After a long period of procrastination, I finally went ahead and downloaded the OWASP WebGoat Project ISO and installed it in VMWare using the labRAT LiveCD. Here are some screenshots:

OWASP LabRat VMWare Configuration

To my surprise, now, the OWASP Project already has images available for download:

ISO: http://mtesauro.com/files/owasp-livecd-AustinTerrier-Feb2009.iso
VMWare: http://mtesauro.com/files/owasp-livecd-AustinTerrier-Feb2009.vmdk.rar
Virtual Box: http://mtesauro.com/files/owasp-livecd-AustinTerrier-Feb2009.vdi.rar

Here are the most recent screenshots of the environment:

“]

OWASP LiveCD 2008 [1

http://yehg.net/lab/pr0js/training/webgoat.php

But, in the end, some people still would like to save all of that virtualization space  by installing the binary files directly onto their systems. This is how WebGoat started; and, Google Code is making sure that the OWASP WebGoat project thrives still:

http://code.google.com/p/webgoat/downloads/list

Webgoat’ın En Son Sürümünü (5.2) İndirin. Daha Sonra Çalışmak İstediğiniz Yere .zip’li Dosyayı Açın. Örn. c:\\\\webgoat 5.2\\\\

Dosya İçeriği ;
java
tomcat
readme.txt
webgoat.bat
webgoat.sh
webgoat_8080.bat ’tır. Bknz Resim 1

Daha Sonra webgoat.bat veya webgoat_8080.bat Dosyasını Çalıştırın. PC’nizde DOS Ekranı Çıkacak Bekleyin. Daha Sonra TomCat Ekranı Çıkacak(Bknz Resim 2)

Resim 2

Tomcat Gerekli Ayarları Yaptıktan Sonra Server’ı Başlatacak. Browser’a http://localhost:8080/webgoat/attacks Yazın. Kullanıcı Adı ve Şifre İsteyecek. Kullanıcı Adı : guest ve Şifre : guest Yazdıktan Sonra webgoat Hazır. İyi Testler Not : webgoat_8080.bat Dosyası PC’sinde IIS Yani Internet Information Services Yüklü Olanlar İçindir. PC’sinde 80 Portunu Kullanmayanlar webgoat.bat Dosyasını Çalıştırsınlar..

Yazar : ZeroTolerance

web goat Nedir?

webgoat OWASP (Open web Application Security Project) tarafından geliştirilen , kastılı olarak yüzlerce açık içeren J2EE platformunda yazılmış olan, web uygulamarındaki açıkları kendi kendize öğrenebileceğiniz güvenlik test yazılımıdır. Yazılımın odak noktasında web uygulamaları yer almaktadır. Çeşitli kategorileride ki dersler ile güvenlik uzmanlarına yada web uygulaması geliştirenlere; ilgili açığı anlayabilme, çözebilme ve exploit edebilme yetenekleri kazandırmak amacındadır.

Örnek olarak SQLInjection açığı kullanarak sahte kredi kartı bilgileri ile alışveriş yapmanız istenmektedir. Bu aşamada sistemdeki form bilgilerini SQLInjection yöntemi ile atlatıp exploit edebilmeniz gerekmektedir. Eğer başarıya ulaşırsanız bir sonraki teste yönlendirilmekte ve her geçtiğiniz test için puan almaktasınız.

webgoat içerisinde yer alan testlerini tamamı başarı ile tamamlayan kişiler bu konuda ciddi bir deyeim ve bilgi birikimine sahip olmuş olcağından ilerde yapacağı denetimlerde, uygulamalarda güvenlik risklerinide minimum düzeyde tutabilmeyi hedeflemiş olacaktır.

Temel olarak aşağıdaki konularda ( her geçen gün artan açıklara paralel olarak güncellenmektedir) testler içermektedir :

· Cross Site Scripting
· Access Control
· Thread Safety
· Hidden Form Field Manipulation
· Parameter Manipulation
· Weak Session Cookies
· Blind SQL Injection
· Numeric SQL Injection
· String SQL Injection
· web Services
· Fail Open Authentication
· Dangers of HTML Comments

webgoat’ı Kimler Kullanabilir ?

Öncelikle web tabanlı uygulama geliştirenler, web tabanlı yazılım güvenliği ile uğraşanlar, kendi sitesini kurup yönetenler, sistem güvenlik uzmanları veya bu konuya ilgi duyan ve temel düzeyde bilgisi olan herkes webgoat’ı kurup testleri çözebilir.

webgoat’a Kendimizde Dersler Ekleyebilir miyiz?
Evet webgoat’ın böyle bir desteği var. OWASP’ın sitesinde nasıl ders yazılacağı ile ilgili detaylı dokümanlara ulaşabilirsiniz.

Nereden İndirebilirim?

