Artikel mit Tag sicherheitslücken

Security Tools: Trivy – Docker Container auf Sicherheitslücken durchsuchen

Container sind nach wie vor in alle Munde. Wer, der Einfachheit halber, mit Docker hantiert, der sollte regelmäßig die Aktualität der verwendeten Images prüfen. Nicht erst seit Log4j verbergen sich unerwünschte Sicherheitslücken in veralteten Images.

trivy

Trivy

Das Open-Source-Tool Trivy bietet die Möglichkeit lokale Images, direkt im Filesystem oder entfernte Repositorys nach Lücken zu scannen. Das Programm scannt unter anderen Base Images wie Alpine, Debian, Ubuntu, CentOS, SUSE, Photon OS, Paketmanager und andere Abhängigkeiten mithilfe der eigenen Schwachstellendatenbank ab.

Die Trivy Datenbank basiert auf NVD und diverser Security Meldungen einzelner Programmiersprachen (siehe).

Installation Trivy Security Scanner Debian/Ubuntu

sudo apt-get install wget apt-transport-https gnupg lsb-release
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add -
echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee -a /etc/apt/sources.list.d/trivy.list
sudo apt-get update
sudo apt-get install trivy

Einen Scan mit Trivy anstoßen

Um die Übersicht der Scanergebnisse zu behalten, empfiehlt es sich, die Ausgabe auf kritische Lücken zu beschränken

trivy image --severity HIGH,CRITICAL IMAGENAME

trivy-scan

Das Tool erlaubt es ebenfalls einen HTML Report zu veröffentlichen

trivy image --format template --template "@contrib/html.tpl" -o report.html golang:1.12-alpine

trivy-ergebnisse

Trivy kann auch das Filesystem untersuchen.

trivy fs /path/to/project

Schlussendlich kann auch direkt via GitHub gescannt werden.

trivy repo https://github.com/knqyf263/trivy-ci-test

Fazit

Wer Docker im Einsatz hat, sollte die verwendeten Images regelmäßig auf Sicherheitslücken und Abhängigkeiten prüfen. Der Profi baut seine Images sicher selbst und weiß, was er tut, allerdings übersieht ein DevOp auch dort mal Abhängigkeiten. Auch hier schafft Trivy praktische Abhilfe, denn es lässt ich schnell in CI Workflows, beispielsweise von Gitlab integrieren.

Download

Hacker Ausbildung gefällig? - Der Web Security Dojo machts möglich

Beim Web Security Dojo handelt es sich um eine fertig eingerichtete virtuelle Maschine, welche sich an werdende Penetrationstester oder Web Security Experten richtet. 
Das virtuelle System bietet sich aber genauso als allgemeine Trainingsgrundlage für Anwendungssicherheit an.

web-security-dojo

Web Security Dojo 2.1 - hacken lernen

Gerade ist eine aktualisierte Version 2.1 des Dojos vom Maven Security Consulting erschienen, welche auf Xubuntu 12.04 LTS basiert. 

Dank der fertig installierten Umgebung kann der interessierte Anwender sofort loslegen.
Bekannte Übungen und Tools wie OWASPs WebGoat sind fertig installiert und müssen nur über den Browser aufgerufen werden. (lediglich der gewünschte Proxy muss selbst gewählt werden.)

Die erst vor wenigen Tagen erschienene Toolsammlung hat zwar Updates erhalten, alle Tools sind dennoch nicht auf dem aktuellen Stand ( Ich glaube WebGoat wurde schon in v6 veröffentlicht, im Dojo ist allerdings 5.3 installiert. Dem Lernerfolg tut dies allerdings keinen Abbruch, da die Änderungen meist nicht gravierend sind.

Dojo-Webgoat

Folgende bekannte Trainings und Anwendungs Tools sind im Dojo vorkonfiguriert enthalten

  • Damn Vulnerable Web Application (DVWA) (login: admin:password)
  • Mutillidae/NOWASP
  • WebGoat (login: guest:guest)
  • Insecure Web App
  • w3af test framework
  • WAVSEP Scanner Testbench
  • XSS Practice Cases (WAVSEP XSS w/ hints hidden)
  • REST demos
  • JSON demo
  • DOM XSS demo
  • Simple Maven PHP demos
  • sqli-labs

Weitere hilfreiche Tools für den Umgang mit Sicherheitslücken sind ebenfalls mit an Bord

