Afgelopen vrijdag was Security.nl door het beveiligingsbedrijf Certified Secure uitgenodigd om eens aan de Hacker Mindset workshop deel te nemen. De workshop is een vast onderdeel van de certificeringen die het bedrijf aanbiedt. In een Haags gamecafé zouden we in vier uur leren "hoe hackers tegen beveiliging aan kijken." Dat hackers daar niet veel voor nodig hebben bleek wel uit het vereiste niveau, "ervaring met internet browsen" zou namelijk voldoende zijn. We worden niet "blind" aan het hacken gezet. De workshop volgt namelijk een verhaallijn. Er is een “evil organisatie” die een virus heeft gekocht en het is aan ons om de organisatie te stoppen en de wereld te redden.
Om dat doel te bereiken moesten we drie websites hacken, met als hoogtepunt het kraken van iemand z'n e-mailaccount, en dan niet op de Jack de Vries manier. Het begint met een website, waarop het eerste gezicht niets mis mee lijkt. We willen de site een foutmelding laten genereren, zodat we meer informatie en mogelijke zwakke plekken kunnen achterhalen. Hiervoor blijkt het bekijken van de broncode van de pagina de eerste stap. Met de aanwezige informatie lukt het ons om een foutmelding op de pagina te veroorzaken en dan begint het "spel". Al snel is iedereen druk aan het "pielen" met quotes, backslashes en wat niet meer. Via directory traversal proberen we in directories te komen waar we eigenlijk niet thuishoren. Op deze manier kunnen we toegang tot bestanden krijgen die afgeschermd horen te zijn, met de nadruk op horen.
I read your e-mail
De tweede website is al een stuk pittiger, en om het plot niet te verraden zullen we niet al teveel details weggeven, maar het komt erop neer dat we via SQL injectie met allerlei SQL commando's bezig gaan. Via SQL kun je met de database van een website communiceren. Denk aan het achterhalen van vertrouwelijke informatie in elke vorm mogelijk. Helaas voor de redactie moest de kennis van select statements weer even afgestoft worden.
De laatste pagina moeten we via cross-site scripting proberen te vellen. Hoe kun je de browser van het slachtoffer gebruiken om allerlei narigheid mee uit te voeren. In dit geval gaat het om een kwaadaardige organisatie, dus dat sust het geweten. Voor deze aanval maken we een geprepareerde link en hopen dat het slachtoffer die opent. Veel mensen, ook die zich met IT-beveiliging bezighouden, beseffen vaak niet de impact die XSS kan hebben. Uiteindelijk wacht het e-mailaccount van “mister evil”, maar dat is dan ook het enige dat we erover kwijt willen.
Vier uur later…
Na een workshop van vier uur ben je natuurlijk geen volleerd hacker, het laat je wel proeven wat een aanvaller allemaal kan doen en welke situaties je echt wil vermijden. Vanuit die awareness kun je dan verder kijken wat mogelijk is. De workshop kan voor mensen die helemaal niets van beveiliging weten aan de (te) pittige kant zijn. Een "gezonde interesse in digitale beveiliging", zoals op de website te lezen is, is dan ook geen overbodige luxe. Aan de andere kant zou je dan ook niet deze tekst gelezen hebben.
Prijsvraag
Security.nl geeft onder haar lezers een workshop ter waarde van 250 euro weg. De workshop vindt plaats op donderdag 12 februari. Om kans te maken kun je het antwoord op onderstaande vraag t/m 2 februari sturen naar prijsvraag@security.nl.
Wat is geen module van de Certified Secure Web Application Programmer certificering?
A. Hacker Mindset
B. Web Security Principles
C. Security Aware Programmer
D. Web Hacking Principles
Over de uitslag wordt niet gecorrespondeerd. De prijsvraag staat alleen open voor geregistreerde gebruikers van Security.NL. Medewerkers van Security.NL zijn uitgesloten van deelname.
Deze posting is gelocked. Reageren is niet meer mogelijk.