WEP lekcja #22 – Narzędzia hakerskie Vega Vulnerability Scanner, NMAP, Paros i wiele innych…

Dzisiaj film wyjątkowy. Przyjrzymy się narzędziom hakerskim dostępnym w systemie operacyjnym Kali Linux. Oczywiście wybraliśmy te dedykowane dla audytorów stron internetowych z naciskiem na zaawansowane skanery luk. Na liście znalazły się takie perełki jak Vega Vulnerability ScannerWappalizer, Nikto 2, clusterd, wpscan, Paros, skipfish, HexorBase, nmap, hashcat. Wszystkie demonstrowane narzędzia, które wybraliśmy są w pełni darmowe.

Mimo faktu, że zademonstrowaliśmy tylko kilkanaście popularnych programów dla hakerów materiał poradnika wideo jest dosyć długi i trwa aż 00:32:25. Pominęliśmy oczywiście aplikacje Kali Linux wykorzystane już wcześniej w kursie takie jak beef-xss, Burp Suite, jSQL Injection lub sqlmap. Jest oczywiście dużo więcej świetnych darmowych aplikacji, takich jak lubiany przez niektórych kombajn audytorski OWASP ZAP, w3af lub WebScarab Framework. Ile by wtedy trwał kurs… 🙂
Read More

WEP lekcja #9 – Atak cross site request forgery (XSRF/CSRF)

W dzisiejszej #9 lekcji poznasz specyficzny atak o nazwie cross-site request forgery. W uproszczeniu atak ten polega na wysłaniu złośliwego żądania HTTP w imieniu ofiary. Przykładowo gdy audytor bezpieczeństwa odnajdzie lukę typu XSRF/CSRF, może spróbować nakłonić do wywołania danej akcji na stronie internetowej administratora lub zwykłego użytkownika strony (zmiana hasła, dodanie artykułu, zmiana ustawień witryny, zmiana podpisu na forum www itd) .

Jak wyżej wspomnieliśmy zaatakowana i oszukana ofiara, nieświadomie wywołuje pewną funkcjonalność strony. Tego typu luka często wykorzystywana jest z atakami typu XSS lub po prostu socjotechnicznymi. Wszystko zależy od budowy samej strony internetowej. O atakach XSS i języku JavaScript w połączeniu z CSRF dowiesz się z kolejnych lekcji. Read More

WEP lekcja #8 – Niebezpieczna luka typu Command Injection…

Dzisiaj powiem Tobie o luce umożliwiającej wstrzykiwanie poleceń systemowych (cmd/bash) za pomocą dziurawego skryptu języka PHP. Problem ten występuje w przypadku, gdy programista nie waliduje przesłanych informacji od użytkownika i wywołuje za ich pomocą takie funkcje PHP jak system(), exec(), passthru() lub inną odwołującą się do komend systemowych.

Trzeba zaznaczyć,  że ta jak i większość lekcji nie odwołuje się konkretnie do PHP. Istnieją inne języki i serwery służące do tworzenia i przetrzymywania dynamicznych stron www i w nich koncepcja ataku pozostaje taka sama. Atak typu command injection może być szalenie groźny i ostatecznie doprowadzić nawet do uszkodzenia całego serwera. Wszystko tutaj zależy od umiejętności hakera w poruszaniu się w gąszczu poleceń systemowych i wiedzy na temat działania systemu operacyjnego i samych aplikacji serwerowych. Na wideo zaprezentowany jest również sposób na wyciągnięcie ciasteczek sesyjnych administratora strony za pomocą tej dziur w oprogramowaniu web aplikacji. Read More

WEP lekcja #7 – Zaawansowana THC-Hydra z cookies i nagłówkami…

Dzisiejsza lekcja szkoleniowa definitywnie zamyka rozdział ataków brute-force. Teraz jak już wiesz czym są ciasteczka internetowe, przekażemy Tobie wiedzę jak wykonywać test bezpieczeństwa w systemie Kali Linux programem THC-Hydra 8.1 w aplikacjach, które wymagają najpierw zalogowania się.

Nowością w tej lekcji będzie wykorzystanie dodatkowych zaawansowanych parametrów nagłówków HTTP wraz z ciasteczkami (cookies). Zaletą takiego rozwiązania jest możliwość zmiany między innymi User-Agenta przeglądarki i wprowadzenie ciasteczka sesyjnego podtrzymującego autoryzacje użytkownika strony www. Read More

WEP lekcja #6 – Cookie Cadger, Wireshark i przechwytywanie ciasteczek sesyjnych

W dzisiejszej lekcji powiemy o przepotężnym narzędziu Cookie Cadger, umożliwiającym w sposób zautomatyzowany przechwytywanie ciasteczek sesyjnych (phpsessid). Dodatkowo pokazujemy również narzędzie Ettercap upraszczające atak man in the middle (MITM) typu ARP poisoning i świetne multiplatformowe narzędzie do analizy ruchu sieciowego o nazwie Wireshark. Wszystkie z tych narzędzi są tak naprawdę darmowymi snifferami, posiadającymi kilka dodatkowych funkcjonalności uzupełniających się nawzajem.

