Web (eternamente) revisitada : análise de vulnerabilidades web e de ferramentas de código aberto para exploração

Orientadora: Profa. Dra. Letícia Mara PeresCoorientador: Prof. Dr. André GrégioDissertação (mestrado) - Universidade Federal do Paraná, Setor de Ciências Exatas, Programa de Pós-Graduação em Informática. Defesa : Curitiba, 14/08/2019Inclui referências: p. 66-72Área de concentração: Ciência da ComputaçãoResumo: As aplicações Web evoluíram de somente apresentar páginas estáticas para aplicações transacionais que suportam conteúdo dinâmico, na qual diversas organizações oferecem seus serviços pela Internet, muito deles considerados críticos, como serviços financeiros. Em função da criticidade destes serviços, as aplicações Web são alvos de constantes ataques. Neste sentido, testes de segurança devem ser executados visando tornar as aplicações Web mais seguras. Diante deste contexto, o objetivo deste trabalho é levantar e explorar pela execução ferramentas de código aberto para testes de intrusão em aplicaçõesWeb, abordando o estado das ferramentas em relação ao panorama de tecnologias Web e aspectos relacionados à integração entre as ferramentas. A partir do estudo dos riscos presentes em todas as publicações do projeto OWASP Top 10, identifica-se que o principal problema de segurança em aplicações Web é ocasionado pela falta de validação nos dados de entrada, assim, foram selecionadas três vulnerabilidades para serem exploradas: Injeção de SQL (A1), Cross Site Scripting (A7) e Entidades Externas de XML (A4). O alvo selecionado para execução dos testes de intrusão foi a aplicação WebGoat, a qual trata-se de uma Single-Page Application. Foram encontradas 104 ferramentas de código aberto para execução de testes de intrusão em aplicaçõesWeb, com foco nas etapas de análise e exploração de vulnerabilidades da metodologia PTES. Dentre as 104 ferramentas, foram selecionadas 14 para serem aplicadas na execução dos testes de intrusão, a saber: Arachni, Beef, Htcap, IronWASP, Metasploit, Skipfish, SQLMap, Vega, W3af, Wapiti, Wfuzz, XSSer, Xenotix e ZAP. O resultados dos testes indicam que o componente crawler das ferramentas não está preparado para trabalhar com aplicações Single-Page Application, uma vez que somente duas ferramentas conseguem obter os pontos de entrada da aplicação WebGoat, a saber: Arachni e Htcap. O componente de detecção teve baixo percentual de identificação, somente as ferramentas IronWASP, Vega, ZAP e SQLmap detectaram a vulnerabilidade Injeção de SQL, enquanto que a vulnerabilidade XSS refletido, somente foi detectada pelas ferramentas ZAP e Xenotix. Nenhuma das ferramentas detectou as vulnerabilidades XSS armazenado, XSS DOM e XXE. As ferramentas para explorar Cross Site Scripting não foram avaliadas em função das validações que a aplicação WebGoat implementa. Com relação à vulnerabilidade XXE, não foi encontrada nenhuma ferramenta para explorá-la. Somente foi possível executar um teste de intrusão completo na vulnerabilidade Injeção de SQL, e para executá-lo foi necessário aplicar três ferramentas distintas, a saber: wapiti-getcookie, Htcap e SQLmap. A primeira ferramenta foi utilizada para obter o identificador de sessão, a segunda para obter os pontos de entrada e a terceira para detectar e explorar a vulnerabilidade. Como resultado da exploração, a ferramenta SQLmap forneceu uma cópia dos dados da aplicação. Palavras-chave: segurança Web, vulnerabilidade, teste de intrusãoAbstract: Web applications have progressed from an application that only rendered static pages to a transactional application, in which several organizations offer their services over the Internet, much of them considered critical, such as financial services. Due to the criticality of these services, Web applications are the targets of constant attacks. In this sense, security testing should be performed to make Web applications more secure. In this context, the objective of this work is to raise and explore by running open source tools for pen test in Web applications, addressing the state of the tools in relation to theWeb technologies scenario and aspects related to integration between the tools. From the study of risks present in all publications of the OWASP Top 10 project, it is identified that the main security problem in Web applications is caused by the lack of validation in the input data. Three vulnerabilities were selected to be exploited related to this problem: SQL Injection (A1), Cross Site Scripting (A7) and XML External Entities (A4). The target selected to perform the pen tests was the WebGoat application, which is a Single-Page Application. 104 open source tools have been found to perform pen tests on Web applications, focusing on the steps of analysis and exploitation of vulnerabilities of PTES methodology. Among the 104 tools, 14 were selected to be applied in the execution of the pen tests. The tools applied in the tests were Arachni, Beef, Htcap, IronWASP, Metasploit, Skipfish, SQLMap, Vega, W3af, Wapiti, Wfuzz, XSSer, Xenotix and ZAP. The results of the tests demonstrated that the tool's crawler component is not prepared to work with Single-Page Application, since only two tools are able to obtain WebGoat application entry points: Arachni and Htcap. The detection component had a low percentage of identification, only the IronWASP, Vega, ZAP, and SQLmap tools detected the SQL Injection vulnerability, while the XSS vulnerability was only detected by the ZAP and Xenotix tools. None of the tools detected the stored XSS, XSS DOM, and XXE vulnerabilities. The tools for exploring Cross Site Scripting have not been evaluated because of the validations that the WebGoat application implements. About the XXE vulnerability, no tool was found to exploit it. It was only possible to perform a full pen test on the SQL Injection vulnerability, and in order to execute it, it was necessary to apply three different tools: wapiti-getcookie, Htcap, and SQLmap. The first tool was used to obtain the session identifier, the second tool to obtain the entry points, and the third tool to detect and exploit the vulnerability. As a result of the exploit, the SQLmap tool provided a copy of the application data. Keywords: Web security, vulnerability, pen tes