Homework 2. WebGoat and MITRE Att&ck

Tehtävänanto on kopioitu Tero Karvisen sivulta:
http://terokarvinen.com/2019/penetration-testing-tunkeutumistestaus-ict4tn027-3004-intensive-summer-course-2019-w21w22-5-credits

a) Ratkaise jokin WebGoatin tehtävä. Hyödynsitkö jotain OWASP10 -haavoittuvuutta? Mitä niistä?

AJAX Security
Tehtava: DOM Injection



Valitaan Activate button Inspect Element :lla



Sitten tasta rivista poistetaan disabled=””

Hyodynsin OWASP Injection haavoittuvuutta.

Access Control Flaws
Tehtava: Breaking Data Layer Access Control



Aluksi kirjaudutaan Tom Cat tunnuksella salasanalla “tom”



Sielta valitaan Inspect Element :lla Tom Cat (employee)



Meita kiinostaa value="105" jonka me sitten voidaan muutta päästäkseni muiden työntekijoiden tietoihin.

Mina valitsin admin :n tunnus value="111" , joka löytyy tästä:



ja syötin sitä tähän kohtaan:



Tulos:



Hyodynsin OWASP Broken Access Control haavoittuvuutta.

b) Mainitse esimerkki MITRE:n Att&ck tekniikasta, joka soveltuu weppiin. Osaatko antaa esimerkin hyökkäyksestä tai haittaohjelmasta, jossa sitä on käytetty?

Persistence –> Browser Extensions

https://attack.mitre.org/techniques/T1176/

Laajennuksilla (Extensions) voi saastuttaa koneen, jos lataa niitä epäluotettavasta lähteestä.

Laajennuksilla on pääsy ja käyttöoikeudet kaikkeen, mitä selain voi käyttää. Kun laajennus on asennettu, se voi selata taustalla olevia verkkosivustoja ja varastaa kaikki tiedot, jotka käyttäjä syöttää selaimeen.

Esimerkkeja tapauksista:
Botnet-verkko, joka saa pysyvään takaoven (backdoor) haittalisen laajennuksen kautta.
Haittallinen laajennus, joka voi suorittaa komentoja tai valvoa.

Collection –> Man in the Browser

https://attack.mitre.org/techniques/T1185/

Selaimen tietoturva-aukkoja ja luontaisia toimintoja (inherent functionality) voi hyödyntää websivujen muokkamiseen, muuttumiseen ja tietojen sieppamiseen.

Esimerkki: vastustaja pistää haittalisen ohjelmiston (injection) selaimeen, jonka avulla hän voi periä käyttäjän evästeet, HTTP-istunnot ja SSL-asiakastodistukset ja käyttää selainta kääntämään autentikoidun intranetin.

Haittaohjelmat, jotka voi hyödyntää tähän tietoturva-aukkoon:
https://attack.mitre.org/software/S0154/

Cobalt Strike voi suorittaa selaimen kääntämisen ja pistää käyttäjän selaimeen evästeiden, todennettujen HTTP-istuntojen ja asiakas SSL-varmenteiden perimiseen.

https://attack.mitre.org/software/S0266/
TrickBot käyttää web-injektioita ja selaimen uudelleenohjausta huijaamalla käyttäjää antamaan kirjautumistunnuksensa väärennetyllä tai muokatulla verkkosivulla.

Leave a Reply

Your email address will not be published. Required fields are marked *