upb-zadanie-5

Zadanie 5: Zraniteľnosť web aplikácií

Cieľom piateho zadania je oboznámiť sa podrobnejšie s problematikou webových zraniteľností.  Každá web aplikácia by pri finálnom testovaní funkčnosti mala byť testovaná aj z bezpečnostného hľadiska. K dispozícii je OWASP Vulnerable Container Hub(VULCONHUB)  s dvoma zranitelnými web aplikácii viz. link , alebo OWASP VulnerableApp viz. link  .  Odkazy obsahujú rôzne zranitelne aplikácie ktoré je možné inštalovať cez docker. Vašou úlohou je na vybranej testovacej aplikácii identifikovať jej zraniteľnosti pomocou nástrojov na testovanie zraniteľností web aplikácií.

 

Zadanie

Úlohou zadania je pomocou nástrojov pre hľadanie zraniteľností a penetračných nástrojov overiť bezpečnosť  aplikácie. V zozname odkazov nájdete niektoré odporúčané nástroje a tutorialy, ale samozrejme môžete si nájsť aj vlastné zdroje. Pri testovaní vykonajte testy  pre  zraniteľnosti popisané v manualoch  web aplikácie (ide o zraniteľnosti publikované OWASP ako top 10 zraniteľností).

V druhej fáze zadania, ak už nájdete vhodné nástroje na detekciu jednotlivých zraniteľností, treba dané nástroje spustiť  pre zraniteľnú virtuálku popr. si to overit aj na niektorej ďalšej. Výsledky skenov následne zdôvodnite!

Bližšia špecifikácia jednotlivých úloh:

  1. Naštudovať si ako fungujú top 10 zraniteľnosti a prečo sú vlastne nebezpečné.
  2. Spísať svoje poznatky a výsledky práce.
  3. Otestovať vybrané web aplikácie s rovnakými nástrojmi

 

Správa má vyzerať nasledovne.

  • Pre každú zraniteľnosť:
    • Analýza: ako ste ju kontrolovali (použité nástroje, postupy) prečo je nebezpečná, čo môže spôsobiť
  • Analyzovať výsledky skenovania vybraných web aplikácií
  • Celkové zhodnotenie (sumár práce)

Hodnotenie

Zadanie sa bude hodnotiť podľa odovzdanej správy (obsahové aj formálne spracovanie), preto by mala mať vhodnú formu (vrátane gramatickej správnosti) a mala by obsahovať všetky podstatné informácie potrebné k ohodnoteniu zadania.

Je potrebné odovzdať zip súbor so výstupmi (reportmi) z použitých nástrojov a vypracovanou správou do AIS aj do hodnotiaceho systému.

 

Odkazy:

https://www.youtube.com/watch?v=AjL4B-WwrrA

https://owasp.org/www-project-vulnerable-web-applications-directory/

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

https://gbhackers.com/category/webapplication/

https://gbhackers.com/kalitutorials/

https://gbhackers.com/category/webapp/

http://www.samurai-wtf.org/

 

Nástroje:

sqlmap

Vulnerability scannery:

https://owasp.org/www-community/Vulnerability_Scanning_Tools

https://sectools.org/tag/vuln-scanners/

https://sectools.org/tag/web-scanners/

https://www.zaproxy.org/   (https://medium.com/@ayeshahansi/web-application-security-testing-with-owasp-zap-a83903c029be)

https://www.netsparker.com/

https://www.acunetix.com/

https://www.sonatype.com/products/vulnerability-scanner

https://www.breachlock.com/top-5-open-source-tools-for-network-vulnerability-scanning/