МЕТОДИЧНА РОЗРОБКА

для проведення лабораторного заняття

Моніторинг поточного функціонування ІТ систем і мереж

Мета і завдання практикуму - отримання навичок роботи з

аналізатором трафіку Wireshark і платформою Burpsuite, знайомство з атакою
Man - in - the - Middle.
Практичні завдання:
- знайомство із структурою мережевих пакетів;
- отримання навичок роботи в снифферах на прикладі Wireshark і
Burpsuite.
Дослідницькі завдання:
- провести аналіз сценаріїв MitM -атак на веб-застосування;
- розробити методи захисту веб-застосування від цього виду атак.
Підготовка до практикуму
При підготовці лабораторній роботі необхідно:
- утямити цілі і завдання;
- вивчити теоретичний матеріал, приведений в описі, а також в [7-
9].
Теоретичний матеріал
Ця практична робота показує, до яких наслідків може привести доступ
до трафіку третіх осіб. Сюди ж можна віднести використання невідомих Wi -
Fi мереж для виходу в Інтернет (наприклад, в кафе, готелі, аеропорту), а
також інші методи отримання елементів мережевого трафіку. Йдеться про
шкідливе програмне забезпечення, яке може бути встановлене на комп'ютері
жертви і може передавати чутливу інформацію (логіни, паролі, cookies)
зловмисникам.
Для аналізу мережевого трафіку використовуються снифферы -
програми або програмно-апаратні комплекси. У цій роботі розглядається
Wireshark [7] як інструмент для перегляданню пакетів і Burpsuite [8] як
інструмент модифікації трафіку. На мал. 2.1 показаний логотип Burpsuite.

Мал. 2.1. Логотип Burpsuite

Як відомо, для передачі даних в мережі Інтернет на прикладному рівні

використовується протокол HTTP. Це текстовий протокол, який не містить
шифрування, і усі передавані дані можуть бути використані при
перехопленні. Для створення шифрованого підключення використовується
протокол HTTPS. Великі сайти вже у більшості перейшли на цей протокол,
але залишається велика кількість середніх і дрібних сайтів, які все ще
використовують небезпечний протокол.
Burpsuite може бути використаний для реальної атаки MitM [9], при
якій відбувається ARP -спуфинг і комп'ютер жертви передає трафік не
роутеру, а на комп'ютер зловмисника. При цьому зловмисник стає елементом
передачі трафіку між жертвою і роутером, звідси і сталася назва атаки. Даний
приклад показує, яким чином можуть бути використані викрадені значення
cookies. Навіть при використанні HTTPS -соединения cookies можуть бути
скомпрометовані. Пов'язані з цим XSS -атаки будуть розглянуті в окремій
практичній роботі.
Для використання Burpsuite в режимі проксі необхідно настроїти
браузер, щоб він передавав увесь трафік через Burpsuite. Для цього треба в
налаштуваннях проксі у браузері вказати HTTP проксі 127.0.0.1, порт 8080
(за умовчанням, саме такий порт використовується в Burpsuite). Відповідне
вікно налаштування браузеру показане на мал. 2.2.

Мал. 2.2. Налаштування проксі у браузері

За умовчанням Burpsuite перехоплює тільки витікаючі пакети. Треба

також додати перехоплення відповідей від сервера, встановивши галочку
біля «Intercept responses based on following rules» на вкладці «Options». Вікно
налаштування показане на мал. 2.3.
 Мал. 2.3. Налаштування опцій перехоплення пакетів