Z poprzedniej lekcji już co nieco wiesz o ciasteczkach sesyjnych i domyślasz się, że za ich pomocą możesz zalogować się do strony internetowej bez znajomości hasła i loginu. Dzisiaj pokażemy jak za pomocą programu typu sniffer przechwycić te cookies i wprowadzić do swojej przeglądarki przejmując w ten sposób sesje użytkownika. Read More

WEP lekcja #5 – wprowadzenie do ciasteczek w PHP

Dzisiejsza piąta już lekcja wprowadzi Ciebie do zagadnień związanych z ciasteczkami (cookies) w protokole HTTP i języku programowania PHP. Jest to kluczowe zagadnienie do zrozumienia kolejnych dwóch lekcji, które pojawią się niebawem. Żeby nie przedłużać wyjaśnię pokrótce czym są ciasteczka.

Najprościej mówiąc są to malutkie pliki w przeglądarce internetowej, które mogą zapamiętywać pewne wartości. Swoim działaniem przypominają nieco zmienne poznane już wcześniej we wprowadzeniu do PHP. Stosuje się je ze względu na fakt, że sam protokół HTTP jest bezstanowy. Czyli każde zapytanie dowolnego użytkownika HTTP dla serwera jest nie powiązane z innym zapytaniem. Read More

WEP lekcja #4 – DirBuster, bruteforce i włamanie do MySQL

W dzisiejszej lekcji szkolenia powiemy sobie o wstępnym szukaniu luk w stronach internetowych i zabezpieczaniu phpMyAdmina. W pierwszym w kroku cyberprzestępca lub pentester za pomocą wyszukiwarek internetowych (zindeksowane treści w Google) i dodatkowych narzędzi takich jak DirBuster poszukuje wektorów ataku. Ma to na celu znalezienie jak największej liczby interesujących skryptów (np. paneli logowania), plików konfiguracyjnych i innych danych,, umożliwiających znalezienie potencjalnych punktów dalszego ataku hakerskiego. Należy wiedzieć, że administratorzy strony najczęściej trzymają więcej skryptów niż jeden na serwerze (lub nawet kilka stron internetowych).

Read More

WEP lekcja #3 – Wprowadzenia do HTML, PHP i brute-force

W dzisiejszej trzeciej już lekcji Web Application Pentesting, zajmiemy się szybkim praktycznym wprowadzeniem do języka HTML, PHP i ataków siłowych (brute-force) skierowanych na formularze. Wykorzystamy w tym celu nasz obraz systemu operacyjnego Kali Linux uruchomiony w środowisku wirtualnym VirtualBox. W kolejnych lekcjach pokażemy nieco bardziej rzeczywiste i wyrafinowane metody ataków na strony internetowe. Do tej lekcji dołączone są zadania do wykonania we własnym zakresie wraz z rozwiązaniami. Polecam Tobie jeśli chcesz działać w myśl kreatywnych hakerów, spróbować najpierw rozwiązać zadanie samemu, a dopiero później zajrzeć do zamieszczonego spoilera z rozwiązaniem. Read More

Startujemy z nową wersją web szkoły hakerstwa na YouTube

Miło nam poinformować Ciebie, że właśnie wystartowaliśmy z nowym cyklem kursów na naszym kanale YouTube. Dotyczyć one będą audytowania webowych aplikacji. Na chwilę obecną nosi on nazwę roboczą Web Application Pentesting – haker.edu.pl. Będziemy w nim prowadzić praktyczny podstawowy trening z zakresu atakowania i obrony wszelakimi metodami stron internetowych. Duży nacisk kładziemy na aspekt szybkiego wprowadzenia do tematu i praktykę. Do wielu zadań zamierzamy oczywiście zamieszczać prace domowe na naszym blogu, a odnośniki do nich znajdować będą się pod danym filmem. Chcemy Was wprowadzić w podstawowe tajniki wykrywania i wykorzystywania potencjalnych luk w aplikacjach webowych. Dzięki tej wiedzy w przyszłości łatwiej będzie Wam je naprawiać, jeśli zostaniecie programistami webowymi. Read More