Kyberbezpečnost, bezpečnost IoT a další bezpečnostní termíny jsou skloňované čím dál tím častěji. Souvisí s nimi také školení, která mají internetové profesionály na problémy a problematické situace s internetovou bezpečností připravit. Jedním takovým je školení od společnosti SANS, které patří celosvětově mezi nejprestižnější a nejvyhledávanější. Společnost SANS nabízí celou řadu těchto školení. Konkrétně jedno z nich nese název SEC542: Web App Penetration Testing and Ethical Hacking.
Úvod je věnovaný základní problematice, tedy takzvanému “Intofmation gathering”. Účastníci zjistí, jaké všechny informace mohou získat pomocí nástroje „whois“. Pomocí proxy nástrojů „ZAP“ a „BurpSuite“, se dostanou do komunikace mezi prohlížečem a webovým serverem, kterou poté mohou libovolně upravovat a při tom si vyzkoušet různé útoky na webový server. Nástroje neumožňují pouze manipulovat s HTTP komunikací, ale jsou také schopné automaticky procházet weby, objevit známe zranitelnosti na stránkách, automaticky vyplňovat přihlašovací pole podle slovníků a plno dalších užitečných funkcí.
V další části školení na účastníky čekají příklady spojené s problematikou konfigurace serveru a autentizací klientů. Prostor dostane také nástroj „nikto“, který hledá základní konfigurační chyby u vlastních webových aplikací a serverů. Například dokáže vyhledat dosud neodstraněné základní instalační soubory na serveru, a zjišťuje, jestli je bezpečně nastavená hlavička odpovědi serveru podle aktuálních standardů.
Na to navazuje kapitola věnovaná práci s webem, a to konkrétně hledání citlivých informací. Například v nesmazaných konfiguračních souborech, poznámkách v html kódu nebo metadatech. Lektor posluchačům ukazuje různé druhy autentizace, jejich výhody, nevýhody a způsoby zneužití.
Přibližně v půlce kurzu dostane slovo správa relace, která slouží k tomu, aby webový prohlížeč věděl, jaký uživatel je zrovna přihlášený. Posluchači se tak naučí způsoby, jak je možné vytvářet relace, sledovat je a zneužívat.
Potom následuje část týkající se útoku typu SQL injection. Tento typ využívá neošetřeného vstupu do webové aplikace, při které pomocí SQL příkazů umožní útočníkovi získat přístup k citlivým datům uživatelů uložených v dané databázi, v nejhorším případě dokonce k přihlašovacím údajům.
Postupně se dostane i na problematiky „Cross-Site Scripting (XSS)“, základní strukturu modelu DOM, politiku Same-Origin-Policy a „Cross-Site Request Forgery (CSRF)“. Útok XSS má za cíl podstrčit škodlivou část javascriptu do html stránek, které se pak spustí v prohlížeči návštěvníků. Každého milovníka XSS zranitelností, pak potěší seznámení s nástrojem BeEF. Jedná se o framefork, který obsahuje již předpřipravenou sadu útočných javascriptů. V tomto případě může jednoduše útočník přes uživatelské rozhraní napadnout uživatele zranitelné webové aplikace. Příkladem útoků může být zobrazení upozornění, že je nutné aktualizovat webový prohlížeč. Místo slíbené aktualizace, by v případě reálného útoku proběhla instalace malwaru.
Závěr kurzu je věnován psaní finální zprávy, která je důležitou částí samotného penetračního testování. Ve zprávě je nutné popsat, jakým způsobem daný problém vyřešit. Dokument slouží nejen k vyřešení nahlášených zranitelností, ale je v něm také uvedeno, jak otestovat danou zranitelnost, aby každý, kdo si objedná penetrační testy, byl schopný po odstranění nalezených zranitelností ověřit, zda opravdu došlo k jejich opravení. Schopnost pentestera psát finální zprávu je stejně důležitá jako schopnost umět najít zranitelnosti na webu.
Pokud se absolvent kurzu rozhodne získat certifikát, je nutné během následujících čtyř měsíců absolvovat certifikační zkoušku. K dispozici jsou dva zkušební testy, pro jejichž absolvování je povoleno používat veškeré studijní materiály ze školení, pochopitelně včetně vlastních poznámek. Test je tvořený z oblastí, které byly probírány v průběhu týdenního školení.
Kurz SEC542: Web App Penetration Testing and Ethical Hacking má svoji cenu a ta není nijak nízká. Absolvování týdenního školení stojí přibližně sto padesát tisíc korun. Této částce ale odpovídá jak úroveň přednášejících, tak rozsah teoretické i praktické části. Závěrečný test je potom velice náročný, jak obsahově, tak časově. Absolventi jsou ale považováni za skutečné odborníky, kteří se velice dobře vyznají v dané oblasti. Protože posilování schopností bezpečnostních týmů v oblasti kybernetické bezpečnosti je jedním z cílů projektu Strengthening cyber-security capacities in the Czech Republic, spolufinancovaném Nástrojem Evropské unie pro propojení Evropy, mohl jsem se tohoto školení zúčastnit. V rámci uvedeného projektu pak vznikl i tento článek.