Web Application Attack and Audit Framework W3AF



Hasonló dokumentumok
PDF DOKUMENTUMOK LÉTREHOZÁSA

Webapp (in)security. Gyakori hibákról és azok kivédéséről fejlesztőknek és üzemeltetőknek egyaránt. Veres-Szentkirályi András

postafiók beállításai az e-szignó archívum szolgáltatáshoz

Mobil Telefonon Keresztüli Felügyelet Felhasználói Kézikönyv

Útmutató az OKM 2007 FIT-jelentés telepítéséhez

A Novitax ügyviteli programrendszer első telepítése

Dropbox - online fájltárolás és megosztás

Opensuse automatikus telepítése

Útmutató a MATARKA adatbázisból való adatátvételhez

1. Origin telepítése. A telepítő első képernyőjén kattintson a Next gombra:

Mobil Partner telepítési és használati útmutató

OCSP Stapling. Az SSL kapcsolatok sebességének növelése Apache, IIS és NginX szerverek esetén 1(10)

RapidMiner telepítés i. RapidMiner telepítés

BaBér bérügyviteli rendszer telepítési segédlete év

Kedvenc Linkek a témakörben: MySQL mindenkinek Vizuális adatbázis tervezés

Oktatási cloud használata

NEPTUN 3R DIPLOMA MELLÉKLET NYOMTATÁS BEÁLLÍTÁSA

Felhasználói leírás a DimNAV Server segédprogramhoz ( )

Jelek és rendszerek Gyakorlat_02. A gyakorlat célja megismerkedni a MATLAB Simulink mőködésével, filozófiájával.

A Számítógépes alapismeretek témakör oktatása. Dr. Nyéki Lajos 2019

DVD kódolása DIVX-be

Image Processor BarCode Service. Felhasználói és üzemeltetői kézikönyv

Java-s Nyomtatványkitöltő Program Súgó

"Eseményekre imm/connection Server scriptek futtatása

Navigációs GPS adatok kezelése QGIS programmal (1.4 verzió) Összeállította dr. Siki Zoltán

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András Marketingtorta - 4 1

Kedvenc Ingyenes editorok avagy milyen a programozó jobbkeze? PSPAD editor DEVPHP IDE

PDF. Tartalomjegyzék 1/21

VIRTUAL APPLIANCE KÉZIKÖNYV VIRTUAL APPLIANCE KÉZIKÖNYV

ÁVF oktatási és közösségi portál

KIRA. KIRA rendszer. Telepítési útmutató v1

EDUROAM WI-FI beállítása

Dokumentumok konvertálása PHP-vel parancssorból. A feladat a következő:

GoWebeye Monitor Release Üzenetküldés

Windows Server 2008 Standard telepítése lépésenként VirtualBox virtuális gépbe

K&H token tanúsítvány megújítás

A CAPICOM ActiveX komponens telepítésének és használatának leírása Windows7 operációs rendszer és Internet Explorer 8-es verziójú böngésző esetén

Belépés a rendszerbe. Gyors menü

Adat mentés. A program segítség file-ok, mappák mentésében. Mentési csomagokat állíthatunk össze.

Ubuntu Érettségi Remix Telepítési és beállítási leírás. Ágazati szakmai komplex távközlési ismeretek érettségihez

A Java EE 5 plattform

SQL Backup and FTP. A program telepítésének menete. A szoftvert a következő weboldalról ingyenesen tölthető le:

Saját Subversion tároló üzemeltetése i. Saját Subversion tároló üzemeltetése

Felhasználói dokumentáció. a TávTagTár programhoz. Készítette: Nyíri Gábor, hdd@nc-studio.com GDF Abakusz regisztrációs kód: GDFAba43

PÁTY ÖNKORMÁNYZATA POLGÁRMESTERI HIVATALÁNAK SZERVEZETFEJLESZTÉSE E-KÖZIGAZGATÁSI ALAPISMERETEK AZ ELEKTRONIKUS ÜGYINTÉZÉS ÉS HATÓSÁGI SZOLGÁLTATÁS

A Wireshark program használata Capture Analyze Capture Analyze Capture Options Interface

Webtárhely létrehozása a helyen. Lépések Teendő 1. Böngészőbe beírni: 2. Jobb oldalon regisztrálni (tárhelyigénylés).

