Institute of Computer Science
  1. Courses
  2. 2021/22 spring
  3. Computer Security (LTAT.06.002)
ET
Log in

Computer Security 2021/22 spring

  • Pealeht
  • Loengud
  • Praktikumid
  • Referaat
  • Kirjandus
  • Lingid

Praktikum 14 - Veebirakenduse turvalisus - WebGoat näitel

Selles praktikumis tegeleme veebilehtede turvalisusega, et illustreerida millised vead võivad eksisteerida veebirakendustes, mis annaksid ründajale ligipääsu infosüsteemis hoitavatele andmetele. Praktikumis paigaldame virtuaalmasinasse veebirakenduse WebGoat, mis on õppe eesmärgil spetsiaalselt loodud ebaturvaliseks ning kuhu on lisatud ülesanded, mis aitavad selgitada erinevaid turvaprobleeme. Teie eesmärgiks selles praktikumis on teha läbi meie poolt valitud WebGoat ülesanded, et tutvuda erinevate turvaprobleemidega. WebGoat põhineb OWASP Top 10 turvaprobleemide nimekirjal, mille eesmärk on kaardistada levinud turvaohtusid ja neist arendajaid teavitada.

Lisaks WebGoat'le kasutame ka OWASP ZAP tarkvara, mis võimaldab "kinni püüda" ja modifitseerida HTTP päringuid. See lihtsustab oluliselt veebirakenduste turvatestimist.

Virtuaalmasina seadistamine

Soovitame kasutada 13. praktikumis paigaldatud Kali Linux virtuaalmasinat. Praktikumi käigus paigaldatav tarkvara töötab ka teistes Linuxi distributsioonides (Andmeturve Mint) ning ka Windowsi operatsioonisüsteemides. Kui praktikumis 13 seda ei teinud, siis ekraani dünaamiliseks suuruse muutmiseks on vaja paigaldada Devices -> Insert guest additions CD image -> ja käivitada käsurealt sudo sh VBoxLinuxAdditions.run (CD kaustas) ning reboot 

sudo apt update
sudo apt install openjdk-17-jre
java -version #peaks olema java 17
wget https://github.com/WebGoat/WebGoat/releases/download/v8.2.2/webgoat-server-8.2.2.jar
chmod 755 webgoat-server-8.2.2.jar
java -jar webgoat-server-8.2.2.jar

Eelnev laadib alla 8.2.2 WebGoat versioon (webgoat-server-8.2.2.jar) ning avage veebilehitsejas aadress http://127.0.0.1:8080/WebGoat/

Firefox ja Web Developer laiendus

Paigaldage Firefox ESR käsuga sudo apt install firefox-esr ning veebilehitsejale Web Developer laiendus (Add-on), mis võimaldab täpsemalt uurida veebilehtedes olevate vormide väljasid ning neid ka modifitseerida. Pärast Web Developeri installeerimist tekib Firefoxi tööriistaribale lisamenüü, mille alt valige Forms ja te leiate sealt erinevaid võimalusi saadetava vormi muutmiseks.

OWASP ZAP

OWASP ZAP võimaldab modifitseerida kõiki GET, PUT või POST tüüpi HTTP päringuid. Selle abil on võimalik kõrvale hiilida veebilehtede HTML ja JavaScript abil seatud piirangutest HTML vormide väljadele, mis on osades WebGoat ülesannetes vajalik.

Tõmmake alla ZAP 2.10.0 aadressilt: https://www.zaproxy.org/download/ ja paigalda tarkvara, mida Kali Linuxis on mugav teha käsuga

sudo apt install zaproxy

ZAP töötab man-in-the-middle proxy'na. Selle esimesel käivitamisel võite saada veateate, et proxy't ei ole võimalik 8080 pordi peal jooksutada, kuna WebGoat juba kasutab seda porti. Juhul kui tekib vastav probleem, siis modifitseerige ZAP lokaalse proxy seadistust:

  • Tools -> Options -> Local Proxy
    • Address: localhost
    • Port: 8081

Modifitseerige FireFox kasutama ZAP lokaalset proxy't 8081 pordi peal:

  • FireFox rakenduse menüü -> Settings -> Network Settings -> Manual proxy configuration
  • HTTP Proxy: localhost
  • Port: 8081
  • Tavaseadistusena proxy ei tööta localhost korral. Seega Firefox aadressiribale kirjutage about:config -> Accept the Risk and Continue -> otsige localhost -> network.proxy.allow_hijacking_localhost muutke true.

Täiendavalt tuleb ZAP -> Tools -> Options -> HUD -> Enable when using ZAP Desktop eemaldada linnuke. Viimane aitab olukorra vastu, kus muidu võiks teil tekkida vead ühendumisel.

Nüüd on ZAP võimeline pealt kuulama kõiki Firefox poolt tehtud HTTP päringuid, ning seda saab seadistada meile vajalike päringute nii öelda kinni püüdmiseks ja modifitseerimiseks.

