Gruyere - vyzkoušejte si legální hacking webové aplikace od Googlu

Daný projekt už očividně nějaký ten pátek existuje, ale já jsem na něj narazil teprve před několika hodinami, když jsem byl na školení jednoho z web application firewallů a v labovém prostředí jsme si zkoušeli notoricky známé techniky útoků na webové aplikace (xss, sql, csrf, data tampering, cookies-session, ...) s tím že je dále bude detekovat a odchytávat aplikační firewall (negative security). Za obeť nám byl podstrčen starý projekt aukčního portálu v PHP a mě tak napadlo, že už musí dávno existovat něco sofistikovanějšího. Jmenuje se Gruyere.

Gruyere je webserver a CMS napsaný v Pythonu (jako celej Seznam.cz) a slouží k vysvětlení a možnosti vyzkoušení webových útoku.

Každý útok je tu nejen popsán i s postupem jak danou zranitelnost na aplikaci najít, ale dozvíte se i jak dané chybě předejít (z pohledu programátora).

Link:
http://google-gruyere.appspot.com/part1

Začnete tím, že navštívíte odkaz http://google-gruyere.appspot.com/start který vám vygeneruje unikátní prostředí (forkne pro vás samostatné prostředí Gruyere, aby vám ostatní nezasahovali do aplikace).

Začíná se samozřejmě s Cross-Site Scripting (XSS) - http://google-gruyere.appspot.com/part2

Pro podrobnější popis a pokročilé techniky doporučuji článek od RubberDucka:
https://www.security-portal.cz/clanky/xss-cross-site-scripting-hacking
a když už jste v tom tak článek o SQL Injection:
https://www.security-portal.cz/clanky/sql-injection-full-paper

U každé techniky je "Hint" a "Exploit and Fix". Doporučuju nejdřív trochu máknout se závity, než rovnou šáhnout po návodu jako lamky. Ztrácí to pak smysl.

Daný web vás provede velkou škálou technik:

Cross-Site Scripting (XSS)

• XSS Challenges
• File Upload XSS
• Reflected XSS
• Stored XSS
• Stored XSS via HTML Attribute
• Stored XSS via AJAX
• Reflected XSS via AJAX
• More about XSS

Client-State Manipulation

• Elevation of Privilege
• Cookie Manipulation

Cross-Site Request Forgery (XSRF)

• XSRF Challenge
• More about preventing XSRF

Cross Site Script Inclusion (XSSI)

• XSSI Challenge

Path Traversal

• Information disclosure via path traversal
• Data tampering via path traversal

Denial of Service

• DoS - Quit the Server
• DoS - Overloading the Server
• More on Denial of Service

Code Execution

• Code Execution Challenge
• More on Remote Code Execution

Configuration Vulnerabilities

• Information disclosure #1
• Information disclosure #2
• Information disclosure #3

AJAX vulnerabilities

• DoS via AJAX
• Phishing via AJAX

Other Vulnerabilities

• Buffer Overflow and Integer Overflow
• SQL Injection

Lidem kteří o to mají opravdu zájem to pomůže. A to že neumí anglicky v dnešní době translatorů vůbec nevadí: Gruyer (CZ)

"Ti ostatní" mají step-by-step návody na YouTube.

Ostatní weby kde si můžete vykoušet podobné techniky:

http://flack.security-portal.cz/ -- SQL Injection playground na Security-Portal.cz
http://www.hackthissite.org/ -- Server vyhrazen pro ty kteri si chteji zkusit hackovani webu.
http://roothack.org/ -- RootHack is a place for computer security related people to experiment with their knowledge, learn new things and hopefully have a good time.
http://www.try2hack.nl/ -- Na tomto serveru si muzete vyzkouset hackovani webu/webovych aplikaci.
http://www.uplink.co.uk/ -- Toto neni sit/server vyhrazen na hackovani, ale program simulujici "hackovani". Je to hra ve ktere dostavate ukoly a nabouravate se do serveru. Na webu muzete stahnout demoverzi. (Win/Lin/Mac)
http://www.hackthis.co.uk/ -- HackThis.co.uk is presented in the format of a series of fun challenges; the user will be expected to employ their logic and wits, along with some of the better known web development tools, to extract sensitive information from dummy pages.