  • Burp Suite (free version)
  • w3af
  • sqlmap
  • arachni 
  • metasploit
  • Zed Attack Proxy 
  • OWASP Skavenger
  • OWASP Dirbuster
  • Paros
  • Webscarab
  • Ratproxy
  • skipfish
  • websecurify
  • davtest

Alle Anwendung sind im Startmenü hinterlegt und müssen nur aufgerufen werden. Webanwendungen sind im vorinstallierten Firefox als Bookmarks hinterlegt.
Einen guten Start ins Web Hacking bietet sicherlich das bereits erwähnte WebGoat oder DVWA. Gerade ersteres bietet eine Schritt für Schritt Anleitung mit Lösungshilfen wenn gewünscht.

Installation

Es genügt das OVA Image herunterzuladen und in VirtualBox zu importieren.

dojo-netzwerk

Das es sich bei der Testumgebung um sehr unsichere Übungsanwendungen handelt, empfiehlt es sich, die Netzwerkverbindungen der virtuellen Maschine zu kappen.

Nun aber viel Spaß beim Hacken ;)

Dojo Download

 

Das könnte dich auch interessieren

WPScan - Wordpress Schwachstellen Scanner auf Ubuntu installieren

Eine der meistverwendeten Blogsysteme im Netz ist sicherlich Wordpress. Wie so oft bei beliebter Software, ist Wordpress auch ein begehrtes Angriffsziel für Hacker und Co.

Um diesen vorzugreifen ist ein regelmäßiger Test auf Sicherheitslücken sinnvoll. Ein perfektes Tool für solche Penetrationstests ist WPScan. Der WordPress Security Scanner ist auf bekannten Sicherheitsdistributionen wie Kali Linux oder BackBox vorhanden, lässt sich aber auch recht einfach auf einem Ubuntu Server 14.04 in Betrieb nehmen.

wpscan

Installation WordPress Security Scanner auf Ubuntu Server 14.04 LTS

Zunächst wird Ruby benötigt. Damit die Installation aktuell ist, wird dazu das Brightbox Repository verwendet. Danach werden weitere Pakete installiert, um dann den WPScanner via git zu laden.

Installation

sudo apt-get install software-properties-common
sudo apt-add-repository ppa:brightbox/ruby-ng
sudo apt-get update
sudo apt-get install ruby2.2 ruby2.2-dev git libxml2 libxml2-dev libxslt1-dev libcurl4-gnutls-dev

 

WPScan von Github herunterladen

sudo git clone https://github.com/wpscanteam/wpscan.git
cd wpscan/
sudo su
   gem install bundler && bundle install --without test

Successfully installed bundler-1.8.3
Parsing documentation for bundler-1.8.3
Done installing documentation for bundler after 3 seconds
1 gem installed
Don't run Bundler as root. Bundler can ask for sudo if it is needed, and installing your bundle as root will break this application for all non-root users on this machine.
Fetching gem metadata from https://rubygems.org/.........
Fetching version metadata from https://rubygems.org/..
Resolving dependencies...
Installing addressable 2.3.7
Installing ffi 1.9.6
Installing ethon 0.7.3
Installing json 1.8.2
Installing mini_portile 0.6.2
Installing nokogiri 1.6.6.2
Installing ruby-progressbar 1.7.1
Installing terminal-table 1.4.5
Installing typhoeus 0.7.1
Using bundler 1.8.3
Bundle complete! 10 Gemfile dependencies, 10 gems now installed.
Gems in the group test were not installed.
Use `bundle show [gemname]` to see where a bundled gem is installed.

Update der WPScan Datenbank

sudo ./wpscan.rb --update
_______________________________________________________________
        __          _______   _____
        \ \        / /  __ \ / ____|
         \ \  /\  / /| |__) | (___   ___  __ _ _ __
          \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
           \  /\  /  | |     ____) | (__| (_| | | | |
            \/  \/   |_|    |_____/ \___|\__,_|_| |_|

        WordPress Security Scanner by the WPScan Team
                       Version 2.6
          Sponsored by Sucuri - https://sucuri.net
   @_WPScan_, @ethicalhack3r, @erwan_lr, pvdl, @_FireFart_
_______________________________________________________________

[i] Updating the Database ...
[i] Update completed.

wpscan_logo

Schwachstellen Scan auf installierte Themes oder Plugins

Die Überprüfung einer vorhandenen Wordpress Installation erfolgt über den Befehl --"url" gefolgt von der Scan Methode "--enumerate vt" überprüft in diesem Fall Templates auf Schwachstellen (momentan über 300).