Kurulum dosyasını Google Code arşivinden :

http://code.google.com/p/webgoat/downloads/list

XSS Yöntemi ile bir Phising Saldırısı Yapmamız Bekleniyor :

ByPass yöntemi ile Alt dizin erişimleri yapmamız isteniyor :

Session HiJacking yöntemi :

http://www.owasp.org/index.php/Category:OWASP_webgoat_Project

webgoat Çözümler General – Http Basics ( http Temelleri)

Bu testin amacı Http Request nesnesinin nasıl işlendiğini(handling) edilebildğini gösterebilmektedir. Bizden adımızı girmemiz isteniyor, adımız girip GO! dediğimizde http Request ile alınan form değeri tam tersine çevirilerek bize tekrar gösteriliyor. Eğer biz aynı şekilde adımızı ( Örnekte Murat) tersinden yazıp ( taruM) O! dersek bu dersi geçmiş olacağız. Buradaki test bir güvenlik açığından çok temel işleyişi anlatmaktadır

Burada gördüğünüz gibi Tebrikler mesajını aldık ve bu testi geçtik.

Dikkat ettiyseniz yukarıda Show Params ve Show Cookies butonları yer almakta, bu butonlar bizlere o anki verilerin neler olduğunu göstermektedir. Aynı zamanda atak yapmadan önce bu verileri görerek atağımızıda belirleyebiliriz.

Aşağıdaki resimde göndermiş olduğmuz “taruM” parametresi işlenerek (handling) Murat olarak çevrilmiştir.

So mancher Nachwuchshacker wünscht sich so etwas wie eine Gelegenheit zum Erproben seiner Hackerfähigkeiten oder auch nur zum Ausprobieren von Dingen, über die er etwas gelesen hat, die man aber legal nur auf dem eigenen Rechner testen kann. Schließlich hat nicht jeder eine Testumgebung mit Servern, Netzwerk, Routern etc. zuhause unter dem Schreibtisch stehen.

Vielen ist bereits mit Werkzeugen wie der Webgoat-Software von OWASP geholfen, mit der sich Angriffstechniken auf unsichere Web-Applikationen anhand eines CBT einüben lassen.

Für Leute mit darüber hinausgehendem Übungsbedarf wurde von einer ehrenamtlich tätigen Hacker-Community auf Hackthissite.org ein (englischsprachiges) Lehr- und Lernportal für Hackertechniken eingerichtet. Die Community beschreibt sich selbst und ihr Projekt so:

“Hack This Site is a free, safe and legal training ground for hackers to test and expand their hacking skills. More than just another hacker wargames site, we are a living, breathing community with many active projects in development, with a vast selection of hacking articles and a huge forum where users can discuss hacking, network security, and just about everything. Tune in to the hacker underground and get involved with the project.”

Zu zahlreichen Themen aus den Bereichen Programmierung, Systemverwaltung, Netzwerke sowie natürlich zum Hacken an sich gibt es Fachartikel. Das ebenfalls angebotene „HackThisZine“ enthält interessante Informationen aus dem Bereich freie Informations- und Netzkultur sowie zum informationellen Selbstschutz.

Die Fachinfos sind allgemein zugänglich. Für die Teilnahme an den Hackerübungen ist eine (kostenlose) Registrierung erforderlich.

Die Hackerübungen beginnen mit zehn sog. „Basic Missions“ mit steigendem Schwierigkeitsgrad über Aufgaben bei denen man Websites angreifen muss (Teilbereiche von Hackthissite, in die bestimmte Fehler eingebaut wurden), oder bei denen etwas programmiert, decodiert, manipuliert oder sonst wie gehackt werden muss bis hin zu anspruchsvollen „Spezialaufträgen“, die man erst präsentiert bekommt, wenn man alle zehn „Basic Missions“ erfolgreich abgeschlossen hat.

In einem Forum kann man sich mit anderen über die Inhalte der Hackeraufgaben sowie das dahinterstehende IT-Knowhow austauschen. Um anderen den Spaß nicht zu verderben, werden allerdings Lösungsleitfäden von der Forenadministration sofort gelöscht. Hinzu kommen Foren über zahlreiche weitere Themen rund um den kreativen Umgang mit Computern.

Alles in allem ist Hackthissite.org eine Mischung aus Fachinfothek und Forum für alle an der IT-Sicherheit Interessierten und einer Art Online-Spiel mit sehr realistischem Hintergrund zur Erprobung der eigenen Hackerfähigkeiten.

The unzip and run insecure J2EE web application… at least under windows…

WebGoat is a deliberately insecure J2EE web application maintained by OWASP designed to teach web application security lessons. In each lesson, users must demonstrate their understanding of a security issue by exploiting a real vulnerability in the WebGoat application. For example, in one of the lessons the user must use SQL injection to steal fake credit card numbers. The application is a realistic teaching environment, providing users with hints and code to further explain the lesson.

http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
http://code.google.com/p/webgoat/

Das Open Web Application Security Project (OWASP) ist eine weltweite Community, die sich mit der Entwicklung sicherer Webapplikationen befasst. Sie haben dazu umfängliche Materialien (in englisch) sowie selbstentwickelte Open-Source-Software ins Netz gestellt, mit der man sich autodidaktisch die nötigen Kenntnisse über sichere Webanwendungen erarbeiten kann.

