Cieľom piateho zadania je oboznámiť sa podrobnejšie s problematikou webových zraniteľností. Každá web aplikácia by pri finálnom testovaní funkčnosti mala byť testovaná aj z bezpečnostného hľadiska. K dispozícii je OWASP Vulnerable Container Hub(VULCONHUB) s dvoma zranitelnými web aplikácii viz. link , alebo OWASP VulnerableApp viz. link . Odkazy obsahujú rôzne zranitelne aplikácie ktoré je možné inštalovať cez docker. Vašou úlohou je na vybranej testovacej aplikácii identifikovať jej zraniteľnosti pomocou nástrojov na testovanie zraniteľností web aplikácií.
Zadanie
Úlohou zadania je pomocou nástrojov pre hľadanie zraniteľností a penetračných nástrojov overiť bezpečnosť aplikácie. V zozname odkazov nájdete niektoré odporúčané nástroje a tutorialy, ale samozrejme môžete si nájsť aj vlastné zdroje. Pri testovaní vykonajte testy pre zraniteľnosti popisané v manualoch web aplikácie (ide o zraniteľnosti publikované OWASP ako top 10 zraniteľností).
V druhej fáze zadania, ak už nájdete vhodné nástroje na detekciu jednotlivých zraniteľností, treba dané nástroje spustiť pre zraniteľnú virtuálku popr. si to overit aj na niektorej ďalšej. Výsledky skenov následne zdôvodnite!
Bližšia špecifikácia jednotlivých úloh:
Správa má vyzerať nasledovne.
Hodnotenie
Zadanie sa bude hodnotiť podľa odovzdanej správy (obsahové aj formálne spracovanie), preto by mala mať vhodnú formu (vrátane gramatickej správnosti) a mala by obsahovať všetky podstatné informácie potrebné k ohodnoteniu zadania.
Je potrebné odovzdať zip súbor so výstupmi (reportmi) z použitých nástrojov a vypracovanou správou do AIS aj do hodnotiaceho systému.
Odkazy:
https://www.youtube.com/watch?v=AjL4B-WwrrA
https://owasp.org/www-project-vulnerable-web-applications-directory/
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
https://gbhackers.com/category/webapplication/
https://gbhackers.com/kalitutorials/
https://gbhackers.com/category/webapp/
Nástroje:
Vulnerability scannery:
https://owasp.org/www-community/Vulnerability_Scanning_Tools
https://sectools.org/tag/vuln-scanners/
https://sectools.org/tag/web-scanners/
https://www.zaproxy.org/ (https://medium.com/@ayeshahansi/web-application-security-testing-with-owasp-zap-a83903c029be)
https://www.sonatype.com/products/vulnerability-scanner
https://www.breachlock.com/top-5-open-source-tools-for-network-vulnerability-scanning/