Hiba bejelentés azonnal a helyszínről elvégezhető. Egységes bejelentési forma jön létre Követhető, dokumentált folyamat. Regisztráció.

Microsoft SQL Server telepítése

Telepítési Kézikönyv

WINDOWS TELEPÍTÉSI ÉS AKTIVÁLÁSI ÚTMUTATÓ A FOTOBETYAR.HU - PHOTOSHOP PLUGINJEIHEZ

CentOS 7 OTRS telepítése, beállítása

TERKA Törvényességi Ellenőrzési Rendszer Kiegészítő Alkalmazás

1. A NÉPESSÉGNYILVÁNTARTÓ PROGRAM TELEPÍTÉSI FELTÉTELE. A

WINDOWS XP - A GRAFIKUS FELÜLET KEZELÉSE

E-Freight beállítási segédlet

Apache OpenOffice telepítési útmutató

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt

OE-NIK 2010/11 ősz OE-NIK ősz

Virtualoso Server szolgáltatás Virtuális szerver használati útmutató

A Zotero hivatkozáskezelő program bemutatása. Mátyás Melinda

I. Bevezetés. I. Általános telepítési szempontok. Telepítési leírás. Mérlegjegy nyilvántartó. Szerzö és a segítség.

Vodafone Connect Lite (telepítés Windows XP operációs rendszer alatt)

KUTATÁSTÁMOGATÁS SOROZAT. Felhasználói segédlet Academic Search Complete adatbázisban idézők kereséséhez

BaBér. Bérügyviteli rendszer. Telepítési segédlet 2014.

1. Bevezető. 2. Sérülékenységek

Windows. Készítette: Csatlós István

Iroda DEMO telepítési útmutató

Telepítési útmutató DoktorInfo B300 jelentéshez

CIB Internet Bank asztali alkalmazás Hasznos tippek a telepítéshez és a használathoz Windows operációs rendszer esetén

I. A program áttelepítése másik számítógépre

1. A Windows programok telepítése

IBM Rational AppScan. IBM Software Group. Preisinger Balázs Rational termékmenedzser

Java-s Nyomtatványkitöltő Program Súgó

Samsung Universal Print Driver Felhasználói útmutató

Tisztaszınyeg nyilvántartó

einvoicing Elektronikus számlázás Ügyfélportál Felhasználói kézikönyv Ügyfélportál V Page 1 of 12

A virtuális környezetet menedzselő program. Első lépésként egy új virtuális gépet hozzunk létre a Create a New Virtual Machine menüponttal.

Budapest Internetbank számlaadatok áttöltése Kézi PC-be. (Felhasználási útmutató)

Selling Platform Telepítési útmutató Gyakori hibák és megoldások

Selling Platform Telepítési útmutató Gyakori hibák és megoldások

Az eszközpaletta. Felsı sor balról jobbra. Második sor balról jobbra 1/7

A Valknut fájlcserélő használata

BioAdmin 4.1 könnyű telepítés csak Kliens használatra

A CCL program használatbavétele

MŰSZAKI KÖVETELMÉNYEK, A KÖRKERESŐ SZOFTVER SPECIFIKÁCIÓJA, KÖLTSÉGVETÉS. A) Műszaki követelmények

viadat Web 1.54 Készítette: TrendCom Kft.

Országos Területrendezési Terv térképi mel ékleteinek WMS szolgáltatással történő elérése, Quantum GIS program alkalmazásával Útmutató 2010.

GráfRajz fejlesztői dokumentáció

Elemi alkalmazások fejlesztése I.

