Manche Cyberangriffe nutzen gezielt Schwachstellen in Webanwendungen aus, um an sensible Informationen zu gelangen oder Systeme zu kompromittieren. Fast jede Software kommuniziert heute in irgendeiner Weise mit entfernten Systemen – ob zum Austausch von Daten, zum Zweck der Lizenzprüfung oder einfach für die Verifikation von Zertifikatdaten. Oft kommt dabei mit HTTP das wohl am weitesten verbreitete Kommunikationsprotokoll im Internet zum Einsatz. Um Bedrohungen wirksam zu begegnen, benötigen also sowohl Sicherheitsexperten als auch Entwickler Werkzeuge zur Analyse und Kontrolle des HTTP-Verkehrs.

Es gibt einige freie und kommerzielle Tools, die zur Protokollanalyse verwendet werden können. Hetty [1] ist ein quelloffenes [2] HTTP-Toolkit, das speziell für die Sicherheitsforschung und Webentwicklung konzipiert wurde. Es fungiert als interaktiver Proxy, der den Datenverkehr zwischen Client und Server transparent aufzeichnet und zur Analyse bereitstellt. Eine übersichtliche Weboberfläche erlaubt das manuelle Analysieren und Manipulieren übertragener Inhalte. Sie unterstützt systematisch dabei, Protokolle zu verstehen, ausgetauschte Daten zu analysieren und Schwachstellen zu erkennen und zu untersuchen.

Im Gegensatz zu etablierten Programmen wie der Burp-Suite oder OWASP ZAP versteht sich Hetty als leichtgewichtiges, performantes und quelloffenes Werkzeug. Die zugrundeliegende Architektur besteht aus einem Go-basierten Backend, einem React-Frontend und einer SQLite-Datenbank. Auch wenn die Entwickleraktivitäten derzeit eher gering sind, lässt sich Hetty dennoch praktisch einsetzen. Standardmäßig ist der Proxy über Port 8080 erreichbar, ebenso wie die Weboberfläche selbst – ideal für eine schnelle Integration in lokale Testumgebungen.

Die Benutzeroberfläche ist aufgeräumt: Links befindet sich die Projekt- und Anfrageübersicht mit Filteroptionen und zentral werden Details einzelner HTTP-Requests inklusive Header, Body und Zeitstempel angezeigt. Änderungen an Anfragen lassen sich direkt vornehmen und erneut senden, ein Convenience-Feature bei der Sicherheitsanalyse.

Üblicherweise verweisen wir in unseren Security-Tipps auf die schnelle Einrichtung zum Experimentieren mit Tools auf Docker. Leider ist das vom Entwicklerteam bereitgestellte Docker-Image aber nicht auf dem neuesten Stand. Daher beginnen wir in diesem Fall damit, Hetty aus den Quellen selbst zu übersetzen. Das ist dank moderner Tools denkbar einfach. Da Hetty jedoch in Go geschrieben wurde, benötigen Sie eine Go-Umgebung für das Erstellen des Binaries. Klonen Sie zunächst das Git-Repository mit dem Kommando

Navigieren Sie nun in das Verzeichnis und starten Sie den Build-Prozess mitmake. Sollten Sie beim Build die Fehlermeldung erhalten, dass die lock-Datei nicht überschrieben werden kann, entfernen Sie in der Datei "Makefile" das Argument "--frozen-lockfile" aus dem Aufruf vonyarn install. Anschließend finden Sie nach dem erfolgreichen Durchlauf das "hetty"-Binary im aktiven Verzeichnis. Starten Sie Hetty nun also mit dem Kommando./hetty.

Nach dem Aufruf erhalten Sie im Terminal zunächst einige Ausgaben zur Vorbereitung und den Hinweis zum Aufruf des Webinterfaces. Öffnen Sie also im Browser die URL "http://localhost:8080" auf, um in die Oberfläche von Hetty zu gelangen. Dort definieren Sie dann ein Projekt, um auf alle Bereiche zugreifen zu können. Klicken Sie dafür im Menü auf "Projects" und geben im Eingabefeld einen entsprechenden Namen ein. Erlaubt sind alphanummerische und Leerzeichen.

Das Projekt wird nun geöffnet und Sie gelangen links im Menü in alle zugehörigen Bereiche. Schauen Sie zunächst unter "Proxy Logs" nach, finden Sie dort noch keine Einträge. Das liegt natürlich daran, dass Hetty bisher noch gar keine Pakete zum Logging erhalten hat. Da Hetty als Proxy fungiert, müssen Sie Ihren Browser noch für die Nutzung konfigurieren.

Bei Firefox gelingt dies sehr einfach, da Sie in den Einstellungen "http://localhost:8080" als Proxy für HTTP und HTTPs hinterlegen können. Wenn Sie auch HTTPS-Verbindungen ohne Fehlermeldungen im Browser ansehen möchten, müssen Sie noch das CA-Zertifikat, das Hetty beim ersten Start erstellt hat, im Browser hinterlegen. Importieren Sie dafür das in der Datei "~/.hetty/hetty_cert.pem" liegende Zertifikat über die Zertifikatverwaltung unter "Einstellungen / Datenschutz & Sicherheit / Zertifikate / Zertifikate anzeigen / Importieren".