HTTP POST päringute modifitseerimise sisse lülitamine ZAP'is:

  • Tools -> Add a custom HTTP break point
    • Location: Request Header
    • Match: contains
    • String: POST

Kui mõne ülesande juures ei õnnestu nii päringut kinni püüda, siis proovige muuta HTTP breakpoint'i nii, et otsingu (String:) väärtuseks panna mõni modifitseeritavas HTTP vormis leiduva välja nimi (näiteks Submit) ning asukoha (Location:) väärtuseks Request Body.

Selle tulemusena püüab ZAP kinni kõik proxy't läbivad POST päringud ning lubab neid modifitseerida nagu näidatud järgmisel pildil:

Testimiseks on soovitatav lahendada ülesanne:

  • General -> HTTP Basics
  • Kui olete ebakindlam arvutikasutaja soovitame läbi lugeda ja ära lahenda ka teised General tunnid näiteks: HTTP Proxies, mis seletab kuidas kasutada Owasp ZAP tarkvara, Developer Tools(tuntud ka kui F12 nupp veebilehitsejas).

Ülesanded arvestuse jaoks

Arvestuse saamiseks lahenda järgmised ülesanded (lahendamiseks on lubatud kasutada interneti, youtube jne abi, eesmärk ei ole et te peast oskaksite ründeid sooritada vaid et te leiaksite lahenduse tuntud ründe probleemile ja seda suudaksite iseseisvalt korrata):

  • Client side -> HTML tampering - Vihje: kasuta Owasp ZAP või Web Developer veebilehitseja laiendust
  • Client side -> Bypass front-end-restrictions - Kõik harjutused (Vihje: kasuta Owasp ZAP või Web Developer veebilehitseja laiendust)
  • Client side -> Client side filtering - Kõik harjutused (Vihje: lahendused peituvad koodis)
    • Alamülesanne 3 lahenduse leiate siit videost, kui ise välja ei mõtle
  • (A3) Sensitive Data Exposure - Insecure Login (Vihje: kasuta Owasp ZAP)
  • General -> Crypto Basics - Ülesanded 2, 3, 4, Ül 6 ja 8 on keerulisemad ja pole vaja lahendada
  • (A1) Injection -> SQL Injection (intro) (Näidislahendus: https://gitlab.com/BlackSheepSpicy/WebGoat/-/blob/master/WebGoat%20SQL%20Injection%20(Introduction).pdf Teie ülesanne on käsud sisestada ja kaasa mõelda. )
  • (A7) Cross-Site Scripting (XSS) -> Cross Site Scripting
  • Leidke ülesanne (A4) XML External Entities -> XXE.
    • Teie eesmärgiks on aru saada, milles seisneb XXE tüüpi turvaprobleem ning lahendada ära kaks esimest XXE ülesannet (alamosad 4 ja 7). Vihje: Teises ülesandes (nr 7) ründe kood ei muutu, aga muuta tuleb päringus oleva parameetri väärtust. Kolmanda ülesande kirjelduses on viga ning seetõttu me selle lahendust ei nõua.
  • Lahendage ära (A5) Broken Access Control -> Insecure Direct Object References ja esitage Ülesanne 5 võõra profiili vaatamine ekraanipilt edukast lahendusest. Eelnevad ülesanded on soovitatav ka ära lahendada, kuid nende kohta pilti ei pea esitama. Abiks on video ning internetist leiab näitelahendusi kui ise hätta jääta. Ülesande puhul idee kuidas teha olulisem konkreetsest lahendusest.

Esitada Praktikum14:

Praktikumi ülesande lahendamine annab neli punkti ja esitamiseks on umbes kaks nädalat alates praktikumi toimumisajast ( kuni 19. mai tähtajani).

Lahenduseks tuleb esitada ekraanitõmmised järgmiste harjutuste kohta, millelt peab olema näha lahendatud ülesanne koos rohelise taustaga. Iga harjutus on väärt 0.5p ja kokku on võimalik teenida 4p.

  • Client side -> HTML tampering
  • Client side -> Bypass front-end-restrictions
  • Client side -> Client side filtering
  • General -> Crypto Basics - Ülesanded 2, 3, 4
  • (A1) Injection -> SQL Injection (intro) -> kõik
  • (A7) Cross-Site Scripting (XSS) -> Cross Site Scripting
  • (A4) XML External Entities -> XXE -> 4 ja 7
  • (A5) Broken Access Control -> Insecure Direct Object References -> 5
14. Praktikum 14 - Veebirakenduse turvalisus
Solutions for this task can no longer be submitted.