A nyomtatókkal kapcsolatos beállításokat a Vezérlőpulton, a Nyomtatók mappában végezhetjük el. Nyomtató telepítését a Nyomtató hozzáadása ikonra

Vectory telepítési útmutató

WIFI elérés beállítása Windows XP tanúsítvánnyal

A Szoftvert a Start menü Programok QGSM7 mappából lehet elindítani.

Csatlakozás a BME eduroam hálózatához Setting up the BUTE eduroam network

TERC V.I.P. hardverkulcs regisztráció

Miért ASP.NET? Egyszerű webes alkalmazás fejlesztése. Történet ASP ASP.NET. Működés. Készítette: Simon Nándor

Tisztelt Ügyfelünk. Az internet beállítások kinézete. Itt a Speciális fülre kell kattintani.

ADATBÁZIS VERZIÓKÖVETÉSE: LIQUIBASE

Átírás:

Web Application Attack and Audit Framework W3AF Bevezetés A Web Application Security Consortium (WASC) felmérését készített, melyben azt vizsgálták, hogy az interneten található web alkalmazások milyen fajta sebezhetıségektıl szenvednek. Az eredmény a következı cégek által végzett automatizált, white illetve black box módszerrel végzett sérülékenység felderítéseken alapult: Booz Allen Hamilton BT Cenzic Hailstorm és ClickToSecure dblogic.it HP Application Security Center WebInspecttel Positive Technologies MaxPatrol Veracode Security Review WhiteHat Sentinel Az eredmény a következı: a vizsgált webalkalmazások több mint 7%-a automatikusan feltörhetı, kb. 7.72%-uk szenvedtt magas besorolású sebezhetıségtıl. A részletes kézi white és black box módszerekkel történı sebezhetıség keresésnél a webalkalmazások 98,65%-ban találtak magas besorolású sérülékenységet. A leggyakoribb sebezhetıségek a következık voltak: Cross-Site Scripting Információszivárgás SQL Injection Predictable Resource Location. Egy másik felmérés, melyet az Open Web Application Security Project (OWASP) készített, a tíz leggyakoribb sebezhetıséget kereste a 2006-os MITRE Sebezhetıségi Trendek címő felmérése alapján. Ennek eredményeként a következı sorrendet állították fel: 1. Cross-Site Scripting 2. Beszúrásos sebezhetıségek 3. Kártékony fájlfuttatás 4. Insecure Direct Object Reference 5. Cross-Site Request Forgery 6. Információszivárgás és nem megfelelı hibakezelés 7. Rossz autentikáció és munkamenet-kezelés 8. Insecure Cryptographic Storage 9. Biztosítatlan kommunikáció 10. URL hozzáférés letiltásának elmulasztása A w3af projekt célja egy olyan nyílt forrású keretrendszer megalkotása volt, amely amellett, hogy alkalmas a fenti, elterjedt sebezhetıségek felderítésére és kiaknázására, tetszés szerint bıvíthetı az egyéni igények és a jövı kihívásainak kielégítése érdekében. Mi is ez a w3af? A w3af a Web Application Attack and Audit Framework rövidítése. A program magja és a hozzá illeszthetı pluginek - amelyekkel a program funkcionalitása tetszés szerint kiegészíthetı - Python nyelven íródtak, így biztosított a platform-függetlenség. A szkenner konzolos és grafikus felhasználói felülettel is használható. A w3af segítségével a fentebb említett minden sebezhetıségre