Das "v" steht für den Verbose Mode und gibt etwas mehr Infos auf der Kommandozeile aus.

Ein Scan auf installierte Plugins würde beispielsweise mit dem Schlüssel "--enumerate -vp" gestartet. Hier befinden sich zurzeit über 2000 in der Datenbank.

Als Beispiel habe ich einen Scan auf Sicherheitslücken installierter Themes gewählt.

sudo ./wpscan.rb --url www.url.de --enumerate vt
 
_______________________________________________________________
        __          _______   _____
        \ \        / /  __ \ / ____|
         \ \  /\  / /| |__) | (___   ___  __ _ _ __
          \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
           \  /\  /  | |     ____) | (__| (_| | | | |
            \/  \/   |_|    |_____/ \___|\__,_|_| |_|

        WordPress Security Scanner by the WPScan Team
                       Version 2.6
          Sponsored by Sucuri - https://sucuri.net
   @_WPScan_, @ethicalhack3r, @erwan_lr, pvdl, @_FireFart_
_______________________________________________________________

[+] URL: http://www.url.de/
[+] Started: Thu xxx x xxx:xx:xx xxxx

[+] robots.txt available under: 'http://www.url.de/robots.txt'
[!] The WordPress 'http://www.url.de/readme.html' file exists exposing a version number
[!] Full Path Disclosure (FPD) in: 'http://www.url.de/wp-includes/rss-functions.php'
[+] Interesting header: SERVER: nginx/x.x.x
[+] Interesting header: X-POWERED-BY: PHP/x.x.x
[+] XML-RPC Interface available under: http://www.url.de/xmlrpc.php
[i] This may allow the GHOST vulnerability to be exploited, please see: https://www.rapid7.com/db/modules/auxiliary/scanner/http/wordpress_ghost_scanner

[+] WordPress version 4.0.1 identified from rss generator

[+] Enumerating plugins from passive detection ...
 | 3 plugins found:

[+] Name: 2-click-socialmedia-buttons - v1.6.4
 |  Location: http://www.url.de/wp-content/plugins/2-click-socialmedia-buttons/
 |  Readme: http://www.url.de/wp-content/plugins/2-click-socialmedia-buttons/readme.txt

[+] Name: font-awesome - v3.2.1
 |  Location: http://www.url.de/wp-content/plugins/font-awesome/
 |  Readme: http://www.url.de/wp-content/plugins/font-awesome/readme.txt

[+] Name: redactor - v3.1.45
 |  Location: http://www.url.de/wp-content/plugins/redactor/
 |  Readme: http://www.url.de/wp-content/plugins/redactor/readme.txt

[+] Enumerating installed themes (only vulnerable ones) ...

   Time: 00:01:10 <=================================================================================================================================================> (325 / 325) 100.00% Time: 00:01:10

[+] We found 309 themes:
[+] Name: 5star
 |  Location: http://www.url.de/wp-content/themes/5star/
 |  Style URL: http://www.url.de/wp-content/themes/5star/style.css
 |  Description:

[+] We could not determine a version so all vulnerabilities are printed out

[!] Title: 5star - Templatic Theme CSRF File Upload Vulnerability
    Reference: https://wpvulndb.com/vulnerabilities/7484
    Reference: http://1337day.com/exploit/22091

 

Troubleshooting

Fehlende Rechte bei der Installation von bundler, bringen folgende Meldung zu Tage.

Gelöst werden kann dies beispielsweise mit dem Wechsel in die Root Umgebung.

??? ERROR REPORT TEMPLATE ???????????????????????????????????????????????????????
- What did you do?
- What did you expect to happen?
- What happened instead?