Lisamaterjalid

  • SQL käskude dokumentatsioon
    • SELECT - Querying data
    • UPDATE - Modifying data
    • INSERT - Adding data
  • SQL injection näide:
    • SQL Injection Example
  • Same-origin policy
    • https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy
  • Google Analytics veebikülastajate jälgimise süsteemi kirjeldus
    • https://developers.google.com/analytics/resources/concepts/gaConceptsTrackingOverview
  • Detailsemalt 'Same-Origin Policy' kohta:
    • http://blogs.msdn.com/b/ieinternals/archive/2009/08/28/explaining-same-origin-policy-part-1-deny-read.aspx
    • http://blogs.msdn.com/b/ieinternals/archive/2012/04/03/explaining-same-origin-policy-part-2-limited-write.aspx

Vanem WebGoat versioon 7 (vabatahtlik)

Vanem WebGoati versioon 7 sisaldab veidi teistsuguseid ülesandeid ja lahendusi. Kui on huvi võite ka neid vaadata.

Java 8

Kõigepealt paigaldage Java 8, mis kahjuks enam ei ole paljudes vaikimisi määratud tarkvara repositooriumides saadaval. Java 8 paigaldamiseks lubame ajutiselt virtuaalmasinas DEBIAN repositooriumi uuendused (KALI põhineb Debianil), paigaldame apt java ning muudame Java vaikimisversiooni.

$ echo "deb http://security.debian.org/debian-security stretch/updates main" | sudo tee -a /etc/apt/sources.list.d/debian.list
$ sudo apt update
$ sudo apt install openjdk-8-jre
$ sudo update-alternatives --config java sisestage JAVA 8 ehk java versioonile 1.8 vastav number 2 vms.
$ java -version

WebGoat 7.1 paigaldamine

Seadistame WebGoat veebirakenduse töötama virtuaalmasinas. Selleks käivitage käsureal järgmised käsud: 

wget https://github.com/WebGoat/WebGoat/releases/download/7.1/webgoat-container-7.1-exec.jar
java -jar webgoat-container-7.1-exec.jar

Nüüd avage Firefoxis aadress http://localhost:8080/WebGoat et ligi pääseda käivitatud süsteemile. Võite kasutada kasutaja guest ja parooli guest

Ülesanded (vanad, vabatahtlik harjutamine)

Logige sisse aadressil http://localhost:8080/WebGoat/ kasutajaga guest ja tehke iseseisvalt läbi järgmised ülesanded. Kui vajate lisainformatsiooni või abi siis küsige praktikumijuhendaja käest, või kasutage Hints ja muid interaktiivseid võimalusi ülesannete juures. "Hints" funktsionaalsust kasutamine on lubatud ja kiirendab praktikumi ülesannete sooritamist.

Katsetamiseks võib lahenda järgmised ülesanded:

  1. Parameter Tampering
    1. Exploit Hidden Fields
    2. Bypass HTML Field Restrictions
  2. Code Quality
    1. Discover Clues in the HTML
  3. Injection Flaws
    Paremaks arusaamiseks lahendage kõigepealt ülesanded ühel kahest järgnevast lehest:
    • SQL Injection Example
    • Võite proovida ka interaktiivset demo, aga see nõuab nime sisestamist (telefoninumbri kontrollist läheb ka paar suvalistu numbrit läbi): https://free.codebashing.com/free-content/python/sql_injection
    1. String SQL Injection (Vaadake praktikumi lisamaterjalide all olevaid linke SQL päringute ning SQL injection kohta)
    2. Database backdoors
  4. Cross-site-scripting (XSS)
    1. Stored XSS Attack PS! Selle jaoks, et XSS ründed edukalt uusimate veebilehitsejatega töötaksid on vaja HttpOnly lipp küpsise seadetest ära keelata true -> false (või HTTP headerist ära kustutada). Rohkem infot siin https://medium.freecodecamp.org/session-hijacking-and-how-to-stop-it-711e3683d1ac
    2. Reflected XSS Attacks
  5. Denial of Service
    1. Denial of Service from Multiple Logins
  6. Improper Error Handling
    1. Fail Open Authentication Scheme
  • Proovi kas saad hakkama järgmiste ülesannetega:
    • AJAX Security -> Insecure Client Storage
    • Challenge -> The CHALLENGE!
  • Soorituste ülevaadet näeb järgmiselt WebGoat leheküljelt:
    • Admin Functions -> Report Card (peab sisaldama rohelisena juhendis olevate ülesannete ridu)
  • Institute of Computer Science
  • Faculty of Science and Technology
  • University of Tartu
In case of technical problems or questions write to:

Contact the course organizers with the organizational and course content questions.
The proprietary copyrights of educational materials belong to the University of Tartu. The use of educational materials is permitted for the purposes and under the conditions provided for in the copyright law for the free use of a work. When using educational materials, the user is obligated to give credit to the author of the educational materials.
The use of educational materials for other purposes is allowed only with the prior written consent of the University of Tartu.
Terms of use for the Courses environment