Der Schutz der eigenen Webseiten vor An- und Übergriffen kostet entweder viel Geld oder erfordert viel Fachwissen. Die Security-Suite Dojo vermittelt Letzteres.
Der Sicherheitsaspekt von Rechnern und Webseiten rückt aus vielfältigen Gründen immer stärker in den Fokus von Anwendern und Firmen. Immer raffiniertere Angriffe, aber auch die stetig steigenden Überwachungsambitionen der Behörden mithilfe von Staatstrojanern und anderer Schadsoftware sorgen für Verunsicherung.
Eine effiziente Absicherung des Systems überfordert aufgrund der thematischen Komplexität viele Nutzer. Dem möchte das US-Unternehmen Maven Security Consulting Inc. [1] mit der Lern- und Trainingsumgebung Web Security Dojo abhelfen, die interessierten Einsteigern das Rüstzeug mithilfe praxisbezogener Übungen vermittelt. Die Entwickler machen ausdrücklich darauf aufmerksam, dass sich Dojo nicht für den Produktiveinsatz eignet – dafür empfehlen sie eher Backtrack beziehungsweise dessen Nachfolger Kali Linux [2].
Erster Start
Dojo steht als rund 2,3 GByte großes Image im OVA-Format auf Sourceforge zum Herunterladen bereit [3]. Die Virtual Appliance eignet sich sowohl für VirtualBox ab Version 5.0 als auch für Vmware. Nach dem Herunterladen des Images binden Sie die Testumgebung in Virtualbox ein, indem Sie über das Menü Datei | Appliance importieren… im neu geöffneten Dialog den Speicherpfad für die OVA-Datei angeben und anschließend aus der Appliance heraus eine neue virtuelle Maschine anlegen (Abbildung 1).
Abbildung 1: Das Image legt eine komplett vorkonfigurierte virtuelle Maschine an.
Danach steht die virtuelle Maschine in VirtualBox als Dojo 3.0 bereit. Nach dem Booten startet das auf Xubuntu 16.04 basierende 32-Bit-System zügig in einen XFCE-Desktop (Abbildung 2). Den Dialog zur deutschen Lokalisierung erreichen Sie über Settings | Language Support. Zum Ändern der Spracheinstellungen authentifizieren Sie sich mit dem voreingestellten Passwort dojo. Da die virtuelle Maschine automatisch auch einen Internet-Zugang einrichtet, benötigt sie keine weiteren Einstellungen, um die notwendigen Daten herunterzuladen.
Abbildung 2: Der XFCE-Desktop von Dojo wirkt alles andere als friedlich.
Nach dem Download ziehen Sie in der Liste der Sprachen den Eintrag Deutsch per Drag & Drop an die erste Stelle und klicken danach auf apply systemwide. Nach einer Neuanmeldung erscheinen Menüs und Starter weitgehend in deutscher Sprache. Nun ändern Sie noch das Tastaturlayout über das Menü Einstellungen | Tastatur, wo Sie den Reiter Tastaturbelegung auswählen und die deutsche Variante hinzufügen.
Bereits ein erster Blick ins Startermenü oben links zeigt die Spezialisierung der Distribution: So enthält Dojo zwar die üblichen Hauptgruppen, aber zusätzlich die zwei Ordner Tools und Targets. Firefox 53 enthält bereits viele dem Systemzweck dienende Addons, Chromium 58 befindet sich als zweiter Webbrowser für weniger leistungsstarke Hardware mit an Bord.
Positiv fällt auf, dass sich der Hersteller mit der Dokumentation der Tools und des Systems sehr große Mühe gegeben hat. So finden Sie nicht nur reichlich PDF- und HTML-Dateien zu einzelnen Werkzeugen im Untermenü Documentation, sondern auch Videoanleitungen bei Youtube [3]. Diese erleichtern vor allem Einsteigern die Installation und das erste Kennenlernen des Systems.
