Bezpečnostná analýza webu za pomoci prehliadača

Prehliadač je dnes jedna z najpoužívanejších aplikácií. Pomohol k tomu vývoj internetových technológií, ktorý podnietil vznik miliónov interaktívnych služieb. Dnes od kvality a bezpečnosti internetového projektu závisí nejedna veľká spoločnosť. Kvalitu a jedinečnosť preveria používatelia, ale bezpečnosť by mali preverovať sami tvorcovia.

Na otestovanie bezpečnosti webu vzniklo mnoho výborných nástrojov. Relatívne komplexný zoznam týchto nástrojov môžete nájsť na stránkach projektu OWASP. Aby som hneď odradil tzv. script kiddies, tieto nástroje slúžia na odhalenie zraniteľnosti, nevytvoria vám exploit na nabúranie webu alebo získanie dát z neho (väčšinou). Tieto nástroje pomáhajú odhaliť chyby, ktoré môžu viesť k bezpečnostným zraniteľnostiam.

Tieto nástroje sú skutočne užitočné pri hľadaní problémov, ale najlepší nástroj na preverovanie bezpečnosti webov už dávno používate. Je ním váš prehliadač. Prehliadač má zvládnuté všetky potrebné funkcie, ktoré iné nástroje neponúkajú, ako napríklad vykreslenie webovej stránky alebo možnosť otestovať JavaScript. Človek, ako najdokonalejšia forma nástroja na hľadanie chýb, je jediný schopný rozlíšiť, či nástroj nevyhodnotil chybu ako tzv. false positive. V takomto prípade si treba danú zraniteľnosť otestovať na vlastné oči a vyhodnotiť, či skutočne ide o zraniteľnosť alebo len špecifické správanie webu.

Tento článok však je len o jedinom z nich, a to o Firefoxe. Dôvod je jasný. Firefox vďaka svojim rozšíreniam a možnosti prístupu k akejkoľvek časti, ktorej správanie možno sledovať či modifikovať, umožňuje skutočne veľmi komplexné otestovanie akéhokoľvek webu. Ja sám využívam pri testovaní bezpečnosti webu na 80 % prehliadač. Mám niekoľko obľúbených nástrojov, ktoré vám teraz jeden po druhom predstavím.

Pôvodne som chcel vytvoriť balíček, ktorý by ste si už mohli sami nainštalovať a mali by ste všetky nástroje naraz. Je ich však až priveľa a je dosť možné, že väčšinu z nich potrebovať nebudete. Zoradenie je podľa potenciálnej obľúbenosti nástrojov, nie podľa abecedy.

httpfox

An HTTP analyzer addon for Firefox

httpfox je jeden z najlepších a najdôležitejších nástrojov, ktoré sa v mojej zbierke nachádzajú. Pre mňa je httpfox ekvivalentom dnes už nie veľmi dokonalého LiveHttpHeaders , ktorý sa mi zdá pri väčšom počte requestov (alebo ak chcete po slovensky požiadaviek) neprehľadný. httpfox nahrádza potrebu proxy nástrojov, ktoré sledujú aktuálny traffic prehliadača.

httpfox je relatívne jednoduchý nástroj, umožňuje vyhľadávať v zachytenom zozname požiadaviek, prezerať si požiadavky a odpovede, pričom požiadavky ešte rozdeľuje na zaslané cookies, post data a query. Jednotlivé typy požiadaviek sú farebne od seba odlišované.

Jeho hlavná nevýhoda (aspoň pre mňa) je, že neumožňuje ukladať zoznam na ďalšiu alebo neskoršiu analýzu. Projekt je však open source, a tak možno jednoducho pozmeniť či doplniť celú funkcionalitu.

Viac informácií o rozšírení httpfox .

TamperData

TamperData is an extension to track and modify http/https requests.

TamperData má veľmi podobnú funkcionalitu ako httpfox, no navyše umožňuje pozmeňovať požiadavky ešte pred ich odoslaním (tampering). Vďaka tomu možno aplikácii podstrčiť také dáta, aké chcete, a vyvolať chybové hlásenie, ktoré vám prezradí prítomnosť bezpečnostnej zraniteľnosti. Sledovanie aktuálneho trafficu sa mi zdá oveľa menej prehľadné oproti httpfoxu, preto používam oba nástroje. Ich spojením by sa však vytvoril extrémne silný a komplexný nástroj. Možno to tak raz bude. TamperData umožňuje výsledky aj uložiť, čo je jeho veľká prednosť. Horšie je, že nie je možné jeho sledovanie zastaviť, pokiaľ je otvorený (aktívny), čo značne zaťažuje prehliadač.

