Pentetrationstest - Pentest är en sårbarhetgranskning mot en applikation,

Transkript

1 Kandidatuppsats IT-Forensik och Informationssäkerhet 180 hp Automatiserad Sårbarhetsskanning Granskning av Webbapplikationer Digital Forensik 15 hp Halmstad David Åkerman och Axel Lindegren

2

3 Sammanfattning Det teknologiska samhället idag har gett upphov till en stor förändring för människans vardag. Med en stor förändring uppstår fördelar men det medföljer också komplikationer. Internet erbjuder smarta lösningar för användare och fungerar i en komplex teknisk miljö. Detta innebär att webbapplikationer står i centrum för hot och kan i vissa sammanhang vara exponerade för olika sårbarheter. Arbetet har för avsikt att undersöka möjligheten att sammanställa ett sårbarhetsskanning verktyg. Genom att identifiera svagheter och sårbarheter mot webbapplikationer kan en övergripande bild formas och sedan tillämpas som en utgångspunkt för vilka områden ett verktyg ska riktas mot. För att sammanställa ett kompetent användarvänligt pentestverktyg är det viktigt att titta på flera aspekter som att analysera potentiella sårbarhetsverktyg, utvecklingsprogram och slutligen genom att testa via ett experiment. Arbetet ger ett perspektiv på hur pentest kan normaliseras, utvecklas och användas av oerfarna individer. Arbetets resultat bygger på en övergripande litteraturstudie med relevanta teoribildningar samt ett huvudsakligt experiment. Litteraturstudien visade att det frekvent förekommer sårbarheter mot webbapplikationer där de största säkerhetshålen bottnar i svaga konfigurationer och implementeringslösningar. Experimentet visar huruvida det är möjligt att skapa ett användarvänligt verktyg till webbutvecklare för att höja grundnivån av webbapplikationers säkerhet i allmänhet. i

4

5 Definitionslista Pentetrationstest - Pentest är en sårbarhetgranskning mot en applikation, ett system eller infrastrukturer. Även yrkesrollen Penetrationstestares primära arbetsuppgift. OWASP - The Open Web Application Security Project, är en ideell, erkänd organisation som producerar artiklar, dokumentationer, verktyg, metoder och sårbarhetsbedömmningar vid webbapplikationer. SQL - Structured Query Language, är ett programmeringsspråk vars syfte är att distribuera trafik och driva databaser. XSS - Cross-site scripting, en metod för att utnyttja javascript SBC - Single-board computer är en klomplett dator byggt på ett kretskort. Webbserver Host Lösning - Ett mjukvarupaket med varierande mjukvaror för att hosta en webbapplikation. URL - Uniform Resource Locator, på svenska internetadress, som identifierar en viss resurs på internet. Crowdsourcing - En metod för att lösa problem med hjälp av andra parter som får ersättning för att bidra med lösningsförslag som implementeras. iii

6

7 Innehållsförteckning 1 Introduktion Bakgrund Relaterade arbeten Syfte Problemställning Frågeställning Problematisering Metod Litteraturstudie Experiment Etiska överväganden Problematisering Teori Webbapplikationer Kända sårbarheter Resurser inom IT-säkerhet Skript Python Experiment Problematisering Utveckling Val av verktyg Målbild Experimentuppställning Experiment Resultat Litteraturstudie Litteraturresultat Experimentresultat Diskussion Resultatanalys Experimentanalys v

8 6.3 Etik och påverkan på samhället Relaterade Arbeten Slutsats Framtida forskning Referenser Bilaga A - Källkod vi

9 Figurförteckning [1] Urklippt skärmavbild på domän och server scan genererad utmatad text i terminalfönster vid utförande av experiment. Taget [2] Urklippt skärmavbild på file-inclusion scan genererad utmatad text i terminalfönster vid utförande av experiment. Taget [3] Urklippt skärmavbild på sql-injection scan genererad utmatad text i terminalfönster vid utförande av experiment. Taget [4] Urklippt skärmavbild på xss scan genererad utmatad text i terminalfönster vid utförande av experiment. Taget [5] Urklippt skärmavbild på falsk-positiv test genererad utmatad text i terminalfönster vid utförandet av experiment. Taget [6] Urklippt skärmavbild på innehållet i den aktuella katalogen från terminalfönster vid utförande av experiment. Taget [7] Urklippt skärmavbild på ett exempel av loggfilens innehåll taget direkt från terminalfönster vid utförande av experiment. Taget vii

10

11 1 Introduktion Den ständiga utvecklingen av internet har bidragit till stora fördelar genom att förse många olika tjänster för användare runt om i världen [1]. I takt med de tekniska framstegen har de olika sätten på hur kommunikationen sker och hur transaktioner sköts ändrats, vilket har gett möjligheten för företag, tjänster och produkter att blomstra. Vid sidan av detta har oönskade aktiviteter vuxit fram där cyberbrottslingar utnyttjar olika verktyg samt resurser för att organisera attacker mot företag och tjänster [1]. Sårbarheter inom webbapplikationer är i vår samtid ett växande säkerhetsproblem. Då webbapplikationer hanterar känslig och värdefull information. Detta kan innebära allvarliga konsekvenser om deras säkerhet äventyras [2]. Därför har på senare tid både attityden samt synen på säkerhet lyfts fram på ett större sätt än tidigare. Utöver risk och sårbarhetsanalyser för system och applikationer behövs ännu fler steg för att öka säkerheten hos företag och deras tjänster. Ett sådant steg kan vara penetrationstester för att sätta säkerheten på prov i syftet av att kunna detektera och eliminera sårbarheter utifrån en experts perspektiv [3]. 1.1 Bakgrund Hantering av information är idag mycket känsligt och således är säkerheten mycket viktig. Detta har gett upphov till flera olika metoder för att motverka attacker och öka säkerheten. Penetrationstester är en effektiv metod för att genomsöka och utreda ett systems sårbarheter. Genom att simulera en attack mot ett system kan säkerhetshål och sårbarheter identifieras [3]. Det har ända sedan datorn blev sofistikerad varit nödvändigt att testa säkerheten på systemen som brukas. Alltså har en form av pentestare existerat sedan datorn blev alldaglig. Pentest var från början fokuserat att säkra systemen som staten och militären använde. Det var först när den digitala revolutionen kom som den allmänna frågan om säkerhet växte fram då företag och privatpersoner uppmärksammades mot eventuella hot [4]. Med en klar bild av en säkerhetsstatus kan man effektivisera sitt arbete för att säkra sina system ytterligare. Idag erbjuder konsultbolag penetrationstester på olika nivåer och kostnaden varierar beroende på hur omfattande testet är. För stora och medelstora bolag är vanligtvis kostnaden för ett sådant test värt sitt pris men för mindre bolag och privata utvecklare kan det vara svårare att åstadkomma en tillräckligt stor budget för att inkludera pentest kost- 1