Хід роботи
1. Згадати якомога більше сайтів, на яких Ви маєте аккаунт. Можливо,
Вам здасться, що Ви маєте тільки аккаунти у великих соціальних мережах і
поштові аккаунти. Напевно Ви забули про форуми, невеликі онлайн-
магазини і інші тематичні сервіси. Складіть список, щоб не забути.
2. Перевірте, які з цих сайтів не використовують протокол HTTPS.
Якщо Ви виявилися рідкісним щасливчиком, який не реєструється на сайтах
з небезпечним протоколом передачі даних, то Ви можете використати
встановлений DVWA або зареєструватися на будь-якому сайті з протоколом
HTTP.
3. Запустіть Wireshark з правами адміністратора і виберіть той
інтерфейс, який Ви використовуєте для підключення до мережі Інтернет.
Аналіз трафіку почався. Ви можете бачити безліч пакетів, які в даний момент
Вас не цікавлять. Вікно Wireshark показане на мал. 2.4.
Для показу пакетів, що цікавлять, використовується механізм
фільтрації. Виклик вікна налаштування фільтрів відбувається по натисненню
кнопки «Expression.». у верхній частині робочого вікна. Фільтри розбиті по
протоколах. В даний момент цікавлять HTTP -пакети, виберіть відповідний
пункт «HTTP - Hypertext transfer protocol». Вікно з можливими
властивостями показане на мал. 2.5.
 Мал. 2.4. Пакети в Wireshark без фільтру

Мал. 2.5. Властивості HTTP - пакету для використання у фільтрі

 Існує набір різних ідентифікаторів приналежності для зв'язку імен
властивостей і їх значень. Для показу пакетів, які пов'язані з конкретним
сайтом, можна використати фільтр http.host contains sitename, де sitename -
ім'я сайту. Після створення фільтру натисніть кнопку «Apply». Рядок
налаштування фільтру показаний на мал. 2.6.

Мал. 2.6. Рядок налаштування фільтра

4. Авторизуйтеся на сайті. Якщо Ви вже були авторизовані на сайті,

завершіть сесію і авторизуйтеся наново.
5. Знайдіть в Wireshark пакет, в якому Ви відправили на сервер Ваші
логін і пароль. Якщо пакетів надто багато, можна розширити фільтр, щоб
скоротити кількість пакетів, що відображаються. Приклад пакету з логіном і
паролем показаний на мал. 2.7.

Мал. 2.7. Пакет з логіном і паролем

6. Тепер, коли Ви знайшли пакет зі своїм логіном і паролем, Ви

розумієте, що означає передавати дані по незашифрованому каналу. Уявіть,
що так само за Вашим трафіком стежить зловмисник. Подумайте, до чого це
може привести.
Таку ж функціональність має і Burpsuite, проте він ще надає
можливості по підміні трафіку. У цій роботі пропонується використання
Burpsuite для підміни cookies по наступному алгоритму:
1. Настроїти браузер проксирование трафіку через Burpsuite.
2. Знайти партнера для виконання роботи в парі. Якщо це неможливо,
можна скористатися ще одним браузером, який також налагоджений на
проксирование. Але Ви можете заплутатися в пакетах і не зрозумієте, який
пакет яким браузером був відправлений.
3. Включити перехоплення трафіку, як показано на мал. 2.8.

