HARD CORE SECURITY LAB

Firma Mavituna Security opublikowała darmowe narzędzie do przeprowadzania w pełni zautomatyzowanych, ofensywnych testów bezpieczeństwa aplikacji internetowych. Jak twierdzą sami twórcy, WebRaider za pomocą jednego kliknięcia myszką pozwala nam na przejęcie całkowitej kontroli nad docelowym systemem. Warto więc z pomocą tego narzędzia przetestować własne serwisy, zanim zrobią to za nas crackerzy...

Sztandarowym produktem firmy Mavituna Security jest Netsparker (Next Generation Web Application Security Scanner). Program ten jest zaawansowanym środowiskiem do automatycznego wykrywania błędów w zabezpieczeniach serwisów internetowych, niezależnie od zastosowanych w ich ramach technologii. Netsparker jest jednak w stanie nie tylko wykryć luki bezpieczeństwa obecne w docelowym serwisie, ale również w sposób automatyczny wykorzystać (ang. exploit) ich obecność do wykonania testowego włamania. W taki oto sposób Ferruh Mavituna z firmy Mavituna Security zaprezentował nam możliwość uzyskania dostępu do systemowej konsoli serwera za pomocą automatycznego wykorzystania podatności typu SQL Injection:



Nikt już nie ma pewnie wątpliwości co do możliwości tego oprogramowania, niestety cena Netsparkera może ostudzić nasz entuzjazm, gdyż roczna subskrypcja to koszt 3000 USD.

Tymczasem firma Mavituna Security opublikowała darmowe narzędzie (WebRaider) pozwalające na wykonywanie podobnych testów bezpieczeństwa serwisów internetowych. Program ten pozwala na automatyczne uzyskanie dostępu do systemowej konsoli serwera w przypadku odnalezienia w docelowym systemie podatności SQL Injection. Oto w jaki sposób prezentują możliwości WebRaidera sami jego twórcy:


WebRaider pozwala nam więc na przejęcie kontroli nad dziurawym docelowym systemem za pomocą jednego kliknięcia! Sama zasada działania jest natomiast bardzo prosta i polega na przesłaniu za pomocą specjalnie spreparowanego zapytania kodu, którgo zadaniem jest nawiązanie z nami połączenia zwrotnego. Więcej szczegółów na temat samego WebRaidera można odnaleźć w dokumencie przygotowanym przez Ferruha Mavituna. Sam program można natomiast pobrać pod tym adresem (program ten prawdopodobnie wzbudzi podejrzenia większości programów antywirusowych). Jak przyznają sami autorzy, WebRaider został napisany niedbale (powstał jako weekendowa rozrywka) i należy go traktować wyłącznie jako przykład typu Proof of Concept. Nie mniej jednak, warto przetestować za jego pomocą własne aplikacje...