12 nader. Då kunskapkravet för att utföra dessa tester oftast är väldigt omfattande är det ineffektivt att försöka göra dem på egen hand vilket leder till att nystartade webbapplikationer generellt utvecklas med tillgänglighet samt funktioner i åtanke men utan säkerhetsaspekten [5]. 1.2 Relaterade arbeten Tidigare forskning har sammanställts och analyserats utifrån ett urval av relevanta artiklar. Upptäcka Sårbarheter i webbapplikationer I takt med utvecklingen av internet ökar tillgängligheten mot webbapplikationer. Ökningen bidrar till mer trafik och bland den trafik som riktas mot webbapplikationer existerar många hot. Detta skapar ett oerhört tryck på säkerhet. Eftersom det existerar många hot och attacker mot webbapplikationer, har det parallellt med dessa hot utvecklats olika metoder att täcka dessa säkerhetshot. De attacker och de metoder som används vid pentest tas upp i tidigare forskning [1] som visar på vikten att sätta säkerhet och säkerhetsfrågan i fokus. En huvudsaklig metod som används idag är ett manuellt pentest. Där företag och den utförande kommer överens om vad som ska testas. Vilka program som ska användas och hur långt testet ska fortgå. Dock anses denna metoden vara relativt förlegad. Detta menar en annan studie [7] som trycker på att utveckla en automatiserad form av pentest. Pentestare är underbemannade i relation till antalet webbapplikationer och genom att automatisera pentestförloppet kommer pentest bli mer effektivt och i slutändan öka säkerheten hos webbapplikationer. Utvärdering av verktyg För att sammanställa ett kvalificerat verktyg som genomför en sårbarhetskanning är det viktigt att uppmärksamma samt analysera utvecklingen av webbapplikationer och skanningsverktyg. Detta gör en grupp yrkesmän inom området [8] som undersöker den senaste tekniken inom skapandet av webbapplikationer. Målet med den rapporten är att utvärdera sårbarhetskanningsverktyg, hitta den bästa lösningen för att effektivt detektera sårbarheter och således öka säkerheten hos webbapplikationer. Rapporten menar att det 2

13 finns en stor mängd skanningsverktyg som skiljer både i teknik och funktion. Till följd av detta har de mest frekvent använda verktygen valts ut för att genomgå en grundlig undersökning. Där det är viktigt att identifiera verktygets funktion med parametrar som om verktyget är automatiskt eller semiautomatiskt. Ett automatiskt verktyg är relativt lätt att konfigurera och lätt att exekvera jämfört med ett semi-automatiskt verktyg som kräver ett flertal manuella inställningar för att fungera. Skillnaden mellan automatiserade och semi-automatiska verktyg är kvalitén på resultaten. Ett automatiserat verktyg är lätt att använda där användaren bara behöver skriva in URL-länken och verktyget gör en hel skanning av webbsidan genom att gå igenom alla webbkataloger för att producera ett resultat. Ett semi-automatiskt verktyg behöver användaren konfigurera det med webbläsarens proxy vilket gör processen relativt komplicerad. Detta ger emellertid användaren mer kontroll och kan noga specificera vilken katalog som verktyget ska analysera. Automatiserade pentest-verktyg Cybersäkerhet har utvecklats till ett aktuellt ämne inom företagsvärlden på grund av en ökning av dataintrång, spionverksamhet och andra attacker. Detta leder till stora konsekvenser för företag och användare [9]. Problemen mot cybersäkerheten har utlöst en motreaktion där företag erbjuder olika tjänster, verktyg och lösningar för att öka cybersäkerheten. Utvecklandet av effektiva och kompetenta metoder samt verktyg för att upptäcka sårbarheter sker kontinuerligt [9]. Det har alltså genomförts forskning för att utveckla kvalificerade verktyg och detta beskrivs i ett annat arbete där de undersöker möjligheten att skapa ett pentest-verktyg som körs utifrån en Singel Board Computer (SBC). Målet med rapporten var att undersöka om en SBC var tillräckligt kraftig för att sammanställa en verktygslåda och köra verktyg som Nmap, OpenVAS och metasploit under ett och samma ramverk. Syftet var att med hjälp av ett Python skript automatiskt köra samtliga verktyg från en SBC för att upptäcka sårbarheter och således fastsälla om en SBC är tillräckligt kraftfull. Resultaten visade att en SBC av typen rasberry Pi, utan problem var tillräckligt kraftfull att köra ett automatiserat Python skript för att upptäcka sårbarheter. Rapporten visar att sammanställa ett skript av olika verktyg till ett ramverk med Python, är ett bra alternativ som ger ett mycket flexibelt utfall. Rapporten fastställer att det är möjligt att köra ett automatiserat pentest-verktyg fån en SBC och även om bara ett fåtal verktyg har testats så uppmanar rapporten till att bygga vidare, 3

