Security-testing-hacking-web-applications
セキュリティテスト-Webアプリケーションのハッキング
攻撃を実行するための参照として利用できるさまざまな方法論/アプローチがあります。
Webアプリケーション-PenTestingの方法論
攻撃モデルを開発する際に、次の標準を考慮することができます。
次のリストの中で、OWASPは最もアクティブであり、多くの貢献者がいます。 Webアプリを設計する前に、各開発チームが考慮するOWASPテクニックに焦点を当てます。
OWASPトップ10
Open Web Application Security Protocolチームは、最近Webで流行している上位10個の脆弱性をリリースしました。 以下は、Webベースのアプリケーションで一般的に見られるセキュリティ上の欠陥のリストです。
アプリケーション-ハンズオン
それぞれの手法を理解するために、サンプルアプリケーションを使用してみましょう。 J2EEアプリケーションである「WebGoat」に対して攻撃を実行します。これは、学習目的でセキュリティの欠陥を明示的に開発したものです。
webgoatプロジェクトに関する詳細は、https://www.owasp.org/index.php/Category:OWASP_WebGoat_Projectにあります。 WebGoatアプリケーションをダウンロードするには、https://github.com/WebGoat/WebGoat/wiki/Installation-(WebGoat-6.0)に移動し、ダウンロードセクションに移動します。
ダウンロードしたアプリケーションをインストールするには、まずポート8080で実行されているアプリケーションがないことを確認してください。 java -jar WebGoat-6.0.1-war-exec.jarという1つのコマンドを使用するだけでインストールできます。 詳細については、https://www.owasp.org/index.php/WebGoat_Installation [WebGoat Installation]をご覧ください。
インストール後、 http://localhost:8080/WebGoat/attack に移動してアプリケーションにアクセスできるようになります。ページは次のように表示されます。
ログインページに表示されるゲストまたは管理者の資格情報を使用できます。
Webプロキシ
クライアント(ブラウザー)とサーバー(この例ではWebgoatアプリケーションがホストされているシステム)間のトラフィックをインターセプトするには、Webプロキシを使用する必要があります。 [[1]] Proxyを使用します
以下に示すように、burpスイートの無料版をダウンロードすれば十分です。
Burp Suiteの構成
Burp Suiteは、ブラウザとWebサーバーが送受信する情報の各パケットを傍受できるWebプロキシです。 これにより、クライアントがWebサーバーに情報を送信する前にコンテンツを変更できます。
- ステップ1 *-以下に示すように、アプリケーションはポート8080にインストールされ、Burpはポート8181にインストールされます。 Burpスイートを起動し、以下に示すようにポート8181で起動するために次の設定を行います。
- ステップ2 *-Burpスイートがトラフィックを傍受できるように、Burpがアプリケーションがインストールされているポート#8080をリッスンしていることを確認する必要があります。 この設定は、次に示すようにBurp Suiteの[スコープ]タブで行う必要があります。
- ステップ3 *-次に、ポート8181(Burp Suiteポート)をリッスンするようにブラウザのプロキシ設定を行います。 したがって、以下に示すように、クライアント(ブラウザ)とサーバー(Webサーバー)間のトラフィックをインターセプトするようにWebプロキシを構成しました-
- ステップ4 *-構成のスナップショットは、以下に示すような簡単なワークフロー図の助けを借りて以下に示されています