Hackmanit entwickelt eine Reihe von professionellen Tools, die für Sicherheitsanalysen in den verschiedensten Bereichen eingesetzt werden. Das Team von Hackmanit legt dabei Wert auf eine hohe Integration: Die Werkzeuge können direkt in Ihr Unternehmen integriert werden und dabei (halb-)automatisch neue Gefahren erkennen. So kann beispielsweise WS-Attacker genutzt werden, um automatisch Ihre Webservices kontinuierlich auf Schwachstellen zu untersuchen. Weitere Tools folgen und werden zur Zeit intern entwickelt.

XML-basierte SOAP Webservices sind eine weitverbreitete Möglichkeit, die es dem Nutzer erlaubt, aus der Ferne Prozeduren aufzurufen und beliebige Daten zwischen Systemen auszutauschen. Einsatz finden SOAP Webservices aktuell bei serviceorientierter Architektur, Cloud Schnittstellen, Verwaltung von föderierten Identitäten, eGovernment oder militärischen Services. Die vielfältigen Anwendungsmöglichkeiten haben zur Entwicklung von zahlreichen - meist umfangreichen - Erweiterungen und damit zu einer höheren Komplexität geführt. Daraus resultiert wiederum eine große Angriffsfläche und das Vielzahl an möglichen Angriffen gegen Webservices existiert. Während der Implementierung von gewöhnlichen Web Applikationen nutzen die Entwickler verschiedene Penetrationstest Tools, um die Sicherheit Ihrer Systeme zu evaluieren. Im Vergleich zu sehr bekannten Angriffstechniken, wie SQL Injection oder Cross-Site Scripting (XSS), existieren jedoch keine Penetrationstest Tools, die das Testen von Webservice spezifischen Angriffen ermöglichen. Eben diese Lücke soll der WS-Attacker schließen und damit Entwicklern und Penetrationstestern die Möglichkeit geben, Schwachstellen in Webservices automatisiert zu erkennen. Das Tool unterstützt aktuell die Erkennung der folgenden Angriffe:

  • SOAPAction Spoofing
  • WS-Addressing Spoofing
  • Verschiedene XML-basierte Denial of Service Varianten (inklusive intelligenter adaptiver Tests)
  • XML Signature Wrapping
  • Angriffe gegen XML Encryption

Zur Projektseite

Der TLS-Attacker ist ein Java-basiertes Framework zur Analyse von TLS Bibliotheken. Es ist in der Lage beliebige Protokoll-Nachrichten in einer willkürlichen Reihenfolge an den TLS Peer zu senden und dabei Modifikationen, die über das dafür vorgesehene Interface definiert wurden, anzuwenden. Das bietet dem Entwickler die einfache Möglichkeit eine Abfolge von Protokoll-Nachrichten zu definieren und diese an seinen TLS Bibliotheken zu testen.

Zusätzlich unterstützt der TLS-Attacker verschiedene bekannte kryptographische Angriffe. Das bedeutet, er ermöglicht es auf einfache Weise zu überprüfen, ob ein Server gegen Padding Oracle, Invalid-Curve oder Bleichenbacher Angriffe verwundbar ist. In der Vergangenheit konnten so Schwachstellen in den großen TLS Bibliotheken identifiziert werden, darunter auch OpenSSL, Botan oder MatrixSSL.

Zur Projektseite

Mittels der Single Sign-On (SSO) Erweiterung EsPReSSO lässt sich die beliebte Burp Suite um eine Erkennung von verschiedenen SSO Protokollen erweitern. Sie unterstützt SAML, OpenID, OAuth, BrowserId, OpenID Connect und Facebook Connect, sowie Microsoft Account. EsPReSSO analysiert dabei passiv den HTTP Traffic und markiert die Nachrichten der SSO Lösungen im Proxy der Burp Suite automatisch.

Zusätzlich bietet EsPReSSO spezielle Editoren für SAML und JSON Web Token, sodass diese leichter modifiziert werden können. Des Weiteren können mithilfe der integrierten WS-Attacker Bibliothek XML Signature Wrapping Angriffsvektoren für SAML Nachrichten erstellt werden.

Zur Projektseite

Daten mit der Hilfe von Webservices hochzuladen ist mittlerweile selbstverständlich geworden. Dabei spielt es keine Rolle, ob es sich um Audio-Dateien, Bilder oder etwa Videos handelt. Es besteht immer das Potential, dass die hochgeladenen Dateien schadhaft sind. So können beispielsweise auch in den Metadaten der Dateien Angriffsvektoren versteckt werden, die zu einer Schwachstelle führen können.

Der Metadata-Attacker stellt eine kleine Sammlung von Open Source Tools bereit, die es ermöglicht ein Bild (.jpg), eine Audio-Datei (.mp3) oder ein Video (.mp4) zu erstellen, das selbst gewählte Metadaten oder Cross-Site Scripting (XSS) Vektoren enthält. Diese manipulierten Dateien können anschließend verwendet werden, um Webservices auf ihre Anfälligkeit gegen XSS Schwachstellen beim Darstellen von den entsprechenden Metadaten zu testen.

Zur Projektseite