Wer kennt die Situation nicht? In hektischen Zeiten stürzt man von einem Projekt ins nächste, wobei die eigene Flexibilität und Konzentration aufs Äusserte ausgereizt wird. Und doch gibt es die berühmte Ruhe vor dem Sturm (teilweise natürlich auch danach). Es ist eine gute Möglichkeit sich vorzubereiten und die eigenen Werkzeuge zu verfeinern und zu warten. In einer ruhigeren Phase beschäftige ich mich persönlich gerne mit Challenges und Tutorials rund um das Thema Sicherheit von Web Applikationen. Im Folgenden stelle ich 3 Plattformen vor, mit denen ich bereits so einige Zeit vertrieben und vieles dazu gelernt habe.

Oftmals höre ich die Aussage, dass eine Schwachstelle selten genauso “offensichtlich” gefunden wird. Dies mag durchaus sein, dennoch erachte ich es als wertvoll, selbst Angriffe testen zu können und das Vorgehen zu trainieren. Ein Angriff scheitert nicht selten an der tatsächlichen Ausführung, das Lesen eines Artikels ersetzt nicht das eigene Ausprobieren und Üben von Angriffen.

WebGoat von OWASP

Als ich neu ins RedTeam der scip AG gestossen bin, war eine der ersten Plattformen WebGoat. WebGoat ist eine unsichere Web-Applikation, welche durch OWASP (Open Web Appliaction Security Project) bereitgestellt wird. Diese Applikation enthält gute Erklärungen und vermittelt grundlegende Theorie.

Die Challenges und Angriffe sind aber vorwiegend auf Anfänger ausgerichtet. So werden vorwiegend fundamentale Basics vermittelt, welche man anschliessend austesten kann. Als Vorteil gilt sicher die Challenges zu verschiedenen Bereichen, so gibt es Tutorials zu etwa allen OWASP Top Ten Schwachstellen.

Gewisse Themen waren auch äusserst lehrreich und sehr detailliert beschrieben. Insbesondere das Kapitel zu JSON Web Tokens, hat mir die Technologie von JWT sehr viel näher gebracht und mir ein tieferes Verständnis ermöglicht. Ein weiterer Vorteil sind die Tipps, welche bei schwierigen Challenges stufenweise angezeigt werden können und einem die Richtung weisen.

Mögliche Nachteile sind, dass die Applikation heruntergeladen und selbständig installiert werden muss. Ausserdem existieren keine offiziellen Musterlösungen für die Challenges. Gibt es zu einer Challenge keinen Tipp und findet man mit Hilfe einer Suchmaschine auch keine geeignete Hilfe, bleiben gewisse Challenges ungelöst.

Root Me

Im Gegensatz zu WebGoat benötigt Root Me kein Download. Die Gratis-Challenges sind nach einer Registration mit einer E-Mail-Adresse sofort zugänglich. Persönlich habe ich mich bisher selbst nur mit den Themenbereichen Web-Client und Web-Server auseinandergesetzt.

Spannend an dieser Plattform sind sicherlich jedoch auch Übungen zu diversen anderen Themengebieten wie Kryptoanalyse, Programmierung und Netzwerk. Die Schwierigkeit der Trainings sind enorm breit gefächert und reichen von extrem simplen bis zu komplexen Ansätzen. Spannend sind auch die angezeigten Indikatoren, wie viel Prozent der Benutzer eine Challenge validieren konnten, den Schweregrad, Anzahl Musterlösungen, etc.

Im Weiteren ist es den Autoren möglich, nützliche Quellen anzugeben. Ich habe bereits einige sehr spannende Dokumentationen, Beschreibungen oder Präsentationen von Schwachstellen gefunden. Ausserdem ist es während einer Challenge sehr hilfreich, wenn man eine ausgewählte Quelle als Hilfestellung beiziehen kann. Ein sehr anregendes Feature ist ausserdem das Anzeigen von Musterlösungen von anderen Benutzern. Es ermöglicht einem den eigenen Ansatz beispielsweise auf Effizienz zu überprüfen oder andere Denkens- und Lösungsansätze zu betrachten.