Viac informácií o rozšírení TamperData, jeho možnosti .

Firebug

Firebug integrates with Firefox to put a wealth of web development tools at your fingertips while you browse.

Firebug je veľmi populárne rozšírenie väčšiny vývojárov a tvorcov webu, hlavne grafikov (resp. tých, ktorí pracujú s dizajnom a JavaScriptom). Firebug má však mnoho užitočných funkcií, ktoré môžu pomôcť aj pri odlaďovaní bezpečnosti. Nielen Firebug, ale aj ďalšie rozšírenia, ktorými možno ovplyvniť činnosť a možnosti Firebugu. Ja osobne používam Firecookie, ktorý mi umožňuje veľmi rýchlo pracovať s cookies daného webu, pričom zobrazuje aj všetky cookies widgetov použitých na webe (veľmi dôležité pri testovaní bezpečnosti). Firebug má obrovské možnosti, ktoré by vystačili na samostatný článok. Ak ho ešte nepoznáte, odporúčam vám oboznámiť sa s ním čo najlepšie. Je to skutočne nenahraditeľná pomôcka pri práci.

Viac informácií o rozšíreniach Firebug a Firecookie .

Modify Headers

Add, modify and filter http request headers.

Veľmi užitočné rozšírenie na úpravu HTTP hlavičiek takpovediac za chodu. Umožňuje napríklad zmeniť názov a verziu prehliadača, referer atď. Toto rozšírenie je vhodné aj pre programátorov, ktorí si potrebujú odskúšať správanie svojej aplikácie pri vstupe neštandardných dát alebo pri overovaní verzie prehliadača. Rozšírenie je veľmi jednoduché, umožňuje pridať, modifikovať alebo filtrovať časť HTTP hlavičky. Je veľká škoda, že nie je súčasťou niektorého z predošlých rozšírení. I samostatne však má svoje opodstatnenie a význam. Jeho hlavná výhoda je, že akékoľvek zásahy do HTTP hlavičky udržiava až do ich vypnutia. Napríklad User Agent Switcher, ktorý umožňuje zmeniť len identifikátor prehliadača, sa vždy vráti do pôvodného stavu po vypnutí a zapnutí prehliadača (aspoň to tak bolo v čase, keď som ho prestal používať, čo už bude viac ako rok). Ten je však omnoho jednoduchší na použitie a oveľa prívetivejší. Možno sa raz dočkáme kombinácie oboch.

Viac informácií o rozšíreniach Modify Headers a User Agent Switcher.

Greasemonkey

Allows you to customize the way a webpage displays using small bits of JavaScript.

Greasemonkey je rozšírenie veľmi populárne u všetkých druhov používateľov. Dokazuje to aj počet stiahnutí, ktorý dnes dosahuje číslo 16 960 035. Greasemonkey umožňuje využívať akýkoľvek vlastný skript napísaný v JavaScripte a tým aj upravovať správanie webu, ale až po jeho načítaní. Napríklad aktuálne veľmi populárny skript, ktorý automaticky schováva nežiaduce spamujúce kvízy na hlavnej stránke Facebooku úplne automaticky. Alebo môj Auto-Hidden Input Viewer , ktorý vám na každej stránke zobrazí všetky skryté formulárové polia. Ja využívam Greasemonkey napríklad aj na vytvorenie XSS exploitu pre konkrétny web, aby som nemusel zneužívať stále zraniteľnosti a neupozornil tak administrátora na túto chybu skôr, ako budem mať hotový POC. Veľké množstvo užitočných skriptov môžete nájsť na stránke userscripts.org .

Viac informácií o rozšírení Greasemonkey .

Web Developer

The Web Developer extension adds a menu and a toolbar to the browser with various web developer tools.

