HS-Esslingen/swb6-it-sec
Archived
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

fix mistakes, create section for own app

Browse source
This commit is contained in:
Florian Hoss 2022-04-07 15:19:24 +02:00
parent ed6397d1af
commit c9063c2fa9
3 changed files with 16 additions and 17 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

2
Lab01/documentation/app/app.tex Normal file
View file

@ -0,0 +1,2 @@
\section{Eigene App}

30
Lab01/documentation/juiceshop/juiceshop.tex
View file

@ -24,7 +24,7 @@ Es muss nun lediglich ein ``docker-compose up'' ausgeführt werden.
\begin{figure}[H] \begin{figure}[H]
\begin{center} \begin{center}
\includegraphics[width=0.8\textwidth]{juice/juice-01} \includegraphics[width=0.7\textwidth]{juice/juice-01}
\caption{Startseite Juice Shop} \caption{Startseite Juice Shop}
\label{fig:Startseite Juice Shop} \label{fig:Startseite Juice Shop}
\end{center} \end{center}
@ -32,44 +32,40 @@ Es muss nun lediglich ein ``docker-compose up'' ausgeführt werden.
Auf der Startseite (Abbildung \ref{fig:Startseite Juice Shop}) wird man mit verschiedenen Pop-Ups begrüßt. Es beschreibt, das die Seite nicht sicher sei. Die Programmierung wird von der Open Web Application Security Project Foundation\footnote{\href{https://owasp.org/}{https://owasp.org/}} bereitgestellt. Wenn man das Tutorial startet, wird man auf verschiedene Dinge hingewiesen, wie die Sicherheitslücken gefunden werden können. Auf der Startseite (Abbildung \ref{fig:Startseite Juice Shop}) wird man mit verschiedenen Pop-Ups begrüßt. Es beschreibt, das die Seite nicht sicher sei. Die Programmierung wird von der Open Web Application Security Project Foundation\footnote{\href{https://owasp.org/}{https://owasp.org/}} bereitgestellt. Wenn man das Tutorial startet, wird man auf verschiedene Dinge hingewiesen, wie die Sicherheitslücken gefunden werden können.
\newpage
So wird zum Beispiel erklärt, dass man mit F12 den Javascript-Code der Seite analysieren könnte (Abbildung \ref{fig:Javascript in den Entwicklertools von Firefox}). Der Vorschlag ist gut, da mit einer Sucher der Pfad entdeckt werden kann (Abbildung \ref{fig:Pfad des Score-Boards}). So wird zum Beispiel erklärt, dass man mit F12 den Javascript-Code der Seite analysieren könnte (Abbildung \ref{fig:Javascript in den Entwicklertools von Firefox}). Der Vorschlag ist gut, da mit einer Sucher der Pfad entdeckt werden kann (Abbildung \ref{fig:Pfad des Score-Boards}).
\begin{figure}[H] \begin{figure}[H]
\begin{center} \begin{center}
\includegraphics[width=0.9\textwidth]{juice/juice-02} \includegraphics[width=0.7\textwidth]{juice/juice-02}
\caption{Javascript in den Entwicklertools von Firefox} \caption{Javascript in den Entwicklertools von Firefox}
\label{fig:Javascript in den Entwicklertools von Firefox} \label{fig:Javascript in den Entwicklertools von Firefox}
\end{center} \end{center}
\begin{center} \begin{center}
\includegraphics[width=0.9\textwidth]{juice/juice-03} \includegraphics[width=0.7\textwidth]{juice/juice-03}
\caption{Pfad des Score-Boards} \caption{Pfad des Score-Boards}
\label{fig:Pfad des Score-Boards} \label{fig:Pfad des Score-Boards}
\end{center} \end{center}
\end{figure} \end{figure}
\newpage Wenn man nun noch nach Admin sucht, kann man eine Route in das Administrations-Panel finden. Leider sind wir aber nicht Berechtigt die Seite zu sehen (Abbildung \ref{fig:403 Administration}). Beim Ausprobieren wie man die Daten des Admins bekommen kann, hat ein Fehler den Server zum Absturz gebracht (Abbildung \ref{fig:Server Absturz}). Mit einer SQL Injection (Eingabe des Zeichen ') über den Login kann ein SQLITE Error hervorgerufen werden (Abbildung \ref{fig:Server Absturz}).
