3.2 OWASP a testovací nástroje

OWASP (Open Worldwide Application Security Project)

OWASP je nezisková nadace, jejímž cílem je zlepšovat zabezpečení softwaru na celém světě. Vydává řadu volně dostupných standardů, návodů a metodik, které se staly průmyslovým standardem pro tvorbu i testování webových aplikací.

Klíčové projekty OWASP
  • Broken Web Applications (BWA): Kolekce zranitelných aplikací určených k tréninku a pochopení chyb (tzv. cvičné střelnice).
  • Web Security Testing Guide (WSTG): Obsáhlý manuál, co a jak metodicky testovat (aktuální stabilní verze v4.2, ve vývoji v5).
  • Application Security Verification Standard (ASVS): Checklist požadavků a pravidel (aktuálně v5.0), podle kterého si mohou vývojáři i testeři ověřit úroveň zabezpečení dané aplikace.
  • OWASP Top 10: Seznam 10 nejčastějších a nejzávažnějších bezpečnostních rizik webových aplikací. Vychází zhruba každé 3-4 roky (např. 2017, 2021 a zbrusu nová edice v roce 2025).
  • Cheat Sheet Series: Série krátkých, přehledných návodů a doporučených postupů pro vývojáře k řešení konkrétních bezpečnostních hrozeb (např. jak bezpečně ukládat hesla, jak se chránit proti XSS).

Nástroje pro penetrační testování webu

Hlavní zbraní testera při hledání chyb ve webových aplikacích jsou takzvané Man-in-the-Middle (MITM) proxy nástroje. Ty se postaví mezi webový prohlížeč testera a cílový server.

Princip MITM Proxy

Provoz z webového prohlížeče teče nejprve do lokálně běžící proxy a až z ní pokračuje na vzdálený server. To stejné platí i pro cestu zpět. Díky tomu jsou všechny HTTP požadavky i odpovědi pro testera viditelné a především je může před odesláním pozdržet (intercept), analyzovat a modifikovat. Často se tímto způsobem dají manipulovat skryté parametry, hodnoty cookies nebo hlavičky, které se jinak přes grafické rozhraní prohlížeče nedají upravit, čímž vzniká prostor pro zneužití na straně serveru.

ZAP (Zed Attack Proxy)

Původně vlajkový projekt organizace OWASP (až do srpna 2023). Jedná se o volně dostupný (open source) proxy nástroj a scanner zranitelností, který je hojně využíván pro začleňování do CI/CD pipeline pro automatické kontroly zranitelností, s bohatým komunitním ekosystémem. Od září 2024 byl projekt přesunut pod křídla "ZAP by Checkmarx".

Burp Suite

Průmyslový standard pro manuální testování webových aplikací. Existuje v bezplatné Community edici i v placené Pro edici.

Hlavní moduly Burp Suite
  • Dashboard: Přehled běžících úloh, odhalených zranitelností a logů.
  • Target: Definice rozsahu testování (Scope) a stromová struktura zmapovaného obsahu aplikace (Sitemap).
  • Proxy: Hlavní zachytávací (intercepting) proxy zobrazující historii komunikace.
  • Intruder: Nástroj pro automatizované zasílání modifikovaných HTTP požadavků s útočnými payloady (např. slovníkový útok).
  • Repeater: Umožňuje vzít jakýkoliv odchycený požadavek, upravit jej a manuálně znovu odeslat pro ověření chování serveru.
  • Decoder: Pomůcka pro rychlé kódování a dekódování řetězců (Base64, URL encoding, HTML encoding...).
  • Sequencer: Provádí statistickou analýzu entropie a míry náhodnosti bezpečnostních tokenů (zjišťuje, jak snadné by bylo uhodnout např. relační cookie).
  • Bambdas: Pokročilé skriptování (filtrování tabulek, vlastní kontroly) integrované do Proxy, Loggeru i Targetu.
  • Extender: Umožňuje rozšiřovat funkce přes BApp Store a vlastní doplňky.
  • Collaborator (v placené verzi): Umožňuje detekovat out-of-band a asynchronní zranitelnosti (kde server nevrátí odpověď přímo do prohlížeče testera, ale kontaktuje jím dodaný server třetí strany).