Start und Ziel
Die virtuelle Lernumgebung zeichnet sich im Vergleich zu anderen Security-Distributionen durch vielfältige, als Angriffsziel konfigurierte Dienste aus. Dadurch müssen Sie nicht erst den Zielrechner mit entsprechenden Applikationen ausstatten, die zudem für den Einsatzzweck manuell anzupassen wären. Die im Unterverzeichnis Targets aufgeführten Dienste decken dabei einen großen Bereich möglicher Angriffsszenarien ab. Einige Target-Dienste sind voreingestellt bereits aktiv, viele müssen Sie jeweils manuell starten.
Die Firefox-Startseite enthält Verknüpfungen zu weiteren Werkzeugen und Dokumentationen. Um die Dienste aus Targets zu verwenden, bedarf es bei einigen webbasierten Applikationen eines entsprechenden Proxy-Diensts. Den finden Sie bereits fertig angepasst als Firefox-Addon in dessen Button- und Adressleiste (Abbildung 3). Da Targets und Tools auf dem gleichen System bereits vorhanden sind, benötigen Sie für die Lektionen keine aktive Internet-Verbindung.
Abbildung 3: Die für einige Anwendungen erforderlichen Proxy-Dienste bringt Dojo in Form von Firefox-Addons vorkonfiguriert mit.
Anwendung
Den Dreh- und Angelpunkt der primär auf die Sicherheit webbasierter Anwendungen fokussierenden Distribution bildet Firefox. Sie erhalten zunächst grundlegende Informationen in Gestalt von Kurzübersichten durch die beiden Dateien README.html und GettingStarted.html auf dem Desktop.
Firefox bietet beim Start jeweils als erste Option den Aufruf der DVWA-Seite. Das Kürzel steht für Damn Vulnerable Web Application [4], eine vorkonfigurierte Testumgebung, die den Anwender mit verschiedensten Schwachstellen in Webapplikationen vertraut macht (Abbildung 4). Im DVWA-Fenster melden Sie sich mit dem Nutzernamen admin und dem Passwort password an.
Abbildung 4: Mit DVWA verschaffen Sie sich einen ersten Überblick über Angriffsszenarien.
Im Menü links finden Sie verschiedenste Angriffstechniken, wie etwa Cross Site Scripting (XSS), SQL Injection, CSRF-Angriffe oder auch Attacken per Brute Force. Zu den jeweiligen Szenarien erhalten Sie entsprechende Hintergrundinformationen in Form von Verweisen auf dazugehörige Webseiten und Wikis. Zusätzlich integriert die Seite einige generelle Informationen zum Nutzen der Testumgebung auf der Startseite und unter Instructions.
Neben DVWA verfügt Dojo über weitere Tools für fortgeschrittenere Angriffsszenarien. Dazu zählt beispielsweise die Java-Applikation Webgoat, die zum OWASP-Projekt gehört [5]. Sie starten Webgoat über das Skript WebGoat NG Start im Menü Targets. Anschließend klicken Sie in Firefox auf den Webgoat-Link in der Startseite. Es öffnet sich eine Login-Maske, in der Sie sich mit guest als Nutzername und Passwort authentifizieren.
Die Applikation bietet eine kurze Einführung und listet verschiedenste Testszenarien in einer vertikalen Laufleiste am linken Bildschirmrand (Abbildung 5). Teils fassen Untergruppen einzelne Kategorien zusammen. So finden Sie beispielsweise unter Authentication Flaws unterschiedliche Tests zu Authentifizierungsschwachstellen.
Abbildung 5: Webgoat eignet sich eher für bereits fortgeschrittene Anwender.
Am oberen Bildschirmrand gibt es mehrere Schalter. Ein Klick auf Show Solution zeigt die Lösung eines Szenarios an, mit Show Hints erhalten Sie Hinweise zum Lösen der Aufgabe, und Show Plan liefert didaktische Informationen. Show Source macht Sie mit dem Quellcode vertraut, Restart Lesson startet die aktive Aufgabe nochmals. WebGoat NG Stop aus dem Menü stoppt den Dienst.