Ako už napovedá názov, toto rozšírenie je primárne určené pre tvorcov webov. Má niekoľko veľmi šikovných nástrojov, ktoré vám uľahčia prácu, a to aj pri testovaní bezpečnosti. Na dve kliknutia dokážete zakázať spúšťanie Java appletov či odosielanie refererov, zobrazíte všetky informácie o formulároch a ich poliach na danej stránke, zakážete CSS alebo obrázky atď. Toto rozšírenie je veľmi komplexné a má mnoho zaujímavých funkcií, ktoré si treba vyskúšať a naučiť sa ich využívať pri práci.

Viac informácií o rozšírení Web Developer .

Server Spy

Server Spy is a small Firefox extension that displays the brand of web servers (e.g. Apache, IIS, etc.) in the right-hand side of the browser window’s status bar.

Server Spy je malinké, zato užitočné rozšírenie, ktoré z HTTP hlavičky vždy automaticky vyberie názov servera, ktorý je posielaný v odpovedi servera. Táto informácia vám môže pomôcť zvoliť správny spôsob pri testovaní aplikácie, ako aj vybrať správny exploit či prezrieť aktuálne odhalené zraniteľnosti danej verzie servera.

Viac informácií o rozšírení Server Spy .

Rozšírenia pre okno page info

Keďže existuje viacero rozšírení, ktoré vám môžu sprehľadniť prácu, ktoré upravujú možnosti karty alebo okna page info, rozhodol som sa ich uviesť v jedinej kategórii. Tieto rozšírenia majú skôr informačný charakter, ktorý vám umožní rýchlejšie sa zorientovať v množstve informácií, ako napríklad koľko frameov je použitých na stránke alebo koľko liniek vedie mimo webu. Nemajú skutočné využitie pri bezpečnostnom audite, no i zrýchlenie práce je dosť veľký benefit.

• View Cookies – ako napovedá názov rozšírenia, umožňuje zobraziť cookies v okne page info pre danú stránku.
• View Dependencies – zobrazuje zoznam všetkých súborov, ktoré stránka načítava, ako napríklad štýly CSS, JavaScript, obrázky atď. Tento zoznam je pekne zoradený a prehľadný, takže sa v ňom veľmi ľahko orientuje.
• View Frames – zobrazí zoznam frameov použitých na webe.
• Links and Forms Zobrazí zoznam všetkých liniek a formulárov, ktoré sa na danom webe nachádzajú

SSL Blacklist

SSL Blacklist now detects and warns about certificate chains that use the MD5 algorithm for RSA signatures.

Možno si spomínate na demonštráciu útoku proti SSL certifikátom , ktorá bola demonštrovaná na poslednom CCC. Toto rozšírenie vás vždy varuje, ak sa takýto certifikát objaví na nejakom webe. Pri testovaní bezpečnosti je to veľmi cenná informácia. Je cenná aj pre bežných používateľov, len oni o tom sami väčšinou ani nevedia.

Viac informácií o rozšírení SSL Blacklist .

Cert Viewer Plus

Certificate viewer enhancements: PEM format view, file export

Ďalšie rozšírenie, ktoré pracuje s certifikátmi. Toto však zobrazuje všetky možné a dostupné informácie o certifikáte, ktoré znalým používateľom môžu poskytnúť veľmi cenné informácie. Rovnako je to aj pri testovaní bezpečnosti, keď znalosť certifikátu a jeho vydavateľa môže byť veľmi dôležitá (pozri ČSOB alebo SK-NIC).

Viac informácií o rozšírení Cert Viewer Plus .

Záver

Toto je väčšia časť rozšírení, ktoré používam a pomáhajú mi pri bezpečnostných auditoch webov. Tieto rozšírenia však pomôžu komukoľvek, kto potrebuje raz za čas odsledovať komunikáciu webu či nájsť skryté informácie, schované v zákutiach, ktoré by bolo treba ručne prechádzať. K dispozícii je obrovské množstvo ďalších rozšírení, ktoré vám môžu byť veľmi nápomocné. Ja sám používam ešte ďalšie, ktoré mi uľahčujú každodenné surfovanie, ale i zábavu. Tieto rozšírenia však nemajú vplyv na bezpečnosť, aspoň nie ako analytické nástroje.

Ak aj vy používate nejaké šikovné nástroje, ktoré sa v článku neobjavili, podeľte s nami v diskusii pod článkom.

Autor

Rastislav Turek je nezávislý bezpečnostný konzultant a člen organizácie OWASP. Prispieva na známy blog o bezpečnosti blog.synopsi.com.

Zdroj: synopsi.com