14 utveckla och modifiera skriptet för att upptäcka fler sårbarheter. 1.3 Syfte Syftet med den här studien var att identifiera förekommande sårbarheter hos webbapplikationer och kartlägga relevanta it-säkerhets verktyg för att sammanställa en prototyp av ett automatiserat pentest-verktyg. Ett verktyg som inte bara en erfaren pentestare har användning av utan även en webbutvecklare i behov av en säkerhetskontroll. Syftet är inte att ersätta ett manuellt pentest eller att uppnå en högt avancerad nivå av test utan snarare att tillföra en mer grundläggande och effektiv lösning. 1.4 Problemställning Webbapplikationer och andra webbaserade tjänster utgör idag en stor säkerhetsrisk. Tidigare forskning visar på många sårbarheter samt säkerhetshål mot webbapplikationer [1]. problemet kring sårbara tjänster är delvis på grund av okunniga webbutvecklare. Utvecklingens fokus ligger på implementering samt design, vilket gör att säkerheten skyms undan. Webbutvecklare är inte säkerhetsexperter och litar således på extern expertis för att säkra deras tjänster. Detta kan vara en dyr samt komplicerad process, vilket kan vara en avskräckande faktor som bidrar till en mindre säker tjänst. Hade webbutvecklare enkelt kunna använda ett effektiv lättilgängligt verktyg för att göra en övergripande sårbarhetskannig skulle säkerheten vid webb-baserade tjänster öka markant. Inom yrket pentestare används en rad olika mjukvaror som de främsta verktygen för att utföra de dagliga arbetsuppgifterna [4]. Genom att utnyttja programmering kan dessa olika program sammanställas i form av ett skript. Vilket ger möjligheten att exekvera samtliga program via ett knapptryck [10]. Detta öppnar upp nya möjligheter och skapar en alternativ pentest metod vilket kan minska eventuella kostnader och öka effektiviteten. Målet med projektet är att se om en sammanställning av ett mjukvaruskript kan resultera i ett värdefullt pentest-verktyg för de som inte är erfarna inom säkerhetsområdet. 4

15 1.5 Frågeställning Arbetet visar på problematik kring sårbarheter mot webbappliaktioner och hur ett systematiskt pentest genomförs [1]. Det är viktigt att identifiera potentiella hot och sårbarheter för att i framtiden kunna förebygga. Genom att dokumentera samt reflektera över potentiella sårbarheter och vilka metoder som används för att detektera bildas en klar uppfattning av vilka lösningar som kan appliceras på problemet. Problemidentifikationen har således utformat följande frågeställning: 1. Kartlägga vilka sårbarheter som förekommer mot webbapplikationer. 2. Undersöka vilka verktyg som är lämpliga att inkludera i ett skript för att upptäcka sårbarheter i webbapplikationer. 3. Är det är möjligt att med hjälp av befintliga verktyg skapa en användarvänlig sårbarhetsskanner för webbutvecklare? 1.6 Problematisering Arbetet byggde på att granska litteratur för att hämta information och att genomföra ett experiment. Detta bör i teorin och i praktiken ge tillräckligt med underlag för att svara på frågeställningen. Därav har urvalet av källor valts efter största möjlighet till aktuella samt relevanta publicerade artiklar. Ämnet som berörs utvecklas i en snabb takt och äldre källor kan vara irrelevanta. För att realistiskt kunna genomföra arbetet krävdes i en del aspekter avgränsningar för att ge gynnsamma förhållanden och tydliga ramar att följa. Det hade eventuellt kunnat uppstå flera problem under arbetets gång. Några av dessa hade kunnat vara bristfällig litteratur som då hade genererat svag fakta. Andra problem som hade kunnat uppstå var både valet av mjukvaruprogram samt programmeringspråk för pentest-verktyget. Där en missbedömning av mjukvara hade eventuellt kunnat ge avvikande resultat. Verktyget byggde på ett skript, som är en etablerad metod för att exekvera och underlätta automatiserade funktioner. Arbetet menade att skapa en sammanställning av flera noga utvalda funktioner. Detta kan i själva verket visat sig vara ett överflödigt alternativ till redan etablerade metoder. 5

16 6

17 2 Metod Denna studie avsåg att svara på frågeställningarna i tre moment. Först samla information samt studera noggrant utvald litteratur i form av vetenskapliga artiklar för att bygga en uppfattning och grund att utforma experiment och basera argument på. Därefter utveckla ett verktyg för att uppfylla upptäckta behov inom området. Till sist ställa upp och utföra ett experiment för att validera egenskaperna i det sammanställda verktyget. Valet av experimentell studie som metod baserades på nyttan av att kunna testa kompetensen hos det sammanställda verktyget i praktiken. Baserat på hur verktyget presterar i ett experiment kan man få ut konkreta resultat för att svara på frågeställningen [11]. Litteraturstudien har som avsikt att besvara Tillvägagångsättet för arbetsprocessen har gjorts genom att analysera vetenskapliga artiklar och ett kvalitativt, tekniskt experiment. För att slutligen presentera samt bilda relevanta lösningar på de respektive problem utifrån problemställningen. Där intentionen och syftet var att samla in relevant information för att ge tydliga och vetenskapliga svar på frågeställningen. 2.1 Litteraturstudie Den inledande metoden var en litteraturstudie där omfattningen av litteraturen skulle förekomma på en tillräckligt relevant vetenskaplig nivå. Den insamlade informationen genererar ett lämpligt urval för ämnet som undersöks. En litteraturstudie ger ett bra vetenskapligt underlag i konstrast till en experimentell metod som ger ett konkret och konstant resultat. I relation till ämnet pentest finns vetenskapliga artiklar som bygger på experiment och litteraturstudier. Dessa har använts för att ge en grund att stå på och information att bygga arbetet på. Således föll valet på både en litteraturstudie samt en experimentell studie. Litterasturstudien ämnar att besvara de två inledande frågeställningar då frågorna bygger utifrån relaterade arbeten och befintliga artiklar. 2.2 Experiment Syftet med experimentet var att åstadkomma ett kvalitativt resultat. Först med hjälp av litteraturstudiens information utveckla ett skript utefter kartlagda sårbarheter och sedan testa detta skript i praktiken mot en inten- 7

