Генератор уязвимых динамических сайтов - OWASP Site Generator

OWASP Site Generator - конструктор динамических web-сайтов на основе конфигураций, задаваемых в XML-файлах. Он позволяет быстро создавать Java-приложения, содержащие стандартные уязвимости, как простые, так и сложные, описываемые классификатором WASC. Генератор охватывает широкий круг технологий web-разработки. В конструкторе имеются, например, различные варианты навигации, шаблоны HTML, JavaScript, Flash, Java, форм регистрации и авторизации, поддержка работы с БД и другие возможности. По основному функционалу web-приложения, создаваемые генератором, схожи с уязвимым приложением DVWA, но отличаются тем, что вы можете сами задавать наборы уязвимостей и структуру приложения.

OWASP Site Generator можно использовать:

• для оценки работы сканеров безопасности web-приложений,
• для оценка систем защиты web-приложений,
• для обучения web-разработчиков,
• как Web Honeypot - приложение-ловушку для злоумышленников,
• как web-приложение для penetrating testing конкурсов,
• как учебное пособие для дисциплин, связанных с информационной безопасностью,
• как инструмент тестировщиков для проведения сравнительных тестов сканеров безопасности, и многого другого.

Password Bruter - программа для многопоточного подбора учетных данных к страничкам с form-based авторизацией

Перед разработчиками и тестировщиками web-приложений периодически встают задачи тестирования безопасности разрабатываемого продукта. Один из наиболее известных классификаторов угроз и уязвимостей для web-приложений - The Web Application Security Consortium (The WASC) Threat Classification v2.0.

Одна из популярных уязвимостей (Weaknesses - в классификаторе), встречающихся для web-приложений - это недостатки подсистемы авторизации (WASC-02 Insufficient Authorization). На web-приложение, имеющее данную уязвимость, могут попытаться осуществить атаку (Attacks - в классификаторе) типа "Брутфорс" (WASC-11 Brute Force). При этом злоумышленник может попытаться осуществить подбор учетных данных на странице авторизации, если она недостаточно защищена.

К недостаткам защиты страницы авторизации можно отнести:

- отсутствие ограничения по числу попыток авторизации,

- отсутствие поля для ввода дополнительной информации - капчи (capture),

- отсутствие временной задержки между попытками авторизации и другие.

Наличие указанных недостатков в реализации подсистемы авторизации упрощает злоумышленнику доступ к web-приложению.

Одна из разновидностей атаки брутфорсом - подбор учетных данных (Brute Forcing Log-in Credentials) для страницы авторизации (Form-based Auth). Для имитации данного типа атаки был написан свой многопоточный брутфорсер Password Bruter на Python 3.2. В качестве цели было развернуто и использовано уязвимое web-приложение Damn Vulnerable Web Application (DVWA).

Краулер ссылок и автоматизация процесса снятия скриншотов

Перед нами стояла задача: автоматизировать процесс снятия скриншотов со страничек web-приложения - некоторого сайта. Требовалось:

1. Получать стартовый URL.
2. Искать на страничке, полученной по стартовому URL все ссылки на другие странички.
3. Переходить по всем найденным ссылкам и делать скриншоты со всех страничек.
4. Ограничивать глубину вложенности при прохождении найденных ссылок.

Безопасность и тестирование

Начинаю выкладывать в  данный блог  материалы связанные с информационной безопасностью и тестированием программного обеспечения. Статьи, в основном, будут иметь практическую и научную направленность. Статьи и их содержимое будут исправляться и дополняться по ходу изучения новых материалов.

Все материалы, представленные здесь, получены в ходе работ в Казанском государственном техническом университете им. А.Н. Туполева (КАИ), группе компаний Центр (г. Казань), компании Positive Technologies (г. Москва).

В качестве введения в область практического тестирования программного обеспечения, предлагаю ознакомиться со статьями:

• Общие сведения о тестировании web-приложений

• xPath: идентификация элементов на web-форме

• Разработка функциональных тестов при помощи Selenium

• Разработка функциональных тестов при помощи RobotFramework

• Работа с Selenium Web Driver

• Нагрузочное тестирование при помощи JMeter

• Основы тестирования безопасности web-приложений

• Подходы к оценке качества релизов программного обеспечения