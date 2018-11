Web-apps zijn de zichtbaarste voordeur van je bedrijf en zijn vaak gebouwd zonder dat er primair naar beveiliging is gekeken. Je zorgen maken over een hardwarehype als Spectre of Meltdown is spannend en trendy, maar terwijl je een gracht graaft rondom je fort, loopt iemand vrolijk over de ophaalbrug naar binnen met een SQL-injectie of cross-site scripting.

Het open en vrije Open Web Application Security Project (OWASP), bekend van onder meer zijn jaarlijkse top tien kwetsbaarheden die zich het meest voordoen in web-applicaties (PDF), is een project gestart om mensen meer praktische kennis te geven over deze kwetsbaarheden.

De applicatie met de toepasselijke naam Damn Vulnerable Web Application is speciaal gebouwd voor jouw pentestplezier. Download OWASP's Zed Attack Proxy (ZAP, een vrij en gratis alternatief voor Burp Suite), configureer een browser om verkeer door ZAP te leiden en val direct een paar kwetsbare applicaties aan.

De Damn Vulnerable Web Application is een goede plek om te beginnen. Vrijwel elke aanvalsvector die je kent van web-appicaties zijn hierin verwerkt, waardoor je een beeld krijgt van het laaghangend fruit waar aanvallers op mikken. Voordat je begint, kun je lessen krijgen van de Security Shepherd die je op weg helpen. In die VM zie je namelijk tutorials over SQL-injectie, XSS, CSRF en vele andere oorzaken van lekkende apps en websites.

Je moet een paar dingen installeren voordat je web-apps kunt gaan breken. Een gratis configuratie ziet er als volgt uit: download en installeer VirtualBox en download de Broken Web Applications VM (een .ova-bestand). Importeer de .ova (Bestand > Appliance importeren) en zorg ervoor dat de netwerkinstellingen op 'host-only' staan (Instellingen > Netwerk). Je wilt deze kwetsbare applicaties natuurlijk niet openstellen naar buiten toe. Start de VM, log in en draai ifconfig om het IP-adres te vinden.

Tik vervolgens dat adres in de browser om zeker te maken dat de VM juist is geconfigureerd. Start daarna ZAP en accepteer de standaard-installatie om te starten. Configureer de proxy-instellingen van je browser om naar localhost poort 8080 te verwijzen. Vergeet niet de instellingen te herstellen als je klaar bent en gebruik bij voorkeur een alternatieve browser die je niet dagelijks gebruikt.

Lezers die Burp Suite kennen zullen misschien op dit moment opmerken dat die tool veruit superieur is aan ZAP. Maar deze is ook niet gratis. Voor beginners is het makkelijker om een grayis tool te gebruiken om de basics onder de knie te krijgen om vervolgens over te stappen naar Burp, zodat de leercurve niet zo steil is.

Via ZAP kun je MitM-aanvallen uitvoeren op de web-apps om verkeer te onderscheppen en te monitoren. Het programma automatiseert het testen en genereert zelf aanvalscode. Hij maakt code aan op basis van de XSS-les van de Security Shepherd en je kunt deze code knippen en plakken in de kwetsbare web-app. Dit is inderdaad een simpele aanval, maar eerlijk gezegd is dat het punt: dit is een aanval die iemand met weinig vaardigheden in een paar uur kan opzetten en leren, dus het is belangrijk te weten hoe je scriptkiddies de pas af kunt snijden.

Het is eenvoudig om een webapplicatie te bouwen, maar een stuk moeilijker om ze te beveiligen. Het zelf hacken van webapplicaties is een goede stap om te leren te pentesten. Je leert waardevolle lessen door een paar dagen met deze VM te spelen. Ik kijk ook naar jullie: beleidsmakers, juristen, journalisten. Voor management en bestuurders is het belangrijk om te zien hoe rudimentair hacken vaak is.