Nietypowy atak SQL Injection w skrypcie dla hakerów DVWA

Podczas naszego kursu dla początkujących hakerów Web Application Penetration, zaprezentowaliśmy wszystkie dostępne na pierwszy rzut oka podatności występujące w poszczególnych lekcjach oprogramowania webowego Damn Vulnerable Web Application. Jeśli oglądałeś uważnie nasze materiały wideo, pewnie zauważyłeś że skaner podatności Vega wykrył podatność typu SQL Injection w module prezentującym formularz logowania podatny na atak na hasła metodą słownikową […]

Czytaj więcej

#24 Koniec kursu Web Application Pentesting!

Wszystko co dobre musi się kiedyś skończyć. To już niestety ostatnia 24 lekcja naszego szkolenia Web Application Pentesting z skryptem DVWA. Fajnie że z nami byłeś, ale żeby wiedza nie poszła na marne musisz działać dalej we własnym zakresie hakerze! :-) Dzisiaj opowiadamy Tobie co o tym co dalej możesz działać w kierunku nauki audytowania bezpieczeństwa aplikacji webowych. […]

Czytaj więcej

#23 Przykładowy atak hakerski w systemie Kali Linux (A-Z)

W dzisiejszej lekcji zaprezentujemy w praktyce przykładowy symulowany atak hakerski na webowy system WordPress. Dowiesz się również czym jest zbieranie informacji, mapowanie zagrożeń, analiza podatności, sam atak, eksploracja systemu i raport bezpieczeństwa. Film dosyć długi, ciekawy i w sposób praktyczny podsumowujący informacje z całego naszego kursu Web Application Pentesting. Wiele osób nie zdaje sobie sprawy, że […]

Czytaj więcej

Jak odzyskać hasło Windows z programem ophcrack?

Dzisiaj powiem Tobie jak za pomocą narzędzia ophcrack odzyskać hasło do systemu operacyjnego Windows XP, Vista, 7, 8, 8.1 i 10. Niestety w zaktualizowanych wersjach systemu z rodziny Microsoft Windows nie istnieją żadne magiczne sztuczki umożliwiające usunięcie hasła lub jego zresetowania. Jedynym ratunkiem jest tajemniczy plik NTLM SAM. Pamiętaj, że podczas ustawiania hasła do konta systemowego mogłeś podać podpowiedź która być może […]

Czytaj więcej

WEP lekcja #22 – Narzędzia hakerskie Vega Vulnerability Scanner, NMAP, Paros i wiele innych…

Dzisiaj film wyjątkowy. Przyjrzymy się narzędziom hakerskim dostępnym w systemie operacyjnym Kali Linux. Oczywiście wybraliśmy te dedykowane dla audytorów stron internetowych z naciskiem na zaawansowane skanery luk. Na liście znalazły się takie perełki jak Vega Vulnerability Scanner, Wappalizer, Nikto 2, clusterd, wpscan, Paros, skipfish, HexorBase, nmap, hashcat. Wszystkie demonstrowane narzędzia, które wybraliśmy są w pełni darmowe. Mimo […]

Czytaj więcej

WEP lekcja #21 – Błędy w implementacji kodu captcha w PHP

W dzisiejszej lekcji powiemy sobie o mechanizmach przepisywania kodu z obrazka na stronach internetowych. Jest to tzn. captcha. Tego typy mechanizmy stosuje się w celu weryfikacji czy internauta jest rzeczywiście człowiekiem. Tego typu zabezpieczenie jest świetnym rozwiązaniem stosowanym w walce ze spamem, złośliwymi botami internetowymi, ochroną przed brute-force i innymi skryptami automatyzującymi ataki hakerskie. Czy […]

Czytaj więcej

WEP lekcja #20 – SQLMAP i jSQL tutorial – narzędzia do SQL Injection w Kali Linux

Dzisiaj czas na narzędzia dostępne w systemie operacyjnym Kali Linux 2016.1 dedykowane do testów bezpieczeństwa związanych z atakami SQL Injection. Na pierwszy ogień pójdzie aplikacja jSQL Injection. Program umożliwia zarówno detekcje luki typu Blind SQL Injection jak i zwykłej standardowej podatności związanej z bazą danych. Dużą zaletą jest oczywiście interfejs graficzny i możliwość wykorzystania dodatkowych ciasteczek […]

Czytaj więcej

WEP lekcja #19 – Blind SQL injection tutorial, Burp Suite i wyciąganie hasła MD5 (hash)

W dzisiejszym tutorial zajmiemy się atakiem Blind SQL Injction. Tego typu podatność różni się od zwykłego ataku SQL tym, że skrypt nie wyświetla żadnych informacji zwrotnych z bazy danych. Przykładem może być zapytanie SELECT, które tylko sprawdza czy w bazie danych istnieje dany użytkownik czy też nie. Nie zwraca żadnych informacji o tej osobie z DB (nawet loginu), […]

Czytaj więcej

WEP lekcja #18 – SQL injection tutorial, UNION SELECT i phpMyAdmin w praktyce

Dzisiaj kontynuujemy temat ataków SQL Injection przechodząc do praktyki w skrypcie treningowym Damn Vulnerable Web Application. Dzisiaj poznasz klauzurę UNION SELECT umożliwiającą zebranie i złączenie wyników z kilku tabel bazy danych MySQL. Mam nadzieje że wziąłeś sobie do serca poprzednią pracę domową i już co nieco o tej klauzurze wiesz. Najważniejsze jest zrozumienie faktu, że do jej użycia […]

Czytaj więcej