Die Security Sparrows laden euch herzlich ein am Seminar zum Thema WebApplication Testing mitzumachen. Wir werden Beispielapplikation unter die Luppe nehmen und mit den Mitteln von professionellen Penterstern nach Schwachstellen suchen und diese ausnutzen. Dies ist eine Hands-On Session in der wir bei jedem Themengebiet das Vorgehen erläutern, vorführen und danach die Teilnehmer selbst durchführen lassen.

Wann/Wo/Wie lange: Das Seminar findet am 29.01.2016 im Raum O27/341 um 16.15 Uhr statt. Da das Seminar von Fragen, Interaktion und von Übungen geprägt ist solltet ihr mindestens 2,5 Stunden einplannen.

Speaker: Ferdinand uns Sergej

Das grobe Agenda sieht folgendermaßen aus:

  • Allgemeines Vorgehen
  • Vorstellung des BurpSuite (Local Attack Proxy)
  • Injection Angriffe (XSS, SQLi, XXE, XPath)
  • Client Side Controls
  • Access Controls
  • Session Management
  • Optional/Wenn Zeit bleibt (Serialization Schwachstellen, SMTP und XPath Injection, …)
  • Gegenmaßnahmen
  • Checklisten/Literatur Alle Übungen werden mit der dem Local Attack Proxy BurpSuite durchgeführt. Wir werden uns den HTTP-Verkehr zwischen Browser und Webserver anschauen.

Anforderungen:

  • Sehr grobe Kentnisse in HTML/JavaScript/SQL
  • Motivation was neues zu lernen und auszuprobieren!!!
  • Eigenes Notebook (ggf. an der Uni ausleihen)
  • VirtualBox mit der folgenden VM: http://sourceforge.net/projects/owaspbwa/files/1.2/
  • Internes Netzwerkinterface einrichten, damit ihr den Webserver ansurfen könnt. Anleitung gibt es hier: http://christophermaier.name/blog/2010/09/01/host-only-networking-with-virtualbox oder in der Suchmaschine eurer Wahl. Surft die IP der VM mit eurem Browser an und stellt fest, dass es funktioniert.
  • Aktuelle JavaRunTime und die freie Version der BurpSuite https://portswigger.net/burp/download.html herunterladen und einmal starten. Einrichtung findet beim Seminar statt.
  • Recherschiert wie man ein eurem Browser einen Proxy einstellen könnt um Zeit zu sparren (dafür existieren ebenfalls bequeme Plugins) Link zur Anmeldung wird über die ctf-Mailingliste/Vorlesungsforen geschickt.

Edit:

Slides von der Veranstaltung: webapp_testing_29-01-2016



Published

19 January 2016

Tags