Penetration Testing – Tunkeutumistestaus 

H2

a) Testaamani tehtävä oli WebGoatin “Challenge” -osio, jossa testasin ensimmäistä tehtävää. Onnistuin pikaisen spurttini aikana löytämään login-kentän käyttäjätunnuksen, joka oli löydettävissä tarkastelemalla POST kutsua, joka lähetetään submit -napin klikistä. Tarkastelemalla POST kutsua, voi huomata kentän user, jonka arvo kiinnittää huomion. Selviää, että kyseessä on base64 salattu koodi ja salauksen purkamisen jälkeen ilmeisen selkokielinen käyttäjätunnus. Ei tietenkään ole sopivaa tässä blogissa paljastaa mikä se tosiasiassa on 😉

b) Valitsin MITRE Att&ck -taktiikoista Access Token Manipulation -taktiikan, sillä se soveltuu mielestäni hyvin verkkosovelluksen haavoittuvuuksien etsimiseen. Tosin, kuvausta lukiessani, luulen, että olen ymmärtänyt tämän eri tavalla. Itse ymmärrän tämän taktiikan niin, että http-kutsun, joka siis pyytää/saa access tokenin, väliin mennään ja muutetaan sitä, joten itseasiassa valitsemani taktiikka taitaa sittenkin olla välimieshyökkäys. Mitren kuvauksessa puhutaan valheellisen tokenin luomisesta tai varastamisesta, prosessin aloittamisesta tokenilla ja samankaltaisen tokenin luomisesta haittakäyttöön, mutta konteksti vaikuttaa olevan Windows API, eikä esim. verkkosovelluksesta kutsuttavasta rajapinnasta.

Tehtävän lähteet:

http://terokarvinen.com/2019/penetration-testing-tunkeutumistestaus-ict4tn027-3004-intensive-summer-course-2019-w21w22-5-credits#comment-20368