Bei Gruyere von Google und Hacme Casino von McAfee handelt es sich um zwei weitere Werkzeugsammlungen zum Erlernen von Schutztechnologien für Webseiten. Diese müssen Sie ebenfalls manuell über das Menü Targets starten, bevor die entsprechenden Webseiten in Firefox bereitstehen. Das nach einer Schweizer Käsesorte benannte Gruyere bildet verschiedene typische Methoden zum Hacken einer Webseite ab und macht Sie dabei mit Lösungen vertraut, die solche Angriffe verhindern.
Hacme Casino dagegen wirkt zunächst außerordentlich verspielt und bildet optisch eine Gambling-Webseite nach. Anhand dieser praxisnah gestalteten Webseite lassen sich jedoch gängige Angriffstechniken nachvollziehen. Dazu steht ein ausführliches Handbuch in englischer Sprache mit vielen Praxisbeispielen zum Herunterladen bereit [6], das auch Einsteigern die relevanten Technologien vor Augen führt und damit einen Beitrag zum Absichern der eigenen Webseite leistet.
Im Untermenü Tools finden Sie verschiedenste Werkzeuge und Scanner für die eigene Recherche. Hierzu zählen der Security-Scanner Arachni, das Browser-Exploitation-Framework BeEF, das Metasploit-Framework sowie das W3af-Framework inklusive einer Kommandozeilenvariante. Auch Dirbuster, eine in Java geschriebene Applikation für Brute-Force-Attacken, und die Burpsuite inklusive des dazugehörigen vorkonfigurierten Proxy-Servers finden sich in diesem Menü. Reine Kommandozeilen-Applikationen wie Skipfish, Sqlmap oder Skavenger Shell runden das Portfolio ab. Die für die Anwendungen benötigten Proxy-Einstellungen liegen in Firefox bereits vor.
Dokumentation
Insbesondere Einsteiger benötigen für die komplexen Sicherheitsthemen zwingend eine möglichst praxisbezogene Dokumentation. Dafür stellten die Entwickler von Dojo im Ordner Documentation die Anleitungen für die wichtigsten Suiten und Frameworks zusammen. Diese können Sie inklusive einiger Dokumente des OWASP-Projektes als PDF- oder HTML-Datei lokal aufrufen. Zusätzlich finden Sie teilweise auch in einzelnen Applikationen ausführlichere Anleitungen. Für eigene Notizen steht das Desktop-Wiki Zim bereit, das Sie per Klick auf das gleichnamige Desktop-Icon starten.
Fazit
Web Security Dojo bietet eine hervorragende Schulungsmöglichkeit für angehende Sicherheitsspezialisten, die sich mit den grundlegenden Mechanismen zur Absicherung von Web-Applikationen vertraut machen möchten. Das OVA-Abbild lässt sich schnell installieren, der XFCE-Desktop leicht einrichten. Da die Entwickler die Werkzeuge inklusive bewusst unsicherer Umgebungen vollständig und sehr sorgfältig ihrem Einsatzzweck entsprechend angepasst haben, können Sie direkt mit praktischen Übungen loslegen.
Glossar
-
Dojo
-
Als Dojo (jap.: Ort des Wegs) bezeichnet man einen Trainingsraum für verschiedene japanische Kampfkünste (Budo), wie etwa Karate, Judo, Kendo, Jujutsu oder Aikido.
Infos
-
Maven Security Consulting: https://www.mavensecurity.com
-
Kali Linux: https://www.kali.org
-
Dojo: https://sourceforge.net/projects/websecuritydojo/files/
-
DVWA: http://www.dvwa.co.uk
-
OWASP: https://www.owasp.org
-
Hacme-Casino-Handbuch: https://github.com/spinkham/Hacme-Casino/blob/master/install/userguide/HacmeCasino_UserGuide.pdf