18 tionellt sårbar webbapplikation för att därefter bestämma kvalitén på det sammanställda verktyget. De egenskaper som avsågs testas var funktionalitet, stabilitet och effektivitet i syftet av att svara på den tredje frågan i frågeställningen. För att komplettera svaret utvecklades skriptet med användarvänlighet i fokus. Experimentet avser att svara på den tredje och sista frågeställningen då det krävs något form av test för att få ett tydligt resultat. 2.3 Etiska överväganden Syftet med arbetet var att sammanställa ett hjälpande verktyg med intentionen att presentera en alternativ, effektiv och enklare metod att identifiera sårbarheter. Trots detta finns möjligheten att verktyget utnyttjas i kontroversiella syften. Avsikten med det sammanställda verktyget är att göra det tillgängligt för användare. Problematiken kring att göra verktyget lättillgängligt kan leda till konsekvenser. Till skillnad från proprietära verktyg som kan uppmana till en bredare distribution som eventuellt kan attrahera omoraliska användare. 2.4 Problematisering Det existerar på motsvarande sätt både fördelar och nackdelar när det kommer till tillämpningen av en experimentell studie. Vid en littreraturstudie är informationen relativt konstant, vilket visar en kedja där information har hög integritet som i slutändan producerar ett trovärdigt resultat. Det är alltså oerhört svårt att manipulera information till en fördel i en studie i valet av en litteraturstudie utan att bli ifrågasatt. I kontrast till en litteraturstudie är information som genereras utifrån en experimentell studie till en viss grad relativt slumpmässig om experimentet utförs under korrekta omständigheter. Hypoteser, beräkningar och bedömningar används för att förutspå, eller antecipera ett resultat. Risken finns att resultatet som producerats är i den grad så volatilt så att det inte stämmer överens med tidigare hypoteser. Detta kan göra resultatet oanvändbart eller felaktigt. I ren desperation kan ett lämpligt och användbart resultat genereras genom att manipulera experimentet vilket utformar falska fördelar så att resultatet stämmer överens med ett mer passande eller bättre resultat. En eventuell nackdel med valet av en experimentell studie som metod i den här studien kan tänkas vara valet av 8

19 komponenter, funktioner samt potentiella mål för experimentet. Risken är att experimentet inte är tillräckligt omfattande för att ge tydliga svar. 9

20 10

21 3 Teori I det här avsnittet presenteras relevanta teoribildningar utifrån relaterade arbeten och tidigare forskning. Syftet var att bilda en väsentlig uppfattning med tillräcklig kunskap som leder till ett relevant och genomförbart experiment som därefter svarar frågeställningen. 3.1 Webbapplikationer Webbtjänster har på senare år utvecklats och blivit en betydande teknik för att sätta upp interaktiva applikationer som kommunicerar mellan klient, databas och varandra. Tjänsterna involverar webbapplikationer som hanterar onlinebanker, sociala medier, e-handel och sökmotorer. Det är i grunden ett redskap för användare att kommunicera samt navigera på en webbsida genom en webbläsare [12],[13]. Webbapplikationer är uppbyggda på olika sätt med olika programmeringsspråk för att fungera till det syftet applikationen är avsedd till. I teorin använder webbapplikationer på server-sidan databas-programmering som SQL och PHP för att hantera, lagra och hämta information. Klient-sidan är däremot uppbyggd på webbaserad programmering som JavaScript som hanterar interaktiva funktioner och hämtas genom markup språk som XML och HTML vars syfte är att presentera och visa information för användaren. Klient-sidan och server-sidan kommunicerar via olika kommunikations protokoll och arbetar i kombination för att ge användare en informativ, interaktiv koppling mot webbapplikationen [13]. Eftersom webbapplikationer fungerar som brygga mellan användarens interaktion med databaser över internet hanteras oerhörda mängder av viktig information. För att komma åt information från webbapplikationer identifierar en attackerare säkerhetshål i konfigurationer, implementering och driftsättningen för hemsidan. Webb-baserade attacker kan leda till intäktsförluster, stöld av kundernas identitet, finansiella och andra känsliga uppgifter. Det finns sätt att minimera risken av befintliga sårbarheter genom att utföra en sårbarhetsbedömning på webbapplikationer. Att mildra de hot som är förknippade med sårbarhet i webbapplikationer och angreppsmetoderna som utnyttjar dem behöver inte ligga utanför någon eller någon organisations räckvidd [13],[14]. 11

22 3.2 Kända sårbarheter För att kunna genomföra en kvalificerad analys är det nödvändigt att identifiera förekommande sårbarheter mot webbapplikationer. De sårbarheter som presenteras är baserade på OWASP top 10 sårbarheter mot webbapplikationer med komplettering av omnämnda sårbarheter från vetenskapliga artiklar. Detta ligger till grund för att testa det automatiserade pentestverktyget mot [15]. Öppna portar och tjänster Grunden till en webbapplikation är maskinen som hostar den. Med olika mjukvarupaket kan man presentera filer och hantera en databas. Ett exempel på en sådan lösning kan vara LAMP som då hostar en hemsida via följande mjukvarupaket: Linux, Apache, MySql och PHP. Där operativsystemet är Linux, webbservern är Apache, databasen är MySql och språket för databas kommunikation är PHP. Inte bara applikationen som presenteras är ett möjligt mål vid en attack mot en hemsida utan även maskinen som hostar den. Om fallet är sådant att servern har en bristande säkerhetskonfiguration är det en mycket enkel väg för potentiella dataintrång. Med en avsökning av systemet kan öppna portar och tjänster upptäckas för att eventuellt exploateras. Förlegade tjänster har i många fall väl kända sårbarheter som är enkla att söka upp och exploatera. Om en hemsida skulle använda sig av till exempel HTTP innebär det att all information som skickas till och från hemsidan är fullt synlig för en illvillig tredjepart som lyckats ta del av kommunikationen. Beroende på vilka tjänster som körs finns det olika konsekvenser. Några kanske endast visar okrypterad information medan några kan ge full tillgång till hela systemet på maskinen [16]. Exponerade dokument och kataloger Den generella intentionen med att hosta hemsida är att endast exponera ett visst antal dokument som ska vara tillgängliga för användare. I vissa fall kan även andra dokument på maskinen som hostar hemsidan exponeras och dessa dokument eller kataloger kan innehålla viktig information som användaruppgifter eller konfigurationer. Därför utnyttjar vissa attacker bristande installationer som omedvetet exponerar hemliga kataloger och dokument för att vidare få tillgång till servern eller webbapplikationen [17]. 12

