VIRTUAL LABORATORY

Security in web applications and operating systems

Cieľom tohto laboratórneho cvičenia je preskúmať niektoré z hlavných zraniteľností (skrytá validácia polí, slabá identifikácia relácie) vo webových aplikáciách, preskúmať niektoré základné metódy vykonávania útokov a pochopiť pôvod týchto zraniteľností a ako sa im vyhnúť.

Čo sa naučíte v tomto cvičení

Cvičenie sa vykonáva pomocou aplikačného prostredia WebGoat, ktoré vyvinula organizácia OWASP (The Open Web Application Security Project) a ktoré je naprogramované v jazyku Java. Ide o výcvikovú aplikáciu, ktorá zámerne obsahuje rôzne formy zraniteľností. .

Druhou aplikáciou, ktorú budete v úlohe používať, je ZAP (Zed Attack Proxy) od Checkmarx. Ide o proxy aplikáciu, ktorá slúži ako medzivrstva medzi webovým prehliadačom a sieťovou službou operačného systému. Táto vrstva umožňuje analyzovať a manipulovať so správami pred ich odoslaním na cieľový server – webový prehliadač už nemá žiadny vplyv na obsah týchto správ.

Prebiehajúce úlohy sú

Spustenie prostredia WebGoat
Validácia parametrov (overovanie)
Skryté polia – analýza skrytých polí na webovej stránke
Skryté polia – úprava skrytých polí
Validácia polí na strane klienta – vyhľadávanie formulárov
Overovanie polí na strane klienta – obchádzanie overovania
Správa relácií a autentifikácia – identifikácia relácie pomocou súboru cookie
Správa relácií a autentifikácia – únos relácie

Maximálny čas na laboratórnu úlohu je 45 minút.

Etický hacking

Laboratoř není určena k vytvoření postupů a návodů na provádění kybernetických útoků. Cílem je demonstrativně najít a ukázat zranitelnosti současných počítačových a síťových technologií různými kybernetickými útoky. Ukázat, jak k takovým útokům dochází, a co se při nich odehrává a jaké jsou možnosti takovým situacím předcházet.

arrow_back BACK

OPEN LAB