Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Präsentation zum Thema: "Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."—  Präsentation transkript:

1 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP http://www.owasp.org WATOBO Web Application Toolbox http://watobo.sourceforge.net Andreas Schmidt a.schmidt@siberas.de Stammtisch Stuttgart, 12.04.2010

2 OWASP 2 Agenda Überblick Motivation Funktionalität Vorteile gegenüber anderen Tools Roadmap Demo Fragen/Diskussion

3 OWASP Überblick Web Applikation Toolbox Für die Durchführung von semi-automatisierten Web- Audits GUI-Programm Nicht nur ein Command-Line-Tool Proxy-Basiert Ähnlich WebScarab, Burp oder Paros Implementiert in (FX)Ruby http://www.ruby-lang.org http://www.fxruby.org 3

4 OWASP Überblick Entwickelt für Windows Win32ole (internetexplorer.application) Unix/Linux-Unterstützung ungetestet! Active- und Passive-Checks Passive-Checks analysieren Daten bei normalen Surfen (z.B. Cookie-Security-Options) Active-Checks erzeugen aktiv Server-Anfragen (z.B. Bei SQL-Injection-Checks) 4

5 OWASP Überblick GNU Public License Version2 SourceForge-Project http://watobo.sourceforge.net 5

6 OWASP Überblick 6

7 OWASP Motivation Kosten/Nutzen-Verhältnis von kommerziellen (automatisierten) Scannern zu hoch Logik-Fehler werden nicht erkannt Automatisierter Scanner muss für optimale Ergebnisse angepasst bzw. richtig konfiguriert werden manuelle Begehung notwendig Fehlende Transparenz bei kommerziellen Scannern Check-Methoden werden geheim gehalten zu viel Voodoo 7

8 OWASP Motivation Manuelle Tools besitzen kein Session- Management Bei Rauswurf muss man sich erneut einloggen, oder die SessionID kopieren Manuelle Tools haben oft nur begrenzte automatisierte Funktionen Ausnahme: BurpSuite Pro ($$) Anpassen von Tools meist nur schwer möglich Fehlender Source-Code Ich mag Java nur in der Tasse ;) 8

9 OWASP Motivation Vorteile selbstprogrammierter Tools Leistungsfähigkeit und Grenzen können sehr gut eingeschätzt werden Kann schnell an neue Anforderungen angepasst werden Ein Tool, dass die Vorteile beider Welten (automatisiert/manuell) kombiniert 9

10 OWASP Funktionalität Session-Management!!! Erkennt Logout und führt automatisch ein Re-Login durch Optimierte GUI Filter-Funktionen Inline-Encoder/Decoder Schwachstellen-Scanner Quick-Scan für gezieltes Scannen einer URL Full-Scan zum Scannen einer ganzen Session 10

11 OWASP Funktionalität Manual Request Editor mit besonderen Funktionen Session-Informationen werden upgedated Login kann automatisiert durchgeführt werden Transcoder URL, Base64, MD5, SHA-1 Interceptor Fuzzer 11

12 OWASP Vorteile Kostenlos Stabil zumindest für eine 0.9er Version Open-Source Script-Code leicht zu verstehen Einfach zu erweitern/anzupassen An Real-World Szenarien getestet und entwickelt Geschwindigkeit/Usability FXRuby > Java Es ist von siberas ;) 12

13 OWASP Status === STATUS === Current Version: 0.9.1 Lines Of Code: 9216 Ruby Files: 74 13

14 OWASP Roadmap Erweiterung der Check-Module z.B. Enumeration-Checks (Verzeichnisse, Datei- Erweiterungen,...) Integration von anderen Open-Source-Tools, wie beispielsweise NIKTO WebServices/SOAP Unterstützung Parsing & Checks Erweiterung der Funktionen/GUI noch kein Ende in Sicht... zu viele Ideen ;) 14

15 OWASP Roadmap Dokumentation des Frameworks Integration von Source-Code-Analyse primär zum Verifizieren der Angriffsfläche 15

16 OWASP manual vs. automated 16

17 OWASP Demo start_watobo.rb 17

18 OWASP Fragen/Diskussion ? 18