JUG Łódź Warsztat

PROWADZI: Sebastian Chmielewski

Instrukcja przygotowania:

- sciągnać i zaimportować do VirtualBox 2 obrazy maszyn wirtualnych:

a) Kali Linux: https://images.offensive-security.com/virtual-images/kali-linux-2018.2-vbox-amd64.ova

b) aplikacja testowa: https://drive.google.com/open?id=1tHoGLeWkg2NCt5Uq3e9nsTMXoXktlsFn

Na warsztacie pokazuję jak przetestować aplikację Java wykorzystującą usługi REST pod kątem najpoważniejszych podatności na jakie natrafiam wykonując pentesty współczesnych aplikacji Java. Przejdziemy przez metodykę testowania od rekonensansu przez wykrywanie i potwierdzenie do wykorzystania ("exploitacji") podatności.

Pokazane będą przykłady podatności:

• insecure configuration
• improper error handling
• Server Side Request Forgery
• Spring Expression Language Injection
• SQL (ORM) Injection dla Hibernate
• XXE (eXternal Entity Expansion) przy przetwarzaniu XML
• JSON Deserialization vulnerability (zdalne wykonanie kodu w aplikacji z wykorzystaniem JSON-a)

Wykorzystywane narzędzie to darmowy OWASP ZAP oraz maszyny wirtualne Kali z

narzędziami oraz maszyna wirtualna z testową aplikacją (Spring Boot) uruchomioną w formie kontenerów Docker ("Dziurawy sklep").

Czas trwania: 3h