Мал. 2.8. Перехоплення трафіку включене

4. Кожен з пари авторизується на сайті, при отриманні відповідей від

сервера один з пари передає свої значення cookie своєму напарникові, таким
чином, імітується процес доступу до чужого трафіку, що і відбувається при
атаці Man - in - the - Middle (MitM). Сервер встановлює значення cookie за
допомогою заголовка Set - Cookie. У результаті відбувається спроба другого
користувача представитися аккаунтом першого.
5. Перевірити у браузері, під яким обліковим записом авторизований
другий користувач.
Вимоги до змісту звіту
Звіт формується в наступному порядку:
1. Титульний аркуш.
2. Мета роботи. Мета роботи показує, для чого виконується робота,
наприклад, для отримання або закріплення яких навичок, вивчення яких
явищ і тому подібне
3. Короткий зміст роботи. Короткий зміст роботи включає
теоретичний опис тематики лабораторної роботи, методів і алгоритмів,
необхідних для обробки отриманих даних, опис ПО, використовуваного в
роботі.
4. Обробка результатів. Обробка результатів включає опис ходу
виконання роботи, перелік отриманих результатів, скриншотів, таблиць, що
супроводжуються необхідними коментарями і проміжними виводами. У цій
роботі основними доказами виконання є:
- знімок усього екрану, що містить вікно Wireshark з налагодженим
фільтром;
- знімок усього екрану, що містить вікно Burpsuite;
- пояснення, чому вдалося або не вдалося представитися на сайті
іншим ім'ям.
5. Висновки за результатами виконання роботи. Висновки по роботі
робляться на підставі узагальнення отриманих результатів. У виводах також
відзначаються усі недоробки, з якої-небудь причини що мають місце,
пропозиції і рекомендації по подальшому дослідженню поставленого в
роботі завдання. У виводах мають бути пропозиції по захисту веб-
застосування від атак, пов'язаних з компрометацією паролів і cookies.
 ЛИТЕРАТУРА
1. Damn Vulnerable Web Application (DVWA).
http://www. dvwa.co.uk/
2. Damn Vulnerable Linux. https://distrowatch.com/dvl
3. OWASP WebGoat Project.
https://www.owasp.org/index.php/Category.OWASP WebGoat Project
4. Статистика уязвимостей веб-приложений (2013 г.) - Positive
Technologies https://www.ptsecurity.com/ww-en/
5. Owasp Top 10: The Top 10 Most Critical Web Application Security
Threats: Enhanced with Text Analytics and Content by Pagekicker Robot Phil 73 //
Createspace. - 2014. - 54 p.
6. OWASP Testing Guide4.0.
https://www.owasp.org/images/1/19/OTGv4.pdf
7. How to Use Wireshark to Capture, Filter and Inspect Packets.
https://www.howto2eek.com/104278/how-to-use-wireshark-to-capture- filter-and-
inspect-packets/
8. Burp Suite Tutorial - Web Application Penetration Testing (Part 1).
https://www.pentest2eek.com/web-applications/burp-suite-tutorial-1
9. Man-in-the-middle attack.
https://www.owasp.org/index.php/Man-in-the-middle attack
10.SQL Injection. https://www.owasp.or2/index.php/SQL_Injection
11. Justine Clarke. SQL Injection Attacks and Defense. / Syngress
Publishing, Inc., 2009. - 576 p.
12. А.Г. Тецкий. Исследование методов получения содержимого
базы данных с помощью SQL-ін’єкций. - Открытые информационные и
компьютерные интегрированные технологии: сб. науч. тр. - Х. : Нац.
аэрокосм. ун-т «Харк. авиац. ин-т», 2014. - Вып. 66. - с. 188-191.
13.Sqlmap. http://sqlmap.org/
14. NT Web Technology Vulnerabilities.
http://phrack. org/issues/54/8.html
15. Cross-site Scripting (XSS).
https://www.owasp.org/index.php/Cross-site Scripting (XSS)
16. XSSer: Cross Site "Scripter". https://xsser.03c8.net /
17. Metasploit Framework User Guide.
http://cs.uccs.edu/~cs591/metasploit/users_guide3_1.pdf
18. DavidKennedy, Jim O'Gorman, Devon Keams, and Mati Aharoni.
Metasploit. - 2011. - 328 p.
19. Penetration Testing Software | Metasploit.
https://www.metasploit.com/
20. Unrestricted File Upload.
https://www.owasp.org/index.php/Unrestricted File Upload
21. Nmap: the Network Mapper - Free Security Scanner.
https://nmap.org/
22.Secunia Research Community.
https://secuniaresearch.flexerasoftware.com/community/research/
 23.OSVDB | Everything is Vulnerable. https://blog.osvdb. org/
24. National Vulnerability Database. https://nvd.nist.gov/
25. Common Vulnerabilities and Exposures. https://cve.mitre.org/
26. Web Application Firewall.
https://www.owasp.org/index.php/WebApplication Firewall
27. Ric Messier. Penetration Testing Basics: A Quick-Start Guide to
Breaking into Systems / Apress, 2016. - 115 p.
28. Ron Lepofsky. The Manager's Guide to Web Application Security:
A Concise Guide to the Weaker Side of the Web / Apress, 2014. - 232 p