Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP WATOBO Web Application Toolbox Andreas Schmidt Stammtisch Stuttgart,
OWASP 2 Agenda Überblick Motivation Funktionalität Vorteile gegenüber anderen Tools Roadmap Demo Fragen/Diskussion
OWASP Überblick Web Applikation Toolbox Für die Durchführung von semi-automatisierten Web- Audits GUI-Programm Nicht nur ein Command-Line-Tool Proxy-Basiert Ähnlich WebScarab, Burp oder Paros Implementiert in (FX)Ruby 3
OWASP Überblick Entwickelt für Windows Win32ole (internetexplorer.application) Unix/Linux-Unterstützung ungetestet! Active- und Passive-Checks Passive-Checks analysieren Daten bei normalen Surfen (z.B. Cookie-Security-Options) Active-Checks erzeugen aktiv Server-Anfragen (z.B. Bei SQL-Injection-Checks) 4
OWASP Überblick GNU Public License Version2 SourceForge-Project 5
OWASP Überblick 6
OWASP Motivation Kosten/Nutzen-Verhältnis von kommerziellen (automatisierten) Scannern zu hoch Logik-Fehler werden nicht erkannt Automatisierter Scanner muss für optimale Ergebnisse angepasst bzw. richtig konfiguriert werden manuelle Begehung notwendig Fehlende Transparenz bei kommerziellen Scannern Check-Methoden werden geheim gehalten zu viel Voodoo 7
OWASP Motivation Manuelle Tools besitzen kein Session- Management Bei Rauswurf muss man sich erneut einloggen, oder die SessionID kopieren Manuelle Tools haben oft nur begrenzte automatisierte Funktionen Ausnahme: BurpSuite Pro ($$) Anpassen von Tools meist nur schwer möglich Fehlender Source-Code Ich mag Java nur in der Tasse ;) 8
OWASP Motivation Vorteile selbstprogrammierter Tools Leistungsfähigkeit und Grenzen können sehr gut eingeschätzt werden Kann schnell an neue Anforderungen angepasst werden Ein Tool, dass die Vorteile beider Welten (automatisiert/manuell) kombiniert 9
OWASP Funktionalität Session-Management!!! Erkennt Logout und führt automatisch ein Re-Login durch Optimierte GUI Filter-Funktionen Inline-Encoder/Decoder Schwachstellen-Scanner Quick-Scan für gezieltes Scannen einer URL Full-Scan zum Scannen einer ganzen Session 10
OWASP Funktionalität Manual Request Editor mit besonderen Funktionen Session-Informationen werden upgedated Login kann automatisiert durchgeführt werden Transcoder URL, Base64, MD5, SHA-1 Interceptor Fuzzer 11
OWASP Vorteile Kostenlos Stabil zumindest für eine 0.9er Version Open-Source Script-Code leicht zu verstehen Einfach zu erweitern/anzupassen An Real-World Szenarien getestet und entwickelt Geschwindigkeit/Usability FXRuby > Java Es ist von siberas ;) 12
OWASP Status === STATUS === Current Version: Lines Of Code: 9216 Ruby Files: 74 13
OWASP Roadmap Erweiterung der Check-Module z.B. Enumeration-Checks (Verzeichnisse, Datei- Erweiterungen,...) Integration von anderen Open-Source-Tools, wie beispielsweise NIKTO WebServices/SOAP Unterstützung Parsing & Checks Erweiterung der Funktionen/GUI noch kein Ende in Sicht... zu viele Ideen ;) 14
OWASP Roadmap Dokumentation des Frameworks Integration von Source-Code-Analyse primär zum Verifizieren der Angriffsfläche 15
OWASP manual vs. automated 16
OWASP Demo start_watobo.rb 17
OWASP Fragen/Diskussion ? 18