DevSecOps – selbst hacken und dabei lernen
Um ein Verständnis darüber zu bekommen, wie Angreifer vorgehen, sollten sich Entwickler mit den Tools der Hacker vertraut machen.
- Martin Reinhardt
Der erste Teil dieser Artikelserie hat sich mit grundlegenden Informationen zur Sicherheit in der Softwareentwicklung auseinandergesetzt. Der zweite gibt nun einen Überblick über konkrete Werkzeuge von Hackern. Das kann mit verschiedenen Strategien passieren: Eine spielerische Variante ist es beispielsweise, "Capture the Flag" (CTF) als Team-Challenge zum Hacken des Juice Shop zu nutzen. Damit lernt man, Lücken auszunutzen, und durch das Punktesystem spornt man die Teams untereinander an.
- Der Juice Shop ist eine Webanwendung gespickt mit Schwachstellen der OWASP Top 10 (PDF).
- Der Shop verfolgt, was gehackt wurde, und zeigt bei erfolgreicher Ausnutzung einer Schwachstelle einen Flag an (Hash-Wert für das Capture the Flag).
- Dieser Flag lässt sich auf der Capture-the-Flag-Instanz einlösen, um dafür Punkte zu erhalten.
DevSecOps – die Serie
Dabei können Entwickler den Juice Shop bequem per Heroku deployen und brauchen lediglich für die Arbeit im Team den CTF-Server, den sie mit dem deployten Shop verbinden. Dann kann es direkt losgehen. Zur Nutzung braucht man Folgendes:
- Dev-Tools des Browsers, denn der Juice Shop arbeitet viel mit JavaScript
- Add-ons Tamper Data (Firefox) beziehungsweise Tamper Chrome, um die HTTP Requests genauer anzuschauen und zu manipulieren
- Postman, Insomnia oder andere API-Tools
- OWASP ZAP Proxy (Zed Attack Proxy) für automatisierte und geskriptete Angriffe
- Kali Linux zum Pentesting
Daneben sollten Entwickler folgende Punkte vermeiden:
- RTM (reading the manual)
- Quellcode von GitHub analysieren
- Server-Logs analysieren
Es geht beim Shop darum, dass man wie bei einem Angriff von außen vorgeht, also analog zum Blackbox-Testing. Gerade in Teams macht das Hacken des Juice Shop in Verbindung mit CTF viel Spaß und weckt schnell sportlichen Ehrgeiz.
