WEP lekcja #18 – SQL injection tutorial, UNION SELECT i phpMyAdmin w praktyce

Dzisiaj kontynuujemy temat ataków SQL Injection przechodząc do praktyki w skrypcie treningowym Damn Vulnerable Web Application. Dzisiaj poznasz klauzurę UNION SELECT umożliwiającą zebranie i złączenie wyników z kilku tabel bazy danych MySQL. Mam nadzieje że wziąłeś sobie do serca poprzednią pracę domową i już co nieco o tej klauzurze wiesz. Najważniejsze jest zrozumienie faktu, że do jej użycia […]

Czytaj więcej

WEP lekcja #11 – Atak LFI (Local File Include) i narzędzie fimap w Kali Linux

Dzisiaj pokażemy czym jest atak LFI, czyli rozwijając ten skrót local file lnclusion. Zaprezentujemy również świetny darmowy skaner fimap dostępny w systemie Kali Linux umożliwiający automatyczne wyszukiwanie podatności typu local file include i remote file inclusion. Na wstępie powinieneś wiedzieć, że tego typu luka pozwala na dołączenie, wyświetlanie i wykonywanie lokalnych plików znajdujących się na serwerze www. […]

Czytaj więcej

WEP lekcja #9 – Atak cross site request forgery (XSRF/CSRF)

W dzisiejszej #9 lekcji poznasz specyficzny atak o nazwie cross-site request forgery. W uproszczeniu atak ten polega na wysłaniu złośliwego żądania HTTP w imieniu ofiary. Przykładowo gdy audytor bezpieczeństwa odnajdzie lukę typu XSRF/CSRF, może spróbować nakłonić do wywołania danej akcji na stronie internetowej administratora lub zwykłego użytkownika strony (zmiana hasła, dodanie artykułu, zmiana ustawień witryny, zmiana podpisu na […]

Czytaj więcej