23 SQL Injection SQL injection är en kod-injektionsmetod som används för att attackera webbapplikationer. SQL statements utnyttjas och anges i ett webbformulär för att komma åt databasen. Beroende på vilken typ av SQL injection som används kan hackaren antingen få en dump av databasinnehåll eller exekvera kommandon i databasen och göra ändringar på databasservern [18],[19]. SQL injection har enligt OWASP rankats som en av de mest kritiska sårbarheten mot webbapplikationer sedan 2013 [15]. Ett stort problem är att SQL utnyttjar säkerhetshål av indata, genom att manipulera querys för att kringgå auktorisation och hämta eller ändra informationen på en databas. eftersom det finns många olika SQL-injektionsattacker finns det flera sätt att förbättra säkerheten för en SQL-baserad webbapplikation. Exempelvis, statisk SQL är hårdkodad i applikationen och kan inte ändras vid run-time, men dynamisk SQL är flexibel och kan förändras vid run-time. En skicklig hackare kan potentiellt ansluta till den dynamiska koden lättare än den statiska genom att använda en SQL injection attack för att erhålla obehörig data [20]. En annan teknik för att motverka SQL injection och andra webb-baserade attacker är Content SeCurity Policy (CSP) utvecklad av Mozilla Firefox. Där en Webb-platsadministratör kan lägga till domäner, skript till en vit lista. Webbläsaren utför endast skript som motsvarar den vita listan [21]. Cross Site Scripting Cross Site Scripting, även känt som XSS, är en attack som fokuserar på att injicera oönskad data i en webbapplikation. Den infogade data kan exempelvis vara en URL-länk till angriparens hemsida, med vilken angriparen kan lura användaren för att ge bort viktig data. Sårbarheter vid XSS attacker inträffar när en webbapplikation tar emot klient baserad trafik och skickar vidare information. Det finns olika typer samt tekniker av XSS attacker, Reflekterad XSS inträffar genom att skapa en förfrågan med skadlig kod som presenteras för användaren som senare begär den skadliga koden och exekverar koden själv. Den skadliga koden kan vara inbäddad i exempelvis en hyperlänk eller ett meddelanden och placerad så att användaren kommer att stöta på den i webbapplikationen [22],[23],[24]. Dessa sårbarheter förekommer i dagsläget vanligen bland webbapplikationer som nyligen utvecklats. 13

24 File Inclusion Det finns olika typer av file inclusion attacker, där local file inclusion (LFI) tar upp cirka 15 % av attacker mot webbapplikationer. LFI är en attack som utnyttjar en dåligt konfigurerad include funktion hos en webbapplikation. En include funktion är ett PHP statement som hämtar olika filer som exempelvis skript som kan köras på server-sidan. LFI fungerar genom att använda include funktionen på serversidan och målet är att inkludera filer på webbservern, för att köra skadlig kod, eller hämta ut viktig information som lösenord [25],[26]. XML External Entities (XXE) Extensible Markup Language (XML) är ett markup språk som alltså är byggnads blocken för att visa och överföra data vid webbsidor. XXE är en XML baserad attack som utnyttjar konfigurationen bakom XML. Genom att modifiera konfigurationen för XML blocken att först tillåta inkommande data för att sedan infoga data. Detta kan göras både lokalt eller fjärrstyrt och hackare utnyttjar denna sårbarheten för att infoga skadlig kod eller för att förstöra konfigurationen lokalt. Ett effektivt utnyttjande av denna sårbarheten kan leda till förlust av data, som känsliga uppgifter, obehörig åtkomst till systemresurser eller att tjänsten upphör [27]. Broken Authentication Broken authentication är en attack som främst fokuserar på att hämta privilegierad konto-information som lösenord och användarnamn från webbapplikationer. Genom att utnyttja sårbarheter som uppstår vid verifiering av användare samt hur webbapplikationen hanterar sessioner. Verifieringssteget är till för att identifiera att en användare är legitim som exempelvis vid inloggning. Webbapplikationer använder sessioner för att hålla reda på strömmen av förfrågningar från varje användare. Grundorsaken till varför sårbarheten existerar är ett resultat av webbutvecklare som skapar unika samt skräddarsydda verifieringssystem. I regel är det säkrare att utnyttja färdiga ramverk för verifieringssystem samt hur applikationen hanterar sessioner istället för att utveckla samt designa ett unikt ramverk som hanterar detta. Det kan alltså uppstå säkerhetshål på grund av att utvecklaren underskattar säkerheten med en svag konfiguration. Där en potentiell illegitim användare kringgår verifieringssteget genom att uppfånga inloggningssessionen och modifierar 14

25 användarens inloggnings identifikation till en legitim användare. Varje inloggningsförfrågan skickar en krypterad sträng av användarnamn samt lösenord för att matcha med databasen. Detta kan alltså leda till många brister som lösenordshantering, kontouppdatering och förlust av data [28]. 3.3 Resurser inom IT-säkerhet Kali Linux Kali Linux är en Linux distribution som är sammanställd av Offensive Security, ett lag av it-säkerhetsexperter, i syftet av att hjälpa säkerhetspecialister eller studerande inom området att utföra penetrationstester och säkerhetsgranskningar. På den här distributionen kommer ett brett utbud med förinstallerade informationssäkerhetsprogram som nästan alla är väl kända och använda av experter runt om i världen. Den här distributionen erbjuder möjlighet för att utföra olika sorters uppgifter så som penetrationstestning, reverse engineering eller datorforensik [29]. Metasploitable Virtuell Maskin Metasploitable är en intentionellt sårbar virtuell maskin som är sammanställd i syftet för att hjälpa säkerhetsspecialister eller studerande att utveckla sina kunskaper inom pentest. Den är konfigurerad på ett sådant sätt att den går att exploatera med många olika tillvägagångsätt. Själva maskinen har mängder med sårbarheter som öppna portar och utdaterade aktiva tjänster men inluderar även sårbara applikationer som Damn Vulnerable Web App. Metasploitable valdes för den här studien främst för sin webbserver host lösning och för sin svaga säkerhetskonfiguration [30]. Damn Vulnerable Webb App Damn Vulnerable Web App(DVWA) är en intentionellt sårbar webbapplikation sammanställd i syftet för att hjälpa säkerhetsspecialister eller studerande att utveckla sina kunskaper inom penetrationstestning. Den är likt Metasploitable konstruerad på ett sådant sätt att det är en fullt fungerande hemsida som en användare får hosta med valfritt tillvägagångssätt för att sedan testa dess olika sidor samt funktioner efter sårbarheter. Den inkluderar även administrativa funktioner som att ställa in säkerhetsnivån för hela applikationen efter önskad svårighetsgrad i penetrationstest. Den inkluderar de mest 15