Im gleichen Zuge möchte ich hier aber auch die negative Seite der Musterlösungen beleuchten. Die Musterlösungen sind nur für User ersichtlich, welche die Challenge bereits erfolgreich gelöst haben. Steckt man in einer Übung fest, gibt es abgesehen von den Dokumenten in Nützliche Quellen, nur geringe Möglichkeiten Hilfe zu erhalten. Zwar können im Forum Fragen gestellt werden, aber gerade bei schwierigen Challenges bleibt eine Antwort oftmals aus, oder der Ratschlag ist so generell gehalten, dass man weiterhin ansteht. Zudem darf die Fragestellung nicht zu spezifisch sein, da man mögliche Teilschritten anderen Teilnehmern preisgeben würde (solche Posts werden zensiert). Ich selbst habe bei einer Challenge Javascript Obfuscation 5 auch zwei User angeschrieben (unter anderem den Autor), um möglicherweise einen Tipp zu erhalten. Leider blieben diese jedoch unbeantwortet und ich stehe auch nach mehreren Monaten noch bei dieser Challenge an. (Natürlich habe ich mich auch mit Suchmaschinen versucht um eine Lösung zu finden, jedoch ist die Policy von Root Me, dass keine Lösungen veröffentlicht werden dürfen.) In diesem Falle finde ich es schade, dass die Musterlösungen nicht bedingungslos angezeigt werden können. Selbstverständlich ist nicht das Ziel bei jeder kleineren Hürde sich den Weg so zu vereinfachen, aber meiner persönlichen Meinung nach liegt dies auch in der Verantwortung des Benutzers.

Web Security Academy von PortSwigger

Im April 2019 kündigte PortSwigger ihre Web Security Academy an. Gestartet wurde mit 4 berühmten Schwachstellen: SQL Injection, Cross-Site Scripting, OS Command Injection und Directory Traversal. Zwischenzeitlich wurde die Academy mit zusätzlichen Challenges erweitert. Leider hatte ich bisher noch nicht die Zeit, alle Übungen durchzuspielen. Meine Erfahrungen beziehen sich deshalb auf die Themen CSRF, XSS, File Path Traversal und SQL Injection.

Vorweg: Ich bin begeistert von dieser Plattform. Die Erklärungen sind äusserst detailliert und extrem gut aufgebaut. Stetig wird bei den verschiedenen Challenges die Schwierigkeit etwas erhöht, der Benutzer jedoch nie alleine gelassen. Bei schwierigeren Übungen ist es möglich eine Musterlösung anzeigen zu lassen. Zu jedem Thema gibt es zahlreiche Übungen, sodass man das soeben Gelernte mehrmals anwenden kann. Durch das, dass die Erklärungen auffallend gut beschrieben sind, ist es auch einem Anfänger in einem Thema möglich den Einstieg zu finden und die Challenges zu lösen.

Ein angenehmer Nebeneffekt von Musterlösungen sind teilweise Beschreibungen zu Einstellungen zur Burp Suite, die man gegebenenfalls bis anhin noch nicht gekannt oder übersehen hat. Eine Schattenseite dieses Tutorials habe ich an dieser Stelle noch nicht entdeckt.

Fazit

Es gibt zahlreiche Online-Trainings, um die eigenen Fähigkeiten auszubauen und zu erweitern. Nebst den drei erwähnten Plattformen gibt es zudem verschiedenste andere, professionelle Plattformen.

Am Ende zählt vor allem, nicht aus der Übung zu kommen. Bei Schwachstellen, die man seit längerer Zeit nicht mehr gefunden hat oder die kaum mehr bestehen, besteht oftmals die Gefahr, dass man als Penetration Tester das Prüfen gewisser Methoden zunehmend vernachlässigt oder sie nicht mehr vollständig präsent sind. Gerade auch “theoretische” Tutorials helfen dabei, sich derer wieder zu erinnern.

Ausserdem sind auch Musterlösungen sehr lehrreich wo möglicherweise andere Ansätze gewählt wurden oder man einen Trick entdeckt, den man bisher noch nicht gekannt hat und der einem das Leben wesentlich einfacher gestaltet.

Über die Autorin

Valérie Kastner studiert Betriebsökonomie mit Schwerpunkt Risk & Insurance an der Zürcher Hochschule für Angewandte Wissenschaften. Nach mehreren Jahren im Underwriting und Technical Center von Versicherungen, arbeitet sie seit 2018 im Bereich IT-Security mit Fokus auf Web Application Security Testing und Social Engineering. (ORCID 0000-0002-9214-572X)

Links

• https://portswigger.net
• https://portswigger.net/blog/introducing-the-web-security-academy
• https://portswigger.net/burp
• https://www.owasp.org
• https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
• https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
• https://www.root-me.org