Det kompletta kittet för webbapptester
Allt som webbapplikationstester blir mer vanligt förekommande och fler företag öppnar upp för publika bug bounties så går fler och fler personer i tankebanorna på att börja lära sig webbapplikationstestning.
I det här blogginlägget tänkte jag lista några av de verktyg som jag vanligtvis använder vid mina egna tester. Om ni som läser detta inlägg har funderat på att börja med webbapplikationstester så hoppas jag att denna lista kan vara till hjälp.
Transparenta proxies:
En transparent proxy är A och O i webbapplikationstester. Inget kitt är komplett utan en transparent proxy. Vi kan med hjälp av en transparent proxy fånga upp förfrågningar som skickas mot webbservern, modifiera och ändra som vi vill och därefter skicka den modifierade förfrågan vidare till webbservern. Det finns huvudsakligen två stycken transparenta proxies som används inom webbapplikationstestning.
Burp Suite: Detta är mitt favoritverktyg och täcker i sig själv nästan ett komplett kit med några extra tillägg från Burp Suites plugin-butik. Burp Suite har många fantastiska funktioner som Repeater.
Som namnet antyder tillåter denna funktion oss att skicka en förfrågan upprepade gånger utan att behöva utföra en handling i webbappen och fånga upp förfrågan med proxyn. Burp Suite kommer också med en inbyggd brute-force modul (Kallad Intruder), sårbarhetsskanner (Enbart i Pro-versionen),en avkodare för att lättare analysera text i olika format och mycket mer.
Burp Suite finns i två versioner – Standard och Pro. Medan Pro-versionen kommer med en del extra verktyg så duger Standard-versionen gott för bug bounty-jägaren.
Ni hittar Burp på https://portswigger.net/
OWASP ZAP: OWASP ZAP delar många av sina egenskaper med Burp Suite men är till skillnad från Burp Suite skriven med öppen källkod och är helt gratis i alla sina former. Medan Burp Suite främst riktar sig mot penetrationstestare så riktar sig OWASP ZAP även mot utvecklare med syftet att de också ska kunna analysera förfrågningar i sina applikationer och upptäcka eventuella fel. OWASP ZAP kommer till skillnad från Burp också med ett av de händigaste verktygen DirBuster som är en form av brute-force skanner avsedd att identifiera dolda sidor och mappar.
Ni hittar OWASP ZAP på https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
Sårbarhetsskannrar:
En bra sårbarhetsskanner kan vid många webbapptester underlätta arbetet och ge ett bra underlag för fortsatta manuella tester. För er som funderar på att pröva er på Bug Bounties – Tänk på att många bug bounty program explicit förbjuder sårbarhetsskannrar.
Acunetix: Medan våra tester visar på att Acunetix genererar ett bra resultat och korrekt identifierar många sårbarheter så kommer det till ett pris. Standardupplagan kostar snäppet under $4500 och priset hoppar upp ytterligare ifall Enterprise-upplagan skulle behövas. Därmed är denna skanner mer lämpad för företaget än individen.
Mer om Acunetix hittar ni här: https://www.acunetix.com/
W3AF: Till skillnad från Acunetix är W3AF helt gratis och open-source. Testskanningar har också visat på att resultatet som fås ut av W3AF ofta är likvärdig Acunetix. Programvaran kommer dock med nackdelen att det är rätt så instabilt och har en tendens att krascha under en skanning vilket är mindre önskvärt.
W3AF hittar ni här: http://w3af.org/
SQLmap: Medan SQLmap inte är en renodlad sårbarhetsskanner så är den i mitt tycke bäst på det den letar efter – SQL-injektioner. SQLmap har flera tester inbakade som bland annat låter oss upptäcka s.k. ”Blinda” SQL-injektioner och SQL-injektioner för specifika databaser som Oracle-SQL och Microsoft-SQL. SQLmap kan vara lite svåranvänd till en början och det rekommenderas att manualen läses igenom innan verktyget testas i skarpt läge.
SQLmap hittar ni här: http://sqlmap.org/
Övriga verktyg:
Här under följer några verktyg som inte kunde placeras under några av de ovanstående kategorierna.Metasploit: Medan Metasploit huvudsakligen inte används för webbapptester så kan den under speciella omständigheter komma till nytta. Metasploit har moduler som täcker kända sårbarheter i bland annat Drupal, WordPress och andra webbapp-ramverk. Skulle det under testernas gång upptäckas att webappen kör en gammal version av Drupal så kan man med Metasploit lätt sätta upp exempelvis en Drupalgeddon-attack https://www.drupal.org/forum/newsletters/security-advisories-for-drupal-core/2014-10-15/sa-core-2014-005-drupal-core-sql.