26 förekommande sårbarheterna inom webb-säkerhetens olika områden som till exempel sql, xss och file-inclusion. Ett alternativ att implementera i den är studien istället för DVWA hade kunnat vara OWASPs egna sårbara webbapplikation Mutillidae. Däremot för att behålla en ökad diversitet i den här studien valdes DVWA som primärt mål i experimentet [31],[32]. 3.4 Skript Ett skript är en lista över kommandon som körs av ett visst program. Skript kan användas för att automatisera processer på en dator. Ett skript är väldigt formbart och beroende på vilket programmeringspråk som används kan skriptet exekveras i olika miljöer. Exempelvis DOS-skript och VB-skript kan användas för att köra processer på Windows-maskiner, medan Appleskript kan automatisera uppgifter på Mac-datorer [33]. Skriptfiler är vanligtvis bara textdokument som innehåller instruktionersom är skrivet på ett visst skriptspråk. Det betyder att de flesta skript kan öppnas och redigeras med hjälp av en lämplig textredigerare [34]. Ett skript är ofta uppbyggt på en rad av olika argument vilket genererar en rad av operationer och processer. Detta är en mycket essentiell faktor för att automatisera en process, vilket skapar en bra grund att basera projektets experiment på [35]. 3.5 Python Python var inte från början ett särskilt utformat språk för att uppfylla det vetenskapliga samhällets behov, men det lockade det snabbt programmerares intresse. Python är ett dynamiskt programmeringsspråk som idag är oerhört populärt i det vetenskapliga it-samhället. Det har en enkel syntax, ett omfattande standardbibliotek och ett brett system av högkvalitativa tredjepartspaket för nästan alla uppgifter, inklusive vetenskaplig behandling av data och maskininlärning [35],[36],[37]. Python är ett programmeringsspråk som är anmärkningsvärt kraftfullt. Det har några viktiga distinkta funktioner som gör det unikt från de andra objektorienterade språken som exempelvis, hastighet, Python ger möjlighet att skriva koden som behövs, snabbt. Python har en förbättrad byte-kompilator och standardbiblioteket utgör ryggraden bakom den ökade hastigheten. 16

27 Python är i stor omfattning kompatibelt samt flexibelt och kan användas gemensamt med olika ramverk och på flera plattformar [34],[38]. 17

28 18

29 4 Experiment Målet med experimentet var att åstadkomma ett kvalitativt resultat. Målet med utvecklingen var att åstadkomma moduläritet och användarvänlighet. Testet av verktyget ämnade kontrollera stabilitet, funktionalitet och effektivitet. För att få ett resultat som ger en tydlig bild av de olika egenskaperna har studien valt att testa tid att exekvera skriptet, sårbarheter som borde upptäckas och slutligen om någon felkod uppstod. Om det sammanställda verktyget inte kunde prestera önskvärda resultat kan det innebära ett misslyckat tillvägagångssätt för utveckling av ett pentest-verktyg. 4.1 Problematisering Det finns många tillvägagångsätt att ta hänsyn till i processen att sammanställa ett automatiserat pentest-verktyg. Den teknik som har valts för att sammanställa verktyget bygger på att kombinera programvara i ett skript med hjälp av programmeringsspråket Python. Eftersom syftet med experimentet är att bedöma funktioner som är lämpliga att använda i ett automatiserat pentest-verktyg har, baserat på teoretiska studier och granskning av relaterad litteratur mjukvara valts ut. De olika mjukvaruapplikationer som valts ut presenteras i val av verktyg, motivationen varför de har valts ut när andra program sållats baseras på att det är mest lämpliga när det kommer till funktion samt effektivitet i ett skript [35]. För att experimentet skulle uppnå kraven att vara ett enkelt och effektivt pentest-verktyg, valdes metoden att exekvera verktyget i form utav ett skript. Det finns andra metoder som exempelvis en annan studie [39] där dem skapar ett helt nytt verktyg genom att programmera funktioner som utför ett pentest. Skillnaden genom att hämta mjukvara och sammanställa till ett skript jämfört att programmera mjukvara gör verktyget mer flexibelt och således processen smidigare. 4.2 Utveckling Val av verktyg Samtliga verktyg som inkluderades i experimentet och testet är open source samt godkända för icke-kommersiellt bruk. Motiveringen kring valet av dem 19

30 presenteras i följande stycken. Nmap Nmap är ett verktyg som används för att skanna nätverk genom att skicka paket och analysera paketen som skickas tillbaka. Nmap erbjuder tjänster som att identifiera hosts, portskanning, upptäcka operativ system och till slut kartlägga nätverk. Detta gör Nmap till ett enastående verktyg för att upptäcka potentiella sårbarheter vid webbapplikationer [13]. Ett alternativ till Nmap hade kunnat vara Masscan men som namnet antyder är det designat och även mer lämpligt att använda vid större avsökningar av nätverk än enskilda hosts [30],[40]. DIRB DIRB är ett verktyg som skannar webbapplikationer, programmet söker efter befintliga eller dolda webb-objekt. DIRB fungerar i grunden genom att starta en ordbokbaserad attack mot en webbserver och genom att analysera svaret kan dolda webb-objekt presenteras för användaren. DIRB har en uppsättning av konfigurerade ordlistor för enkel användning men kan även använda anpassade ordlistor från användaren. DIRB kan också användas som en klassisk CGI-skanner, men är främst en innehållsskanner för att samla information till att upptäcka potentiella sårbarheter [41]. Ett alternativ till DIRB hade kunnat vara Wfuzz däremot tillåter inte det verktyget full automatisering av en avsökning vilket var ett krav för skriptets funktionalitet. SQLmap SQLmap är ett pentest-verktyg som automatiserar processen att kartlägga databaser och utnyttjar SQL injections för att överta databasservrar. SQLmap har många funktioner för en pentestare som exempelvis en kraftfull detektionsmotor som upptäcker central information i en databas och kan således upptäcka potentiella sårbarheter inom databasen. Genom att använda SQLmap kan användaren komma åt det underliggande filsystemet och exekvera kommandon på operativsystemet, vilket kan resultera i förödande konsekvenser [42]. 20

