Web Security

Assignment 2 - deadline zondag 7 mei, 23:59

  1. Doe de onderstaande twee lessons uit de OWASP WebGoat.

    • Hijack a session
    • Session Fixation

    Voor deze WebGoat opdrachten hoef je niks in te leveren. Voor het 2e deel van deze assignment wel.

    Wat meer info voor de Hijack a session opdracht: De Lesson Plan voor deze opdracht legt uit dat deze opdracht in 2 stappen gaat. Eerst moet je vanuit WebScarab met de SessionID tab een serie WEAKID cookies kunt verkrijgen. Als je deze reeks analyseert in WebScarab kun je ongeveer raden welke cookie waarde er ontbreekt in de reeks, en dan kun je die waarde met een andere tool proberen te brute forcen. Wat tips en pointers hierbij

  2. Kijk op 5 websites waar je een login hebt
    1. of deze website HSTS (HTTP Strict Transport Security) gebruikt
    2. of het session ID cookie dat deze website gebruikt, nadat je bent ingelogd, Secure en/of HttpOnly is.

    Lever je antwoorden (dwz. lijstje met websites, support voor HSTS, naam vd cookie(s) en of die Secure en/of HttpOnly zijn) in als txt bestand of PDF.

    UPDATE VOOR MENSEN DIE DEZE OPDRACHT TE LAAT INLEVEREN:

    Hieronder wat meer pointers:

Je kunt samenwerken in paren, maar lever dan wel allebei de antwoorden in via BB, zodat het makkelijker is voor ons om te administeren.