МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» ІКТА кафедра ЗІ
З В І Т до лабораторної роботи №1 з курсу: «Аудит інформаційної безпеки» на тему: «Встановлення OWASP WebGoat та базові засади роботи з веб-додатком» Варіант - 6  Львів 2021 ЗАВДАННЯ 1. Запустіть веб-додаток WebGoat та проксі-сервер WebScarab (інструкції щодо інсталяції та використання яких описані вище). 2. Переконайтесь, що налаштування проксі-сервера Вашого браузера відповідають вимогам, зазначеним вище. 3. Оберіть цікавий для Вас урок. В даному випадку ми обриємо урок «Numeric SQL Injection», розташований за посиланням: http://localhost:8080/WebGoat/attack?Screen=77&menu=1100. 4. У відкритому вікні WebScarab активуйте пункт «Intercept requests» та оберіть методи GET та POST (у випадку їхньої активності фон методів позначений синім кольором) (рис. Д1.6). Рис. Д1.6. Вікно WebScarab 5. Обираємо метеостанцію «Columbia» та клікаємо на кнопці «Go!». В цей час WebScarab 6. Уважно прочитайте опис завдання та підказки, зазначені на сторінці уроку. 7. В даному випадку представлена форма (рис. Д1.7) дозволяє перегляд погоди для обраної метеостанції. Необхідно модифікувати SQL-запит таким чином, щоб як результат ми отримали погоду всіх присутніх метеостанцій, тобто всі дані таблиці. Для здійснення SQL-запитів використовується наступний синтаксис команд: SELECT * FROM weather_data WHERE station = [station] перехоплює запит до сервера. Використовуючи можливості даного програмного забезпечення, ми змінюємо значення змінної station з 101 (це визначений для станції параметр) на 101 OR 1=1 та приймаємо дані зміни, натиснувши кнопку «Accept changers» (рис. Д2.8). Аудит інформаційної безпеки 7 практична робота №1 Рис. Д1.7. Урок Numeric SQL Injection Рис. Д1.8. Використання WebScarab для внесення змін в SQL-запит Аудит інформаційної безпеки 8 практична робота №1 8. Вираз 1=1 є завжди істиною (true), тому буде обрано всі дані з таблиці «weather_data». Власне результат представлений на рис. Д1.9  РЕЗУЛЬТАТИ ВИКОНАННЯ РОБОТИ 1. Встановлення WebGoat. / Рисунок 1. Розпакування архіву в робочу папку / Рисунок 2. Запуск аплікації / Рисунок 3. Відпрацювання Tomcat / Рисунок 4. Сторінка WebGoat  / Рисунок 5. Встановлення WebScarab / Рисунок 6. Встановлення WebScarab в якості проксі-сервера / Рисунок 7. Налаштування WebScarab  / Рисунок 8. Відправка нормального запиту / Рисунок 9. Відкриття веб-консолі / Рисунок 10. SQL-ін'єкція / Рисунок 11. Наслідки виконання SQL-ін'єкції Висновки: під час виконання даної практичної роботи було встановлено веб-аплікацію WebGoat та проксі-сервер WebScarab. Було успішно здійснено SQL-ін’єкцію на WebGoat, що призвело до видачі прихованих даних.