Daný projekt už očividně nějaký ten pátek existuje, ale já jsem na něj narazil teprve před několika hodinami, když jsem byl na školení jednoho z web application firewallů a v labovém prostředí jsme si zkoušeli notoricky známé techniky útoků na webové aplikace (xss, sql, csrf, data tampering, cookies-session, ...) s tím že je dále bude detekovat a odchytávat aplikační firewall (negative security). Za obeť nám byl podstrčen starý projekt aukčního portálu v PHP a mě tak napadlo, že už musí dávno existovat něco sofistikovanějšího. Jmenuje se Gruyere.
Gruyere je webserver a CMS napsaný v Pythonu (jako celej Seznam.cz) a slouží k vysvětlení a možnosti vyzkoušení webových útoku.
Každý útok je tu nejen popsán i s postupem jak danou zranitelnost na aplikaci najít, ale dozvíte se i jak dané chybě předejít (z pohledu programátora).
Link:
http://google-gruyere.appspot.com/part1 [5]
Začnete tím, že navštívíte odkaz http://google-gruyere.appspot.com/start [6] který vám vygeneruje unikátní prostředí (forkne pro vás samostatné prostředí Gruyere, aby vám ostatní nezasahovali do aplikace).
Začíná se samozřejmě s Cross-Site Scripting (XSS) - http://google-gruyere.appspot.com/part2 [7]
Pro podrobnější popis a pokročilé techniky doporučuji článek od RubberDucka:
https://www.security-portal.cz/clanky/xss-cross-site-scripting-hacking [8]
a když už jste v tom tak článek o SQL Injection:
https://www.security-portal.cz/clanky/sql-injection-full-paper [9]
U každé techniky je "Hint" a "Exploit and Fix". Doporučuju nejdřív trochu máknout se závity, než rovnou šáhnout po návodu jako lamky. Ztrácí to pak smysl.
Daný web vás provede velkou škálou technik:
Cross-Site Scripting (XSS) [10]
- XSS Challenges [11]
- File Upload XSS [12]
- Reflected XSS [13]
- Stored XSS [14]
- Stored XSS via HTML Attribute [15]
- Stored XSS via AJAX [16]
- Reflected XSS via AJAX [17]
- More about XSS [18]
Client-State Manipulation [19]
- Elevation of Privilege [20]
- Cookie Manipulation [21]
Cross-Site Request Forgery (XSRF) [22]
- XSRF Challenge [23]
- More about preventing XSRF [24]
Cross Site Script Inclusion (XSSI) [25]
- XSSI Challenge [26]
Path Traversal [27]
Denial of Service [30]
Code Execution [34]
Configuration Vulnerabilities [37]
AJAX vulnerabilities [41]
- DoS via AJAX [42]
- Phishing via AJAX [43]
Lidem kteří o to mají opravdu zájem to pomůže. A to že neumí anglicky v dnešní době translatorů vůbec nevadí: Gruyer (CZ) [47]
"Ti ostatní" mají step-by-step návody na YouTube [48].
Ostatní weby kde si můžete vykoušet podobné techniky:
http://flack.security-portal.cz/ [49] -- SQL Injection playground na Security-Portal.cz
http://www.hackthissite.org/ [50] -- Server vyhrazen pro ty kteri si chteji zkusit hackovani webu.
http://roothack.org/ [51] -- RootHack is a place for computer security related people to experiment with their knowledge, learn new things and hopefully have a good time.
http://www.try2hack.nl/ [52] -- Na tomto serveru si muzete vyzkouset hackovani webu/webovych aplikaci.
http://www.uplink.co.uk/ [53] -- Toto neni sit/server vyhrazen na hackovani, ale program simulujici "hackovani". Je to hra ve ktere dostavate ukoly a nabouravate se do serveru. Na webu muzete stahnout demoverzi. (Win/Lin/Mac)
http://www.hackthis.co.uk/ [54] -- HackThis.co.uk is presented in the format of a series of fun challenges; the user will be expected to employ their logic and wits, along with some of the better known web development tools, to extract sensitive information from dummy pages.