31 Fimap Fimap är en File-inclusion skanner som har funktionen att upptäcka samt exploatera sårbarheter i källkod. Verktyget inkluderar funktioner som att söka efter länkar att skanna. Ett alternativ hade kunnat var Uniscan som även är ett verktyg för LFI och RFI skanning. Fimaps mer användarvänliga output var den avgörande faktorn vid valet av verktyg. Även om fimap är fortfarande är i pågående utveckling anses det vara stabilt nog att inkludera i skriptet [43],[44]. Xsssniper Xsssniper är ett verktyg som skannar efter XSS attackvektorer i källkod för att rapportera eller exploatera sårbarheter hos en hemsida. Ett alternativ till Xsssniper hade kunnat vara Xsser som dessutom finns förinstallerat i de senaste Kali-versionerna. Däremot saknades funktionen att fullt automatisera en avsökning vilket avgjorde valet [45]. Python Skriptet är programmerat med programspråket Python som enligt en tidigare studie [19] är mycket bra att tillämpa i skript på grund av kvalitéer som flexibilitet och simpel syntax. Python kan i teorin kompileras och exekveras på många olika plattformar vilket gör Python jämfört med andra programmeringsspråk ett naturligt val till att programmera ett automatiserat skript och pentest-verktyg. Ett alternativ som övervägdes var Bash, dock var behovet av att granska output från skapade processer en viktig faktor därför gjordes valet att konstruera skriptet med Python. Python version 3.7 har en subprocess modul för att skapa och hantera subprocesser. I det här skriptet valdes den underliggande run() funktionen för att skapa processerna. Ett möjligt alternativ hade kunnat vara popen() konstruktorn, dock är den avsedd för mer avancerad hantering av processer vilket inte ansågs nödvändigt för att endast skapa en prototyp. För att analysera den genererade outputen användes check output() funktionen. Andra moduler som inkuderades var sys och termcolor, en för att hantera argument från terminalkommando och en för att lägga till färg i output. 21

32 4.2.2 Målbild Skriptet är konstruerat på ett sådant sätt att det ska vara användarvänligt, effektivt och modulärt. Funktionalitet och stabilitet är även inkluderat i målbilden. Funktionsmässigt riktas det mot en ip-address eller specifik fil, granskar genererad utmatad information och ger användaren återkoppling om några potentiella sårbarheter eller problem upptäckts. Därefter skriver det en loggfil i current working directory med den utmatade informationen från alla exekverade kommandon. Skriptet har två olika sökningsområden. Det första är att skanna en IPadress eller domän för att hitta möjliga sårbarheter i servern som hostar webbapplikationen eller i domänens exponerade kataloger och dokument som inte borde vara tillgängliga. Det andra sökningsområdet är att skanna ett individuellt dokument för att hitta sårbarheter i koden som då försätter applikationen i risk. 4.3 Experimentuppställning Källkoden som användes vid experimentet presenteras enligt Bilaga A. Maskinen som exekverade skriptet var en Kali Linux virtuell maskin och maskinen som hostade den sårbara hemsidan var en Metasploitable virutell maskin. Den sårbara hemsidan som agerade måltavla i det här experimentet var DVWA som använde server-lösning Linux, Apache, MySQL och PHP(LAMP). Skriptet exekverades mot en lokalt hostad hemsida där det givna argumentet varierade för att testa de olika funktionerna. Detta gjordes för att se om det kördes korrekt, hittade falskpositiva eller äkta sårbarheter och slutligen för att beräkna tiden det tog för skriptet att köras från start till slut. Ett exempel syntax för server och directory scan liknar python3 vscan.py och ett exempel syntax för fil eller applikation scan liknar python3 vscan.py Experiment Skannen utfördes från en Kali VM maskin med IP-adress och målet som agerade värd för hemsidan i det här experimentet var Metas- 22

33 ploitable maskinen med IP-adress: Domän och server scan testades med syntax python3 vscan.py och resulterade i utmatad information från verktyget, se Figur 1. Tiden för att exekvera skriptet var 7,31 sekunder, sårbarheten blev upptäckt och inga fel uppstod. Figur 1 - Urklippt skärmavbild på domän och server scan genererad utmatad text i terminalfönster vid utförande av experiment. File Inclusion scan testades med syntax Python3 vscan.py i/?page=include.php och resulterade i utmatad information från verktyget, se Figur 2. Tiden för att exekvera skriptet var 6,09 sekunder, sårbarheten blev upptäckt och inga fel uppstod. Figur 2 - Urklippt skärmavbild på file-inclusion scan genererad utmatad text i terminalfönster vid utförande av experiment. SQLInjection scan testades med syntax Python3 vscan.py qli_blind/?id=1&submit=submit# 23

34 och resulterade i utmatad information från verktyget, se Figur 3. Tiden för att exekvera skriptet var 2,83 sekunder, sårbarheten blev upptäckt och inga fel uppstod. Figur 3 - Urklippt skärmavbild på sql-injection scan genererad utmatad text i terminalfönster vid utförande av experiment. XSS scan testades med syntax Python3 vscan.py och resulterade i utmatad information från verktyget, se Figur 4. Tiden för att exekvera skriptet var 3,80 sekunder, sårbarheten blev upptäckt och inga fel uppstod. Figur 4 - Urklippt skärmavbild på xss scan genererad utmatad text i terminalfönster vid utförande av experiment. Falskpositiv scan testades med syntax Python3 vscan.py och resulterade i utmatad information från verktyget, se Figur 5. Tiden för att exekvera skriptet var 13,28 sekunder, ingen sårbarhet blev upptäckt och inga fel uppstod. Figur 5 - Urklippt skärmavbild på falsk-positiv test genererad utmatad text i terminalfönster vid utförandet av experiment. 24