Eines dieser Werkzeuge ist WebGoat. Dabei handelt es sich um eine J2EE-Webanwendung, die man sich runterladen und lokal installieren kann. In ihr wurden bewusst zahlreiche Sicherheitslücken eingebaut. WebGoat ist als Lernprogramm in Kapitel gegliedert, die sich mit gängigen Sicherheitslücken befassen. In jedem Kapitel gibt es praktische Übungen, in denen man versuchen kann, eine Sicherheitslücke auszunutzen und so eine bestimmte Angriffsart selber praktisch nachzuvollziehen. Auch der Quellcode von WebGoat ist verfügbar, so dass Entwickler die Applikation selbst zur Analyse auseinandernehmen können.

Der Name Goat („Bock“) wurde der Anwendung angeblich deshalb gegeben, da auch Entwickler gerne dazu neigen, bei Schwierigkeiten einen Sündenbock zu suchen. Hier ist einer.

Zu den mit WebGoat praktisch nachvollziehbaren Angriffsmethoden und Schwachstellen in Webanwendungen zählen:

•    Cross Site Scripting
•    Access Control
•    Thread Safety
•    Hidden Form Field Manipulation
•    Parameter Manipulation
•    Weak Session Cookies
•    Blind SQL Injection
•    Numeric SQL Injection
•    String SQL Injection
•    Web Services
•    Fail Open Authentication
•    Dangers of HTML Comments

Etliche der seit einiger Zeit von Bildungsträgern vermehrt und für vierstellige Beträge angebotenen „Hackerkurse“ benutzen u.a. WebGoat als Trainingsumgebung für Angriffe auf Webanwendungen. Auch ich habe das Tool auf diese Weise entdeckt. OWASP stellt es kostenfrei für die interessierte Fachwelt zur Verfügung, so dass man auch zuhause und ohne teures Seminar damit experimentieren kann.

Good afternoon everyone or at least those who share my timezone. We have a good bunch of interesting things to look at that were posted over the weekend. So here we go!

Mike Rothman posted some thoughts on the rapidly evolving Manage Security Services space. He likens it to the process banking went through. It’s an interesting read.

Jennifer Jabbusch shares a really good analogy with us regarding Logging, Correlation and IT Search. Very helpful for those times when you are trying to get across an inherently technical topic to a group of non-technical people.

Via Xavier at /dev/random a free and nifty looking tool.

HijackThis™ is a free utility which quickly scans your Windows computer to find settings that may have been changed by spyware, malware or other unwanted programs. HijackThis creates a report, or log file, with the results of the scan.

Security4all points us towards a video that gives us a introduction to XSS using Webgoat. The video is hosted at securitydistro.com.

By way of John M Willis, a pointer to an article on Network World, 20 great Windows open source projects you should get to know.

Richard Bejtlich shares his experience attending a Edward Tufte class on Presenting Data and Information. I have not read Edward’s stuff, but it is on my list to check out.

Jeff Lowder has an article up on BlogInfoSec.com about Agility and Risk Compensation. He has some interesting points about perceived risk and the actions that people take in light of their understanding of risk as it pertains to agility in business. He also points to a good article on wikipedia about Risk Compensation Theory. Both are worth a gander.

Well that’s it for now.

Have a good day.

Kevin

Technorati Tags: mss, logging, correlation, search, hijackthis, xss, webgoat, open source, powerpoint, presentation, risk compensation

Esse e’ mais um video usando o webgoat pra mostrar como fazer alguns ataques, todos os videos que estou fazendo serao mostrados no FGSL agora no dia 31 de maio na faculdade senac

Bom ainda estao sem narracao mas a ideia e que venham a ter

Abracos e ate’ algum post descente

Bom pessoas estou novamente tentando fazer um blog, agora algo mais especifico sobre seguranca em aplicacao web

Bom pro meu primeiro post vai um teste de alguns videos que estou fazendo sobre ataques em aplicacoes web

Abracos!

ps: Desculpem ainda nao configurei meu teclado novo

WebGoat is running on the eiqtestpc (192.168.128.31).

On startup tomcat starts up automatically (though only on port 8080 apparently, port 80 nothing seems to be running)

This prevents using the webgoat.bat (at c:\WebGoat-5.1) from starting up, it fails complaining that port is already in use. Though it is trying to start up on port 80.

Using regedit, webgoat.bat has been added in Registry->blahblah->Windows->CurrentVersion->Run. But this is currently not working, probably due to the problem noted above.

By default WebGoat does not allow remote login. This is due to the following setting in server.xml for port 80:

address=127.0.0.1

server.xml is recopied from server_80.xml everytime WebGoat is restarted. Hence modify server_80.xml and remove delete the above attribute and restart WebGoat. This should allow remote login.

The URL to login is localhost/WebGoat/attack. Username – guest, password – guest.

Note that for some reason the initial login HAS to be done from the localhost, then and then only the remote login seems to be enabled!!