O ataque às aplicações web nas operações de guerra cibernética

Abstract

As aplicações web suportam poderosos sistemas de informação e carregam informações de alto valor das Organizações e Governos. A exploração das vulnerabilidades dessas aplicações é uma das vertentes de ataque que pode ser empregada no âmbito da Guerra Cibernética (G Ciber). Este trabalho tem como objetivo estudar e analisar as ferramentas de pentest, utilizadas dualmente, para ataque às aplicações web, selecionando as mais adequadas aos objetivos da atividade de ataque das operações de G Ciber. O método de pesquisa empregado consiste inicialmente de uma revisão bibliográfica dos assuntos relacionados ao tema abordado. Em seguida, é feita a seleção das ferramentas com base nos trabalhos acadêmicos e autores de referência no assunto. Essas ferramentas são aplicadas no laboratório OWASPBWA contra a aplicação DVWA, aonde são avaliadas de acordo com a capacidade de escaneamento ou exploração das Top 10 Vulnerabilidades da OWASP, elas são avaliadas também quanto à maior ou menor adequabilidades aos objetivos da atividade de ataque nas operações de G Ciber, segundo os seguintes critérios: licença de uso, curva de aprendizagem, limitações, eficiência, eficácia, atende a quais objetivos do ataque. Como resultado, foi possível demonstrar o emprego das ferramentas, as dificuldades do uso, as vulnerabilidades encontradas na aplicação e o método de exploração de algumas dessas vulnerabilidades. Nos resultados são apresentados também: o resumo dos comandos, com o tempo de execução, tráfego gerado e vulnerabilidades encontradas; a capacidade de escaneamento ou exploração; a avaliação de adequabilidade; e os objetivos de ataque atendidos por cada ferramenta. Foi possível concluir que as ferramentas Nmap, OpenVAS, Nikto e OWASP ZAP não têm capacidade de atender aos objetivos do ataque, porém são de grande importância na tarefa de escaneamento. As ferramentas SQL Map e Metasploit tiveram melhores resultados na tarefa de exploração das vulnerabilidades, que culmina com o alcance dos objetivos do ataque, além de possuírem relativa capacidade de escaneamento. Concluiu-se também que as ferramentas variam o resultado dos escaneamentos e da exploração, conforme são configuradas e tem seus recursos empregados. As ferramentas se mostraram importantes, mas não eliminam a necessidade do especialista estudar e analisar a aplicação alvo, tanto para entender o funcionamento da mesma, quanto para aprofundar os testes de invasão e escolher a melhor abordagem para o ataque.

Web applications support powerful information systems and carry high-value information from Organizations and Governments. The exploitation of the vulnerabilities of these applications is one of the aspects of attack that can be employed in the context of the Cyber Warfare. This paper aims to study and analyze the pentest tools, used dually, to attack the web applications, selecting the most suitable ones for the attack activity objectives of the Cyber Warfare operations. The research method used initially consists of a bibliographic review of the subjects related to the topic addressed. Then, the selection of the tools is made based on the academic papers and authors of reference in the subject. These tools are applied in the OWASPBWA laboratory against the DVWA application, where they are evaluated according to the ability to scan or exploit OWASP's Top 10 Vulnerabilities; they are also evaluated to a greater or lesser adequacy to the objectives of the attack activity in Cyber Warfare operations according to the following criteria: license, learning curve, limitations, efficiency, effectiveness, which targets the objectives of the attack. As a result, it was possible to demonstrate the employment of the tools, the difficulties of the use, the vulnerabilities founded and the method of exploiting some of these vulnerabilities. In the results are also presented: the summary of the commands, the execution time, traffic generated and vulnerabilities found; the ability to scan or exploitation; the adequacy assessment; and the attack objectives served by each tool. It was possible to conclude that the Nmap, OpenVAS, Nikto and OWASP ZAP tools are not able to meet the objectives of the attack, but they are of great importance in the scanning task. The SQL Map, and Metasploit tools performed better in the vulnerability exploitation task, which culminates in achieving the goals of the attack, as well as being relatively scannable. It was also concluded that the tools vary the result of the scans and the scanning, as configured and have their resources employed. The tools have proved to be important, but they do not eliminate the need of the specialist to study and analyze the target application, both to understand their operation, and to deepen the invasion tests and choose the best approach to the attack