megvizsgálhatjuk webalkalmazásainkat. Mivel a program több mint 130 pluginnel rendelkezik, így a kiegészítések csoportosítva vannak. Ezek a csoportok a következık: discovery (új injektálási pontok keresése) audit (a discovery plugin által felfedezett pontokat használja fel az új hibák felderítéséhez) bruteforce (form és basic) evasion (IDS kijátszás) grep (minta keresés a HTTP válaszokban) mangle (kérések módosítása szabványos kifejezésekkel) output (az eredmény mentése) A w3af és függıségek telepítése Linux Töltsük le a honlapról a programot tartalmazó archívumot és tömörítsük ki azt. A következı programcsomagokra van szükség a futtatás elıtt: A Mag és a konzol függıségei: fpconst-0.7.2 pygoogle pywordnet SOAPpy pypdf Beautiful Soup Python OpenSSL json.py scapy Grafikus felület függıségei: python sqlite3 graphviz pygtk 2.0 gtk 2.12 Az extlib mappában megtalálható a legtöbb függıség, ami hiányzik, azt magunknak kell letölteni és feltelepíteni. Ha kész vagyunk, használhatjuk is a programot. Itt egy kis segítség Python programok telepítéséhez: w3af@pentester:/home/w3af/# tar -xvf w3af-beta7-r1813.tar.bz2 w3af@pentester:/home/w3af/w3af/# cd w3af w3af@pentester:/home/w3af/w3af/# cd trunk w3af@pentester:/home/w3af/w3af/trunk/# cd extlib w3af@pentester:/home/w3af/w3af/trunk/extlib/# cd fpconst-0.7.2 w3af@pentester:/home/w3af/w3af/trunk/extlib/fpconst-0.7.2/# python setup.py install A w3af frissítéséhez adjuk ki a követkzı parancsot a trunk könyvtárban.

w3af@pentester:/home/w3af/w3af/trunk# svn update Ezzel letölthetjük a projekt Subversion tárolójában található legfrissebb verziót. Windows Windowsosra elérhetı egy elıre összeállított telepítıkészlet, amely elvégzi az alapvetı beállításokat, azonban erısen támaszkodik a Python 2.5-ös értelmezıre, amelyet külön kell telepíteni (www.python.org). Amennyiben az egyes függvénykönyvtárak telepítése mégis meghiúsul, próbálkozzunk más verziójú Python értelmezıvel! A w3af használata Választhatunk konzolos és grafikus felület közül. A konzolos felület indításához a w3af_console, a grafikus felület indításához pedig a w3af_gui parancsot írd be. Nézzük milyen argumentumokat adhatunk meg: írjuk be a következıt: w3af_gui -h w3af@pentester:/home/w3af/w3af/trunk#./w3af_gui -h w3af - Web Application Attack and Audit Framework Options: -h Print this help message. -s <file> Execute a script file. -i <dir> Directory where MSF is installed (only used to install the virtual daemon). -p <profile> Run with the selected profile http://w3af.sourceforge.net/ -s<file>, itt megadhatjuk a script fájlt, ami tartalmazza a célpontot és a rajta futtatandó plugineket. Automatikusan lefut, nekünk nem kell semmit csinálni. -i<dir>, ezt megadva együtt használhatjuk a Metasploit Frameworkkel. -p<profile>, itt pedig azt a profilt adhatjuk meg, amit majd használni fogunk. Mi indítjuk el a szkennelést. A konzolos felület használatához olvasd el a linkek között megtalálható UsersGuideot. Indítsuk el a grafikus felületet: w3af@pentester:/home/w3af/w3af/trunk #./w3af_gui

Ha nem történt hiba, akkor ennek a képnek kell fogadnia minket. Létrehozhatunk profilt, amely lényegében a részünkrıl elınyben részesített pluginek győjteményeként tekinthetı. Lehetıségünk van egyénileg kialakított és "fuzzy kéréseket" létrehozni, utóbbiak segítségével megvizsgálhatjuk, hogy egy alkalmazás hogyan reagál nagy mennyiségő véletlenszerően generált bemenetre. Rendelkezésünkre állnak beépített, a kiküldött adatok kódólására, összezavarására alkalmas algoritmusok, amelyekkel elsı sorban webalkalmazás-tőzfalak hatékonyságát vizsgálhatjuk. Van beépített profil is, mely valamilyen szempont alapján tartalmazza a kiválasztott plugineket, így csak a címet kell megadni és már szkennelhetünk is. A Pluginek alatt pedig megadhatjuk, hogy az eredményt milyen formában szeretnénk menteni: konzolra, grafikusan, HTML formátumban, vagy egyszerő szövegként. Nézzünk egy egyszerő példát, a Cross-Site Scripting-et!

