WEP lekcja #19 – Blind SQL injection tutorial, Burp Suite i wyciąganie hasła MD5 (hash)

W dzisiejszym tutorial zajmiemy się atakiem Blind SQL Injction. Tego typu podatność różni się od zwykłego ataku SQL tym, że skrypt nie wyświetla żadnych informacji zwrotnych z bazy danych. Przykładem może być zapytanie SELECT, które tylko sprawdza czy w bazie danych istnieje dany użytkownik czy też nie. Nie zwraca żadnych informacji o tej osobie z DB (nawet loginu), […]

Czytaj więcej

WEP lekcja #8 – Niebezpieczna luka typu Command Injection…

Dzisiaj powiem Tobie o luce umożliwiającej wstrzykiwanie poleceń systemowych (cmd/bash) za pomocą dziurawego skryptu języka PHP. Problem ten występuje w przypadku, gdy programista nie waliduje przesłanych informacji od użytkownika i wywołuje za ich pomocą takie funkcje PHP jak system(), exec(), passthru() lub inną odwołującą się do komend systemowych. Trzeba zaznaczyć,  że ta jak i większość lekcji nie odwołuje […]

Czytaj więcej

WEP lekcja #7 – Zaawansowana THC-Hydra z cookies i nagłówkami…

Dzisiejsza lekcja szkoleniowa definitywnie zamyka rozdział ataków brute-force. Teraz jak już wiesz czym są ciasteczka internetowe, przekażemy Tobie wiedzę jak wykonywać test bezpieczeństwa w systemie Kali Linux programem THC-Hydra 8.1 w aplikacjach, które wymagają najpierw zalogowania się. Nowością w tej lekcji będzie wykorzystanie dodatkowych zaawansowanych parametrów nagłówków HTTP wraz z ciasteczkami (cookies). Zaletą takiego rozwiązania […]

Czytaj więcej

WEP lekcja #6 – Cookie Cadger, Wireshark i przechwytywanie ciasteczek sesyjnych

W dzisiejszej lekcji powiemy o przepotężnym narzędziu Cookie Cadger, umożliwiającym w sposób zautomatyzowany przechwytywanie ciasteczek sesyjnych (phpsessid). Dodatkowo pokazujemy również narzędzie Ettercap upraszczające atak man in the middle (MITM) typu ARP poisoning i świetne multiplatformowe narzędzie do analizy ruchu sieciowego o nazwie Wireshark. Wszystkie z tych narzędzi są tak naprawdę darmowymi snifferami, posiadającymi kilka dodatkowych […]

Czytaj więcej

WEP lekcja #5 – wprowadzenie do ciasteczek w PHP

Dzisiejsza piąta już lekcja wprowadzi Ciebie do zagadnień związanych z ciasteczkami (cookies) w protokole HTTP i języku programowania PHP. Jest to kluczowe zagadnienie do zrozumienia kolejnych dwóch lekcji, które pojawią się niebawem. Żeby nie przedłużać wyjaśnię pokrótce czym są ciasteczka. Najprościej mówiąc są to malutkie pliki w przeglądarce internetowej, które mogą zapamiętywać pewne wartości. Swoim działaniem […]

Czytaj więcej

WEP lekcja #4 – DirBuster, bruteforce i włamanie do MySQL

W dzisiejszej lekcji szkolenia powiemy sobie o wstępnym szukaniu luk w stronach internetowych i zabezpieczaniu phpMyAdmina. W pierwszym w kroku cyberprzestępca lub pentester za pomocą wyszukiwarek internetowych (zindeksowane treści w Google) i dodatkowych narzędzi takich jak DirBuster poszukuje wektorów ataku. Ma to na celu znalezienie jak największej liczby interesujących skryptów (np. paneli logowania), plików konfiguracyjnych […]

Czytaj więcej

Startujemy z nową wersją web szkoły hakerstwa na YouTube

Miło nam poinformować Ciebie, że właśnie wystartowaliśmy z nowym cyklem kursów na naszym kanale YouTube. Dotyczyć one będą audytowania webowych aplikacji. Na chwilę obecną nosi on nazwę roboczą Web Application Pentesting – haker.edu.pl. Będziemy w nim prowadzić praktyczny podstawowy trening z zakresu atakowania i obrony wszelakimi metodami stron internetowych. Duży nacisk kładziemy na aspekt szybkiego wprowadzenia do tematu i […]

Czytaj więcej

Haker film | FABULARNE FILMY O HAKERACH #2

Zbliża się weekend więc warto zastanowić się nad formą spędzenia czasu. W dzisiejszym wpisie kontynuujemy temat z pierwszej części o fabularnych filmach o hakerach. Przedstawiamy kolejne propozycje filmowe o komputerowych maniakach. Rozpoczniemy od pewnego serialu o którym informacjami od ostatniego wpisu jesteśmy ciągle zasypywani przez czytelników. Zaznaczam od razu, że nasze opisy filmów są bardzo enigmatyczne. […]

Czytaj więcej

Generator haseł i portfel na hasło | PO CO?!

Szukasz bezpiecznego hasła? Skorzystaj z darmowych generatorów haseł lub portfeli na nie. Przed przystąpieniem do czytania tego wpisu, warto prześledzić naszą stosunkowo starą już poradę o tworzeniu bezpiecznych haseł. Jak wiadomo często to człowiek jest najsłabszym ogniwem w systemie informatycznym. Nie ma tutaj różnicy, czy używamy zaktualizowanego bezpiecznego systemu Linux, Windows lub Android – ważne kwestią też są […]

Czytaj więcej