Da der Google-Browser Chrome ebenso wie Edge die Einstellungen des Systems verwendet, ist die Einrichtung möglicherweise etwas komplizierter. Die Entwickler von Hetty haben hier mitgedacht und erlauben zumindest für Chrome direkt den Start mit den korrekten Einstellungen, indem Sie Hetty mit./hetty --chrome  aufrufen. Natürlich können Sie auch selbst die Parameter hinzufügen. Starten Sie dafür Chrome mit den Parametern

Sie sollten das CA-Zertifikat selbstverständlich nur auf Ihrem Testsystem einrichten, da ein zusätzlich installiertes Root-Zertifikat immer auch ein Sicherheitsrisiko darstellt.

Fortan erhalten Sie für jede Verbindung Ihres Browsers einen Eintrag in das Log von Hetty und finden dort die Abfrageparameter und die Serverantwort vor. Das ist erst einmal die klassische Funktionalität eines Man-in-the-Middle-Proxies. Möchten Sie die Anzahl der geloggten Verbindungen auf bestimmte Server oder Anwendungen einschränken, nutzen Sie hierfür im Menü den Punkt "Scope". Dort lassen sich mehrere Regeln mit regulären Ausdrücken hinterlegen, die dann entsprechend filtern. So beobachten Sie als Entwickler zum Beispiel gezielt Ihre Anwendung oder werfen als Security-Analyst einen Blick in die Kommunikation einer bestimmten Applikation.

Wählen Sie den Menüpunkt "Intercept", gelangen Sie zur Funktionalität, um aktiv in Verbindungen einzugreifen. Editieren Sie zunächst die notwendigen Einstellungen, indem Sie am rechten Rand auf das Zahnrad klicken. Hier können Sie nun entscheiden, ob Sie ausgehende oder eingehende Verbindungen unterbrechen möchten, oder sogar beide Richtungen. Aktualisieren Sie die jeweilige Regel mit einem Klick auf „Update“ und wählen Sie dann im Menü wieder "Intercept". Wenn Sie nun entsprechend Ihrer Filterregeln in einer Anwendung arbeiten, sehen Sie im unteren Bereich der Anwendung die festgehaltenen Verbindungen.

Einmal ausgewählt, können Sie die Anfrage nun inspizieren, den Pfad oder die Header ändern und anschließend mit einem Klick auf „Send“ freigeben. Drücken Sie hingegen auf "Cancel", wird die Anfrage verworfen. Das gleiche gilt auch für Antworten. Bevor diese beim Browser ankommen, besteht die Möglichkeit, den Header oder den Body der Antwort anzupassen. Klicken Sie nun auf "Receive", geht die Sendung an den Browser oder die lokale Applikation.

Dank zentraler Weboberfläche eignet sich Hetty grundsätzlich auch für Teamarbeit. Mehrere Analysten können parallel auf die gesammelten Daten zugreifen, Angriffe reproduzieren oder gemeinsam untersuchen. Besonders bei Code-Reviews und Penetrationstests in agilen Teams bietet dies einen hohen Mehrwert. Beim Bearbeiten und Freigeben von Anfragen beziehungsweise Antworten müssen sich die Nutzer in der aktuellen Version allerdings noch absprechen – Hetty sperrt diese nämlich nicht, wenn einer der Benutzer die Bearbeitung beginnt.

Das Tool bietet sich natürlich auch für mobile Testumgebungen an. So lässt sich beispielsweise ein Smartphone über ein WLAN mit einem Hetty-Gateway verbinden oder mit manuell gesetztem Proxy konfigurieren. Voraussetzung ist auch hier die Installation des Root-Zertifikats auf dem Gerät, um HTTPS-Verbindungen ohne Fehlermeldung aufzubrechen. Auf diese Weise erhalten Sie dann detaillierten Zugriff auf mobile Apps, Token-Systeme und API-Kommunikation.

Hetty ist ein leistungsstarkes Werkzeug zur Analyse von HTTP-Verkehr und zur Durchführung sicherheitsrelevanter Tests von Software. Das Tool vereint eine schlanke Architektur, Benutzerfreundlichkeit und flexible Einsatzmöglichkeiten, ist allerdings noch in der Entwicklung und hat gelegentlich Aussetzer, die sich nur mit einem Neustart des Programms beheben lassen. Besonders in agilen Entwicklungsteams oder für gezielte Penetrationstests im API-Umfeld bietet Hetty aber eine schlanke Open-Source-Alternative zu kommerziellen Tools. Dank der plattformunabhängigen Weboberfläche lässt sich Hetty leicht in bestehende Entwicklungs- und Testumgebungen integrieren.