WebGoat, OWASP10 & MITRE Att&ck

Kurssin tehtävät löytyvät alkuperäisestä yhteydestään Tero Karvisen kotisivuilta.

h2
a) Ratkaise jokin WebGoatin tehtävä. Hyödynsitkö jotain OWASP10 -haavoittuvuutta? Mitä niistä?
b) Mainitse esimerkki MITRE:n Att&ck tekniikasta, joka soveltuu weppiin. Osaatko antaa esimerkin hyökkäyksestä tai haittaohjelmasta, jossa sitä on käytetty? 

a)

Ensin laitoin WebGoatin pyörimään Tero Karvisen ohjeita noudattaen. Ohjeet ovat Ubuntulle, mutta Kalia käyttäessä en tarvitse komentoihin sudoa, sillä Kalia käytetään yleensä root-käyttäjänä.

Laitoin myös Mitmproxyn päälle porttiin 8088 ja ohjasin WebGoatin liikenteen sinne. Valitsin tehtäväksi ”Bypass a Path Based Access Control Scheme”, joten en kuitenkaan Mitmproxya tarvinnut, vaan selvisin pelkällä selaimella.

Tehtävän ideana on siis tarkastella jotain sellaista tiedostoa, johon minulla ei tulisi olla pääsyä. WebGoat ehdottaa, että kiinnostava tiedosto tarkasteluun olisi WEB-INF -hakemistosta löytyvä spring-security.xml.

Sivulla on valikko, johon on listattu erilaisia tiedostoja, jotka kaikki löytyvät samasta hakemistosta. WEB-INF -kansio on kuitenkin tämänhetkistä kansiotamme huomattavasti ylempänä. Lähdin muokkaamaan ylimmän valinnan value-arvoa saadakseni sivuston avaamaan tiedoston eri hakemistosta. Ensin menin muutaman kansion liikaa ylöspäin, jolloin sain WebGoatilta viestin, että olen oikeilla jäljillä. Tässä vihjeviestissä myös suoraan sanottiin WEB-INF:in löytyvän WebGoat-kansiosta. Tiesin siis, että minun pitää laittaa tiedostopolkuun ”../../../../../WEB-INF/spring-security.xml”. ”../” polussa tarkoittaa siis, että noustaan senhetkistä hakemistoa yhtä hakemistoa ylemmäksi. En-kansiossa ilmoitettavassa polussa piti siis olla viisi kertaa ”../”, että tiedot poimittaisiin WebGoat-kansiosta. Painettuani View File -nappulaa, sain WebGoatilta onnistumisesta kertovan viestin sivulle:

 * Congratulations! Access to file allowed. ==> /.extract/webapps/WebGoat/WEB-INF/spring-security.xml 

OWASP-lyhenne tulee sanoista Open Web Application Security Project, ja tämän organisaation ehkä tunnetuin projekti on OWASP10, eli raportti, jossa käydään läpi 10 web-applikaatioiden kriittisintä turvallisuusriskiä.

Viimeisin OWASP10-raportti on vuodelta 2017, ja siinä esitetty top 10 -lista on seuraavanlainen:

Mielestäni valitsemani tehtävä liittyi näistä kohdista eniten kohtaan 5: Broken Access Control, sillä vaikka guest-käyttäjällä piti olla oikeus tarkastella vain lessonPlans/en -kansion sisältöä, sain silti helposti kaivettua esiin tiedoston aivan toisesta hakemistosta.

b)

Mitre Att&ck on viitekehys, jonka tavoite on auttaa turvallisuudesta kiinnostuneita ymmärtämään esimerkiksi hakkerien käyttämiä tekniikoita. Eräs nettiin sopiva hyökkäystekniikka on spearphishing link, eli esimerkiksi jollekin tietylle taholle (yksilö, yhtiö tai toimiala) suunnattu sähköposti, jonka mukana tulee haitallinen linkki. Mikäli viestin vastaanottaja avaa kyseisen linkin, hän altistuu haitalliselle ohjelmalle, joka saattaa esimerkiksi kerätä hänen tietojaan tai käyttää kohteen käyttämää järjestelmää hyväksi. Linkkien käytöllä yritetään kiertää ne turvallisuusmenetelmät, jotka tarkastavat sähköpostien liitetiedostot haitallisen sisällön varalta.

Mitre Att&ckin sivulla on kätevästi listattu eri tahojen tekemiä hyökkäyksiä, joissa on hyödynnetty spearphishing-linkkejä. Lista on melko pitkä ja sisältää toimijoita mm. Lähi-idän alueelta, Kiinasta, ja Venäjältä. Eräs tiettävästi Pohjois-Korealainen ryhmä Stolen Pencil on hyökännyt lähinnä akateemisia instituutioita vastaan, eivätkä ryhmän motiivit ole ilmeisesti tiedossa.

Spearphishingiä Stolen Pencil käytti vuonna 2018 lähettäessään hyökkäyskohteillensa sähköposteja, jotka sisälsivät Stolen Pencilin hallinnassa olevalle sivulle johtavia linkkejä. Sivulla oli houkutteleva dokumentti, ja käyttäjää pyydettiin asentamaan haitallinen Google Chrome -laajennus. Saatuaan jalansijan kohdejärjestelmiin Stolen Pencil varmisti persistentin pääsyn järjestelmiin hyödyntämällä Remote Desktop -protokollaa. (Lähde)

Tietoa kirjoittajasta

Noora Huttunen

Opiskelen ohjelmistotuotantoa Haaga-Helian tietojenkäsittelylinjalla.