Az audit pluginek közül kiválasztjuk az XSS-t (azaz Cross-Site Scriptinget), amit be is kell állítanunk. Azt, hogy melyik plugint kell beállítani, azt az elıtte levı papiron ceruzát ábrázoló kis ikon jelzi. Ha kijelölünk egy plugint, akkor láthatunk egy rövid leírás magáról a kiegészítésrıl és a beállításról (ha van neki).

Állítsuk be a kimenetet is: a gtkoutput kimenet grafikus felületnél mindig adott. Ebben az esetben kiválasztjuk a htmlfile kimenetet is, ahol megadhatjuk a HTML fájl és a kimenet nevét. Ha megadtuk a Target mezıben a vizsgálni kívánt oldal címét, akkor el is kezdhetjük a szkennelést a Start gombra kattintva.

Ahogy elindítottuk a vizsgálatot, a Log ablakban láthatjuk a program által elvégzett mőveleteket, illetve azok eredményét. Kiválaszthatjuk, hogy mit akarunk látni: sebezhetıséget, információt vagy a hibákat, esetleg mindhármat. Van keresésre is lehetıség a Search gombra kattintva. Ha a program végzett a felderítéssel, a Results, KB Browser ablakban csak a megtalált sebezhetıségeket láthatjuk kategorizálva, grafikusan is ábrázolva.

Itt, ha kiválasztjuk az egyes sebezhetıségeket (ebben az esetben csak egy van), és láthatjuk, hogy a rendszer milyen HTTP kérést küldött a szervernek és mi volt a válasz. Látható még a forráskód és a paraméterben átadott érték. Szőrhetjük, hogy mit szeretnénk látni: a sebezhetıségeket, az információkat, az általános dolgokat vagy mindhármat.

A Response/Request navigator ablakban kilistázhatjuk azokat a sebezhetıségeket, amikre kíváncsiak vagyunk. Itt további olyan információk jelennek meg, mint a HTTP kód, metódus, hossz, vagyis a teljes HTTP fejléc.

A felfedezett sebezhetıségek kihasználásához exploitokat készíthetünk. Ezek a szkriptek pl. hátsó kaput nyithatnak a célponton, letölthetnek érzékeny adatokat tartalmazó fájlokat, vagy létrehozhatnak új bejegyzéseket a célpont adatbázisában illetve fájlrendszerén, tehát lényegében bizonyos sebezhetıség-típusokon keresztül gyakran végrehajtható akciókat írhatnak le. Ha rendelkezünk a sebezhetıséghez exploittal, akkor azt az Exploit ablakban fel is használhatjuk. Azt, hogy rendelkezünk e megfelelı exploittal, a feketén kiemelt exploit neve jelzi. Az exploitokat konfigurálni kell, utána csak ráhúzzuk a középen lévı sebezhetıségre és automatikusan végrehajtódnak. A w3af képes együttmőködni a népszerő Metasploit keretrendszer 3.0-ás vagy újabb verzióival.

A felderítés végeztével eredményeinket az Output pluginek segítségével összefoglalva elmenthetjük. A fenti ábrán az elızıekben végrehajtott felderítés HTML kimenete látható. Linkek http://www.net-security.org/secworld.php?id=6501 http://www.owasp.org/images/e/e8/owasp_top_10_2007.pdf http://www.owasp.org/index.php/category:owasp_guide_project http://w3af.sourceforge.net/ http://w3af.sourceforge.net/documentation/user/w3afusersguide.pdf http://nukeit.org/2008/01/17/howto-install-w3af-on-windows-svn-style/ http://nukeit.org/2008/07/26/w3af-updated-prerequisites-win32-howto/ http://www.metasploit.org

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés