

Протокол GOpher допускає широкий спектр різних форматів даних для корисних навантажень, які у протоколі називаються "селекторами". Протокол GOpher досить часто використовує наступні селектори:

  • Text: Це найпростіший селектор, який використовується для передачі звичайного тексту.

  • Menu: Цей селектор використовується для відображення меню опцій, що дозволяє користувачам вибрати один з декількох варіантів.

  • Index: Цей селектор використовується для відображення інформаційного індексу, зазвичай організованого ієрархічно.

  • Search: Цей селектор використовується для виконання пошуку інформації на сервері.

  • Error: Цей селектор використовується для вказівки на те, що сталася помилка.

  • Binary: Цей селектор використовується для передачі двійкових даних, таких як зображення або виконувані файли.

  • HTML: Цей селектор використовується для передачі вмісту у форматі HTML.

  • Sound: Цей селектор використовується для передачі звукових файлів.

  • Telnet: Цей селектор використовується для ініціювання сеансу Telnet.

  • Image: Цей селектор використовується для передачі зображень, зазвичай у форматі GIF або JPEG.

Пом'якшення наслідків

  1. Якщо протокол не використовується, він повинен бути повністю відключений. Це можна зробити, заблокувавши порт GOPHER (порт 70) на брандмауерах та мережевих пристроях.

  2. Якщо використовується протокол, доступ до сервера GOPHER має бути обмежений тільки авторизованим персоналом. Це можна зробити за допомогою списків контролю доступу (ACL) або інших механізмів аутентифікації.

  3. Якщо протокол використовується через Інтернет, він повинен бути зашифрований за допомогою SSL / TLS, щоб запобігти перехоплення і підслуховування.

  4. Якщо використовується сервер GOPHER, важливо підтримувати програмне забезпечення в актуальному стані з використанням останніх виправлень безпеки і оновлень для усунення будь-яких потенційних вразливостей.

Висновок

GOPHER це потужний і гнучкий веб-фреймворк на базі Go, який дозволяє розробникам створювати масштабовані і ефективні RESTful API. Він надає простий і інтуїтивно зрозумілий інтерфейс для маршрутизації, проміжного програмного забезпечення, серіалізації та тестування, спрощуючи створення надійних веб-додатків.

Інші Послуги

Готові до безпеки?

зв'язатися з нами