Security team

From ICO wiki
Jump to navigationJump to search

1. päev

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

   A1: Injection - Urmo
   A2: Cross-Site Scripting (XSS) - Alo
   A3: Broken Authentication and Session Management - Sander
   A4: Insecure Direct Object References - Alo
   A5: Cross-Site Request Forgery (CSRF) - Taavi
   A6: Security Misconfiguration - Matis
   A7: Insecure Cryptographic Storage - Matis
   A8: Failure to Restrict URL Access - Urmo
   A9: Insufficient Transport Layer Protection - Taavi
   A10: Unvalidated Redirects and Forwards - Sander

2. päev

Alo tegevus

Urmo tegevus

Kasutan BackTrack 5 R2 64bit Gnome ja Samurai CD 0.9.9

Taavi tegevus

Backtrack 5 R2 - parimate tööriistade ja meetodite uurimine et leida turvanõrkusi.


Matise tegevus

Sanderi tegevus

SamuraiWTF kasutamine testimiseks: DVWA (Damn Vulnerable Web Application).

Faili üleslaadimine: madal tase

  • DVWA Security määrata: Low -> Submit
  • Valida: Upload
  • Üles laadida saab suvalisi faile: *.php, *.html, *.jpg, .htaccess
  • Üleslaetavasse *.php faili saab kirjutada php koodi: <?php var_dump($_REQUEST, $_SERVER); ?>
  • Minnes üleslaetava *.php faili asukohta veebilehitsejas http://dvwa/hackable/uploads/*.php käivitatakse skript ja tagastatakse kõik küsitav:
  • esimeses massiivis "PHPSESSID" ("2b1ae19446cfde009664f18df51b6ec1") ja turvatase "security" ("low"); teises "HTTP_COOKIE", milles on eelnevadki andmed; asukoht "PATH", "SERVER_SOFTWARE", "SERVER_NAME", "SERVER_ADDR" ("127.42.84.1"), "SERVER_PORT" ("80"), "REMOTE_ADDR" ("127.42.84.1"), "REMOTE_PORT" ("53425") jpm.

Faili üleslaadimine: keskmine tase

Faili üleslaadimine: kõrge tase

  • DVWA Security määrata: High -> Submit
  • Valida: Upload
  • Üles laadida saab kõiki .jpg-lõpulisi faile (ka *.php.jpg, mitte *.jpg.php)
  • Üleslaetavasse *.jpg faili saab kirjutada php koodi.
  • Minnes üleslaetava *.jpg faili asukohta veebilehitsejas, ei käivitata skripti, vaid tagastatakse faili asukoha aadress.
  • Skripti käivitamiseks ei piisa ka "?page=" kasutamisest. Igal juhul on vastus selline:
  • ERROR: File not found!
  • Kasutada tuleks kuueteistkümnendkoodi, mille saab moodustada näiteks sellel aadressil:
  • http://www.motobit.com/util/base64-decoder-encoder.asp
  • Moodustades loodud faili asukohast kood ja kasutades
  • data:php/html;base64,aHR0cDovL2R2d2EvaGFja2FibGUvdXBsb2Fkcy91cGxvYWQyLmpwZw== üritatakse seda arvutisse salvestada. Salvestamisel .part-nimelise faili, on selle sisuks samuti lihtsalt faili asukoht veebis: http://dvwa/hackable/uploads/*.jpg

3. päev

Alo tegevus

Urmo tegevus

Taavi tegevus

Matise tegevus

Sanderi tegevus

4. päev

Alo tegevus

Urmo tegevus

Taavi tegevus

Matise tegevus

Sanderi tegevus

Tegijad

Alo Konno
Urmo Lihten
Taavi Podžuks
Matis Alliksoo
Sander Saarm