In diesem Workshop geht es um Web Security, genauer um die Authentisierung und Authentifizierung, im Englischen einfach Authentication.
Die Authentication ist der Prozess der Echtheitsüberprüfung einer Entität gegenüber einem System. Dies geschieht in aller Regel über Login-Daten wie Nutzername und Passwort und eventuell weiteren Faktoren. Die OWASP-top-ten Liste zeigt, das Authentication Fehler immer noch ein hohes Sicherheitsrisiko darstellen. Um dies mit ein paar Beispielen zu demonstrieren, werden wir uns mit dem Juice-Shop beschäftigen, welcher eine sehr unsichere Webanwendung darstellt. Außerdem wird ein bisschen OSINT (Open Source Intelligence, das Sammeln von öffentlich zugänglichen Informationen) einfließen, um zu zeigen, wie mittels bestimmter Informationen über ein Ziel in das System eingedrungen werden kann. Anhand eines kleinen Falles kommt auch die Burp-Suite zum Einsatz, die wie Metasploit ein Tool zum Testen der Sicherheit ist, nur etwas spezialisierter ausgerichtet auf die Sicherheit von Webanwendungen.
Um am Workshop teilzunehmen, müsst ihr nur mein Repository klonen und die Burp-Suite Community Edition herunterladen und installieren. Im Repository sind die Präsentationsfolien, die Aufgaben und der Juice-Shop als Submodule zu finden. Man kann den Juice-Shop auch einfach separat klonen. Als kleine Anleitung ist die Installation via npm/NodeJS gegeben. Andere Anleitungen, wie z.B. mittels Docker, finden sich im Repo des Juice-Shops
Das Workshop-Repository (Wird spätestens am Tag des Workshops veröffentlicht) klonen mit:
git clone --recurse-submodules https://github.com/SickxX/webtech-2022-workshop-web-sec.git
Anschließend in den juice-shop Ordner bewegen und npm install und zuletzt npm start abschicken.
Der Shop läuft jetzt unter localhost.
Hier sind noch andere Wege der Installation zu finden.