35 Vid varje sökning skapades en loggfil i den aktuella katalogen med varierande storlek beroende på sökningen, se Figur 6. Figur 6 - Urklippt skärmavbild på innehållet i den aktuella katalogen från terminalfönster vid utförande av experiment. Innehållet i loggfilen varierade beronde på sökningen. För ett exempel på innehållet, se Figur 7. Figur 7 - Urklippt skärmavbild på ett exempel av loggfilens innehåll taget direkt från terminalfönster vid utförande av experiment. 25

36 26

37 5 Resultat I följande avsnitt redovisas resultatet från de metoder som genomförts i syftet av att svara på frågeställningen. 5.1 Litteraturstudie Huvudsakligen har vetenskapliga artiklar men även andra källor av information givit en tydlig inblick inom penetrationstest. Även vilka Verktyg som finns att upptäcka sårbarheter vid webbapplikationer har undersökts. Detta har således format problemställningen. 5.2 Litteraturresultat Studien visar att det existerar tydliga sårbarheter mot webbapplikationer och beroende på vilka metoder som används kan olika sårbarheter utnyttjas för att erhålla eller förstöra data. Litteraturstudien identifierar samt tydliggör ett flertal sårbarheter bland webbapplikationer. Enligt studiens efterforskningar kan en sårbarhet definieras följande, en svaghet i ett program eller webbapplikation som kan upptäckas och utnyttjas av en part för att orsaka ändringar i programvaran eller få tillgång till känslig data, avbryta tjänster, eller utföra felaktiga åtgärder som inte specifikt beviljades den part som använder systemet. Sårbarheter kan existera på ett system utan att det påverkar det. Webbapplikationer är uppbygga till det syftet att användare ska kunna agera, kommunicera och navigera via internet. På senare år har användningen av internet och webbapplikationer ökat markant. Detta har resulterat i att parallellt med ökningen av användningen har attacker mot webbapplikationer ökat drastiskt. Den mängd information som hanteras av webbapplikationer gör dem till ett attraktivt mål för en exempelvis, hackare. Genom en större exponering i kombination med att vara en attraktiv måltavla gör webbapplikationer extremt sårbara mot attacker. Genom att utnyttja svaga konfigurationer och säkerhetshål bland webbaserad kod på klient-sidan, databas-kod på server-sidan kan en angripa potentiellt modifiera samt manipulera kod mot webbapplikationen. Förekommande attacker utnyttjar således dessa sårbarheter, vilket kan leda till stora konsekvenser som förlust av data, 27

38 förlust av känsliga uppgifter, intäktsförluster och skadegörelse av webbapplikationen. För att upptäcka sårbarheter krävs det speciell mjukvara, alltså verktyg som utför olika funktioner och genererar resultat baserat på funktionens natur, t.ex portskanning eller kartläggning av databaser. Litteraturstudien har således resulterat i att de mest lämpade verktygen för ett skrip ämnat för sårbarhetskanning är nmap för portskanning, DIRB för att skanna dolda web-objekt, SQLmap för att skanna databaser, fimap för att identifiera sårbarheter i källkoden och till sist xsssniper för att skanna XSS vektorer. Detta baserat på funktion samt implementation och licenskrav. De verktyg som använts är open source och har inte jämförts med några proprietära verktyg. Kartläggningen av de mest förekommande sårbarheter resulterade samstämmigt med OWASP top 10. Där några av de förekommande attackerna utnyttjar sårbarheter som injektionsattacker, manipulation av sessioner och autentisering, och XXE. Dessa attacker har varit och är fortfarande mycket konsekventa. Enligt OWASP har SQL-injektion varit ledande för den vanligaste webbbaserade attacken i 5 följande år [15]. Under de senaste åren har det skett en del nya tekniker som utvecklats för att mildra injektionsattacker som CSP. Tyvärr är avancerad säkerhet för webbapplikationer inte prioriterade i jämförelse med andra komponenter som design och funktionalitet. Detta kan förklaras av en bristande kompetens inom nätverkssäkerhet. Om den övergripande kunskapsbasen om it-säkerhet och sårbarheter var mer omfattande skulle det definitivt bidra till mindre framgångsrika attacker mot webbapplikationer. 5.3 Experimentresultat Resultatet av utvecklingen presenteras med den slutgiltiga källkoden enligt Bilaga A. Experimentet visar att utvecklingen av ett skript som sammanställer flera olika verktyg till ett är möjligt att åstadkomma. Samtliga funktioner som inkluderades i skriptet presterade enligt förväntan och visade sig vara tillräckliga för att konstruera en prototyp till ett verktyg. Valet av Python som programmeringspråk resulterade i en mer effektiv hantering av processer samt utmatad data. Det förenklade även hanteringen av loggfilen som skulle ska- 28

39 pas och formateras. Utöver skapandet av prototypen möjliggör Python, som språk, en eventuell fortsatt utveckling av skriptet vilket även gör det får en modulär samt skalbar egenskap. Argumenthanteringen visade sig vara effektiv för att uppnå en tillräcklig simplicitet gällande skriptets användarvänlighet. Subprocess modulen existerar endast i Python versioner 3 och senare vilket betyder att det är något användaren måste känna till. Det sammanställda skriptet var kapabelt till att exekvera samtliga program och hantera den utskrivna informationen på ett sådant sätt att användaren kunde få pedagogisk feedback för att på egen hand åtgärda de funna sårbarheterna. Avgränsningar vid utvecklingen gjordes för att åstadkomma en fullt fungerande protoyp. Samtliga program som inkluderas i det sammanställda verktyget kommer inte förinstallerade i andra Linux distributioner än Kali. Vilket betyder att en användare måste besitta grundläggande Linux kunskaper för att åtgärda detta och kunna använda skriptet. Vid testet av skriptets funktionalitet visade det sig att det exekverades på mellan 2-15 sekunder för samtliga tester och verktyget slutförde sina processer utan några fel vid varje test. Alla avsiktliga sårbarheter som existerade upptäcktes och skriptet gav inget falskpositivt svar när det ej existerade någon sårbarhet. 29