I9G2S1 Skrzypczynski Węgrecki lab2

background image

WOJSKOWA AKADEMIA TECHNICZNA

SPRAWOZDANIE Z LABORATORIUM NR 2

Prowadzący:

mgr inż. Bartosz Kryoski

Wykonał :

Robert Skrzypczyoski, Wojciech Węgrecki

Grupa:

I9G2S1

background image

1) Cel zadania laboratoryjnego.


Celem zadania było badanie podatności aplikacji internetowej na ataki.
Sprawdzaliśmy strukturę oraz zabezpieczenia stosowane w przykładowej
aplikacji przedstawionej przez prowadzącego. Za pomocą narzędzi Burp
Suite oraz Wapiti mieliśmy poznad budowę aplikacji oraz wykonad audyt
jej bezpieczeostwa oraz wygenerowad raport.

2) Przebieg ćwiczenia laboratoryjnego.

Testowana aplikacja znajdowała się pod adresem

http://10.3.236.112

.

Okazało się że jest to aplikacja sklepu „SuperVeda”. Kolejnym krokiem
było utworzenie konta i zalogowanie się na nie.



Rys. 1. Widok aplikacji po zalogowaniu


Następnie skonfigurowaliśmy proxy w przeglądarce.

background image

Rys. 2. Ustawienie adresu proxy w przeglądarce internetowej.

background image

Czynnośd tą należało wykonad aby wszelkie żądania i odpowiedzi aplikacji były
wykonywane i analizowane przy pomocy narzędzia Burp Suit. W tym programie
po uruchomieniu przeszliśmy do zakładki target->scope, w której wpisaliśmy
adres IP oraz numer portu (10.3.236.112:8080) analizowanej aplikacji
Następnie w zakładce spider->options dodaliśmy login i hasło założonego przez
nas konta. Ostatnią czynnością jaką wykonaliśmy było przejście do target->site
map
i wciśnięcie prawego klawisza na adresie naszej aplikacji internetowej i
wybranie opcji spider this host. Od tej chwili wszystkie żądania i odpowiedzi
były przechwytywane przez program. Poniżej znajduję się okno programu wraz
ze strukturą analizowanej aplikacji.

Rys. 3 .Okno programu Burp Suit przedstawiające strukturę aplikacji.


background image

Kolejnym krokiem było wykonanie audytu bezpieczeostwa podanej aplikacji
internetowej. Do jego wykonania użyliśmy programu Wapiti, który po wpisaniu
polecenia:
Cd/Pentest/web/wapiti
Python wapiti.py http://10.3.236.112
wykonał audyt, a także wygenerował z niego raport.

Rys. 4.Raport wygenerowany za pomocą Wpiti

Z raportu wynika, że aplikacja jest wysoce podatna na ataki SQL Injection, Blind
SQL Injection, File Handling, Cross Site Scripting, CRLF i Commands execution.

Najwiecęj podatności jest typów:
-SQL Injection- jest to luka w zabezpieczeniach aplikacji internetowych
polegająca na nieodpowiednim filtrowaniu lub niedostatecznym typowaniu i
późniejszym wykonaniu danych przesyłanych w postaci zapytao SQL do bazy
danych.
-Cross Site Scripting- jest to sposób ataku na serwis WWW polegający na
osadzeniu w treści atakowanej strony kodu (zazwyczaj w JavaScript), który

background image

wyświetlony innym użytkownikom może doprowadzid do wykonania przez nich
niepożądanych akcji.

3) Wnioski

Przeprowadzone zadanie laboratoryjne miało na celu ukazanie podatności i
możliwości ich wykorzystania do ataków na aplikacje internetowe.

Za pomocą dwóch programów zdołaliśmy poznad strukturę i wygenerowad
audyt bezpieczeostwa aplikacji. Poznaliśmy sposób funkcjonowanie tej aplikacji
przez podglądanie i możliwośd edycji przesyłanych żądao i odpowiedzi.
Wykorzystane przez nas narzędzia mogą byd bardzo pomocne przy
zabezpieczaniu tworzonych przez nas aplikacji. Szczególnie za pomocą Wapiti,
które generuje dośd szczegółowy raport na temat podatności i ich typów.

Wykonanie tego zadania pokazało nam jak dużo jest możliwych luk w
zabezpieczeniach aplikacji i jak ważne jest ich eliminowanie. Szczególne
znaczenie ma to w aplikacjach związanych z finansami, gdyż niesie to za sobą
odpowiedzialnośd za cudzy majątek.


Wyszukiwarka

Podobne podstrony:
I9G2S1 Skrzypczynski Węgrecki lab2
I9G2S1 Skrzypczynski Wegrecki l Nieznany
I9G2S1 Skrzypczynski Węgrecki lab1, WAT, SEMESTR V, podstawy bezpieczenstwa informacji
I9G2S1 Węgrecki Wojciech sprawozdanie, WAT, SEMESTR V, systemy dialogowe, SDial, SD cwiczenia 5
I9G2S1 Wegrecki sprawozdanie, WAT, SEMESTR V, podstawy symulacji
I9G2S1 Węgrecki Wojciech sprawozdanie lab5
I9G2S1 Węgrecki Wojciech Lab4
I9G2S1 Węgrecki Wojciech Lab3
I9G2S1 Wegrecki Wojciech lab3
83 rośliny, mchy, widłaki, skrzypy, okryto i nagonasienne
I9M1S1 Nawrot Gudanowicz lab2
IWP JP2 Lab2 Struktury
Lab2 OZE id 259328 Nieznany
lrm sprawozdanie kck lab2
LAB 4 Lab2 WprowadzenieMATLAB 2 Nieznany
lab2(v2), Semestr III, Technologie wytwarzania
termo lab2 szczotka
Grudziński Krawiec lab2# 10 2012

więcej podobnych podstron