Wenn man nun noch nach Admin sucht, kann man eine Route in das Aministrations-Panel finden. Leider sind wir aber nicht Berechtigt die Seite zu sehen (Abbildung \ref{fig:403 Administration}). Beim Ausprobieren wie ich die Daten des Admins bekommen kann, hat ein Fehler den Server zum Absturz gebracht (Abbildung \ref{fig:Server Absturz}). Aber mir einer SQL Injection über das Suchfeld kann als Antwort des Servers das Array an Benutzern ausgelesen werden (Abbildung \ref{fig:Server Absturz}).
\begin{figure}[H] \begin{figure}[H]
\begin{center} \begin{center}
\includegraphics[width=0.8\textwidth]{juice/juice-04} \includegraphics[width=0.7\textwidth]{juice/juice-04}
\caption{403 Administration} \caption{403 Administration}
\label{fig:403 Administration} \label{fig:403 Administration}
\end{center} \end{center}
\end{figure} \end{figure}
\begin{figure}[H] \begin{figure}[H]
\begin{center} \begin{center}
\includegraphics[width=0.8\textwidth]{juice/juice-06} \includegraphics[width=0.7\textwidth]{juice/juice-06}
\caption{SQLITE error} \caption{SQLITE error}
\label{fig:SQLITE error} \label{fig:SQLITE error}
\end{center} \end{center}
\end{figure} \end{figure}
\begin{figure}[H] \begin{figure}[H]
\begin{center} \begin{center}
\includegraphics[width=0.8\textwidth]{juice/juice-05} \includegraphics[width=0.7\textwidth]{juice/juice-05}
\caption{Server Absturz} \caption{Server Absturz}
\label{fig:Server Absturz} \label{fig:Server Absturz}
\end{center} \end{center}
@ -84,7 +80,7 @@ Nun kann man den SQL Befehl so anpassen, damit durch ``OR TRUE --'' immer true z
\begin{figure}[H] \begin{figure}[H]
\begin{center} \begin{center}
\includegraphics[width=0.8\textwidth]{juice/juice-07} \includegraphics[width=0.7\textwidth]{juice/juice-07}
\caption{Login Admin} \caption{Login Admin}
\label{fig:Login Admin} \label{fig:Login Admin}
\end{center} \end{center}
@ -94,7 +90,7 @@ Nun können wir das Admin-Panel, welches vorher nicht für uns zur Verfügung st
\begin{figure}[H] \begin{figure}[H]
\begin{center} \begin{center}
\includegraphics[width=0.8\textwidth]{juice/juice-08} \includegraphics[width=0.7\textwidth]{juice/juice-08}
\caption{Admin-Panel} \caption{Admin-Panel}
\label{fig:Admin-Panel} \label{fig:Admin-Panel}
\end{center} \end{center}
@ -118,21 +114,21 @@ Damit kann man in z.B. Postman ein Post Request unter einem anderen Namen mit de
\begin{figure}[H] \begin{figure}[H]
\begin{center} \begin{center}
\includegraphics[width=0.8\textwidth]{juice/juice-09} \includegraphics[width=0.7\textwidth]{juice/juice-09}
\caption{Feedback Request} \caption{Feedback Request}
\label{fig:Feedback Request} \label{fig:Feedback Request}
\end{center} \end{center}
\end{figure} \end{figure}
\begin{figure}[H] \begin{figure}[H]
\begin{center} \begin{center}
\includegraphics[width=0.8\textwidth]{juice/juice-11} \includegraphics[width=0.7\textwidth]{juice/juice-11}
\caption{Captcha Lösung} \caption{Captcha Lösung}
\label{fig:Captcha Lösung} \label{fig:Captcha Lösung}
\end{center} \end{center}
\end{figure} \end{figure}
\begin{figure}[H] \begin{figure}[H]
\begin{center} \begin{center}
\includegraphics[width=0.8\textwidth]{juice/juice-10} \includegraphics[width=0.7\textwidth]{juice/juice-10}
\caption{Neues Feedback mit falschem Namen} \caption{Neues Feedback mit falschem Namen}
\label{fig:Neues Feedback mit falschem Namen} \label{fig:Neues Feedback mit falschem Namen}
\end{center} \end{center}
@ -142,7 +138,7 @@ Damit haben wir insgesamt 6 Schwachstellen herausgefunden (Abbildung \ref{fig:Sc
\begin{figure}[H] \begin{figure}[H]
\begin{center} \begin{center}
\includegraphics[width=0.8\textwidth]{juice/juice-12} \includegraphics[width=0.7\textwidth]{juice/juice-12}
\caption{Score Board Ergebnis} \caption{Score Board Ergebnis}
\label{fig:Score Board Ergebnis} \label{fig:Score Board Ergebnis}
\end{center} \end{center}

1
Lab01/documentation/main.tex
View file

@ -102,6 +102,7 @@
\newpage \newpage
\listoffigures \listoffigures
\include{juiceshop/juiceshop} \include{juiceshop/juiceshop}
\include{app/app}
\printbibliography[title=Literaturverzeichnis] \printbibliography[title=Literaturverzeichnis]