Error details

    Errno::EACCES: Permission denied @ dir_s_mkdir - /scan/wpscan/.bundle
    /usr/lib/ruby/2.2.0/fileutils.rb:252:in `mkdir'
    /usr/lib/ruby/2.2.0/fileutils.rb:252:in `fu_mkdir'
    /usr/lib/ruby/2.2.0/fileutils.rb:226:in `block (2 levels) in mkdir_p'
    /usr/lib/ruby/2.2.0/fileutils.rb:224:in `reverse_each'
    /usr/lib/ruby/2.2.0/fileutils.rb:224:in `block in mkdir_p'
    /usr/lib/ruby/2.2.0/fileutils.rb:210:in `each'
    /usr/lib/ruby/2.2.0/fileutils.rb:210:in `mkdir_p'

Fazit

Wer Wordpress im Einsatz hat, sollte die Installation aktuell halten, Sicherheitsplugins installieren und auf vorhandene Lücken testen. Mit WPScan ist ein brauchbares OpenSource Tool auf Github für einen Penetrationstest vorhanden.

Routerpwn Exploit Sammlung - Prüfen ob der eigene Router noch sicher ist

Das Jahr 2014 war nicht nur das Jahr der Datendiebstähle, sondern auch der massiven Router Schwachstellen. Bekanntestes Beispiel war sicherlich die offene Lücke in AVM Geräten, die es Fremden erlaubte mal eine Runde zu telefonieren.

Neben AVM waren natürlich auch andere Hersteller, wie D-Link, Belkin oder TP-Link betroffen. Neben Webinterfaces mit Internetzugriff oder Hintertüren zum Auslesen des Administratorpassworts blieb fast kein Auge trocken.

Höchste Zeit den eigenen Router auf eine aktuelle Firmware zu aktualisieren.

Routerpwn

Die Webseite Routerpwn.com bietet eine gute Anlaufstelle, wenn es darum geht den eigenen Router auf Schwachstellen zu prüfen. Die Seite listet ca. 40 Routerhersteller und deren Produkte inklusive der vorhandenen, bzw. bekannten Sicherheitslücken auf.

routerpwn

Die Seite selbst kann als Linksliste angesehen werden, denn sie verweist im Detailbereich einer Schwachstelle auf die jeweilige Quelle. Hierbei handelt es sich meist um Seiten wie 1337day, Exploit-DB oder andere Webseiten, die sich mit dieser Thematik auseinandersetzen.

Auf der jeweiligen Quellseite wird neben den betroffenen Produkten und deren Firmware, ausführlich beschrieben, wie sich die Schwachstelle äußert und welche Gefahren bestehen.

Hier ein Beispiel

============ Vulnerable Firmware Releases - DIR-XXX: ============

Firmware Version : 1.05 , Fri 26 Nov 2010

============ Vulnerability Overview: ============

  • OS Command Injection (1)

The vulnerability is caused by missing input validation in the set/runtime/diagnostic/pingIp and the exeshell parameter and can be exploited to inject and execute arbitrary shell commands.
It is possible to start a telnetd to compromise the device. You need credentials for the webinterface.

  • For changing the current password there is no request to the current password (2)

With this vulnerability an attacker is able to change the current password without knowing it. The attacker needs access to an authenticated browser.

  • CSRF for changing the password without knowing the current one and the attacker is able to activate the remote management (3):
http://Target-IP/tools_admin.php?ACTION_POST=1&apply=Save+Settings&xxxxxx
  • Insecure Cryptographic Storage (4):

There is no password hashing implemented and so it is saved in plain text on the system. You will find other ways to get access to it.

Eine aktuelle Software auf dem eigenen Router hat also durchaus seine Berechtigung, denn das Gerät stellt immerhin den Zugang zu allen anderen Geräten im Heimnetzwerk bereit.

Wie 1337 bist du? Game of Hacks stellt dich auf die Probe

Dein Ruf eilt dir voraus und du wirst landläufig als Elite Hacker bezeichnet? Du hast 1337 in deinen Signaturen stehen und bist der Meinung kein Webseite und keine Firewall kann die standhalten?

Na dann sollte das Spiel Game of Hacks für dich keine Hürde darstellen. Das Online Spiel prüft in drei Schwierigkeitsgraden dein Wissen über Sicherheitslücken.

Diese werden in 5 Codeblöcke aller Couleur gepackt. Pro Frage bleiben 60 Sekunden Zeit.

Wobei ihr euch entscheiden müsst, ob es sich beispielsweise um eine SQL Injection, eine XSS Lücke, CSRF oder gar keine Sicherheitslücke handelt.

Game_of_Hacks

Game of Hacks ist für den IT Nerd genau das richtige Spiel für zwischendurch. Nebenbei könnt ihr noch prüfen, ob ihr wirklich Ahnung von der Materie habt. via

Game of Hacks