Пентестинг Server Actions в Next.js

Далее. Server Actions Next.js сложны для анализа во время тестов на проникновение, потому что они отображаются как POST-запросы с непрозрачными хэш-идентификаторами. Расширение Burp NextjsServerActionAnalyzer помогает, сопоставляя эти хэши с понятными именами функций, когда включены productionBrowserSourceMaps. Это расширение использует тот факт, что минифицированные файлы JavaScript содержат сопоставления между хэшами действий и соответствующими именами функций. Оно автоматически сканирует историю прокси на наличие фрагментов JavaScript, извлекает эти сопоставления и создает четкую связь между хэшами и именами функций. Вместо отслеживания изменяющихся идентификаторов хэшей, расширение фокусируется на постоянных именах функций, обеспечивая точную идентификацию даже в разных сборках приложений. Мощная функция преобразует неиспользуемые действия в тестируемые запросы в Burp, упрощая процесс тестирования. В недавней оценке расширение успешно сопоставило многочисленные хэши серверных действий с именами их функций, повысив ясность тестов. Это позволило тестировщикам легко идентифицировать и тестировать такие функции, как `updateUserProfile()` и `fetchReportData()`. Сопоставление позволило обнаружить неиспользуемые серверные действия, которые затем можно было нацелить на тестирование. Этот подход позволяет проводить более эффективное и целенаправленное тестирование безопасности в приложениях Next.js. Расширение в конечном итоге меняет подход тестировщиков к анализу серверных действий Next.js. Расширение обеспечивает лучшее понимание поведения приложения.