WEP lekcja #22 – Narzędzia hakerskie Vega Vulnerability Scanner, NMAP, Paros i wiele innych…

Dzisiaj film wyjątkowy. Przyjrzymy się narzędziom hakerskim dostępnym w systemie operacyjnym Kali Linux. Oczywiście wybraliśmy te dedykowane dla audytorów stron internetowych z naciskiem na zaawansowane skanery luk. Na liście znalazły się takie perełki jak Vega Vulnerability Scanner, Wappalizer, Nikto 2, clusterd, wpscan, Paros, skipfish, HexorBase, nmap, hashcat. Wszystkie demonstrowane narzędzia, które wybraliśmy są w pełni darmowe. Mimo […]

Czytaj więcej

WEP lekcja #19 – Blind SQL injection tutorial, Burp Suite i wyciąganie hasła MD5 (hash)

W dzisiejszym tutorial zajmiemy się atakiem Blind SQL Injction. Tego typu podatność różni się od zwykłego ataku SQL tym, że skrypt nie wyświetla żadnych informacji zwrotnych z bazy danych. Przykładem może być zapytanie SELECT, które tylko sprawdza czy w bazie danych istnieje dany użytkownik czy też nie. Nie zwraca żadnych informacji o tej osobie z DB (nawet loginu), […]

Czytaj więcej

WEP lekcja #18 – SQL injection tutorial, UNION SELECT i phpMyAdmin w praktyce

Dzisiaj kontynuujemy temat ataków SQL Injection przechodząc do praktyki w skrypcie treningowym Damn Vulnerable Web Application. Dzisiaj poznasz klauzurę UNION SELECT umożliwiającą zebranie i złączenie wyników z kilku tabel bazy danych MySQL. Mam nadzieje że wziąłeś sobie do serca poprzednią pracę domową i już co nieco o tej klauzurze wiesz. Najważniejsze jest zrozumienie faktu, że do jej użycia […]

Czytaj więcej

WEP lekcja #12 – Atak RFI (remote file inclusion) i User-Agent w DVWA

Dzisiaj demonstrujemy atak RFI, który umożliwia dołączanie zdalnej złośliwej zawartości wraz z kodem PHP, JavaScript lub ewentualnie HTML. Remote File Inclusion jest odmianą ataku LFI opisanego w lekcji 11. Tym razem zamiast możliwości pobierania i wykonywania lokalnego złośliwego kodu stosuje się plik umieszczony na zewnętrznym serwerze www. Podatność jest związana z błędnym weryfikowaniem przez programistę przesyłanych danych od […]

Czytaj więcej

Startujemy z nową wersją web szkoły hakerstwa na YouTube

Miło nam poinformować Ciebie, że właśnie wystartowaliśmy z nowym cyklem kursów na naszym kanale YouTube. Dotyczyć one będą audytowania webowych aplikacji. Na chwilę obecną nosi on nazwę roboczą Web Application Pentesting – haker.edu.pl. Będziemy w nim prowadzić praktyczny podstawowy trening z zakresu atakowania i obrony wszelakimi metodami stron internetowych. Duży nacisk kładziemy na aspekt szybkiego wprowadzenia do tematu i […]

Czytaj więcej