WEP lekcja #22 – Narzędzia hakerskie Vega Vulnerability Scanner, NMAP, Paros i wiele innych…

Dzisiaj film wyjątkowy. Przyjrzymy się narzędziom hakerskim dostępnym w systemie operacyjnym Kali Linux. Oczywiście wybraliśmy te dedykowane dla audytorów stron internetowych z naciskiem na zaawansowane skanery luk. Na liście znalazły się takie perełki jak Vega Vulnerability Scanner, Wappalizer, Nikto 2, clusterd, wpscan, Paros, skipfish, HexorBase, nmap, hashcat. Wszystkie demonstrowane narzędzia, które wybraliśmy są w pełni darmowe. Mimo […]

Czytaj więcej

WEP lekcja #9 – Atak cross site request forgery (XSRF/CSRF)

W dzisiejszej #9 lekcji poznasz specyficzny atak o nazwie cross-site request forgery. W uproszczeniu atak ten polega na wysłaniu złośliwego żądania HTTP w imieniu ofiary. Przykładowo gdy audytor bezpieczeństwa odnajdzie lukę typu XSRF/CSRF, może spróbować nakłonić do wywołania danej akcji na stronie internetowej administratora lub zwykłego użytkownika strony (zmiana hasła, dodanie artykułu, zmiana ustawień witryny, zmiana podpisu na […]

Czytaj więcej

WEP lekcja #8 – Niebezpieczna luka typu Command Injection…

Dzisiaj powiem Tobie o luce umożliwiającej wstrzykiwanie poleceń systemowych (cmd/bash) za pomocą dziurawego skryptu języka PHP. Problem ten występuje w przypadku, gdy programista nie waliduje przesłanych informacji od użytkownika i wywołuje za ich pomocą takie funkcje PHP jak system(), exec(), passthru() lub inną odwołującą się do komend systemowych. Trzeba zaznaczyć,  że ta jak i większość lekcji nie odwołuje […]

Czytaj więcej

WEP lekcja #7 – Zaawansowana THC-Hydra z cookies i nagłówkami…

Dzisiejsza lekcja szkoleniowa definitywnie zamyka rozdział ataków brute-force. Teraz jak już wiesz czym są ciasteczka internetowe, przekażemy Tobie wiedzę jak wykonywać test bezpieczeństwa w systemie Kali Linux programem THC-Hydra 8.1 w aplikacjach, które wymagają najpierw zalogowania się. Nowością w tej lekcji będzie wykorzystanie dodatkowych zaawansowanych parametrów nagłówków HTTP wraz z ciasteczkami (cookies). Zaletą takiego rozwiązania […]

Czytaj więcej

WEP lekcja #6 – Cookie Cadger, Wireshark i przechwytywanie ciasteczek sesyjnych

W dzisiejszej lekcji powiemy o przepotężnym narzędziu Cookie Cadger, umożliwiającym w sposób zautomatyzowany przechwytywanie ciasteczek sesyjnych (phpsessid). Dodatkowo pokazujemy również narzędzie Ettercap upraszczające atak man in the middle (MITM) typu ARP poisoning i świetne multiplatformowe narzędzie do analizy ruchu sieciowego o nazwie Wireshark. Wszystkie z tych narzędzi są tak naprawdę darmowymi snifferami, posiadającymi kilka dodatkowych […]

Czytaj więcej

WEP lekcja #5 – wprowadzenie do ciasteczek w PHP

Dzisiejsza piąta już lekcja wprowadzi Ciebie do zagadnień związanych z ciasteczkami (cookies) w protokole HTTP i języku programowania PHP. Jest to kluczowe zagadnienie do zrozumienia kolejnych dwóch lekcji, które pojawią się niebawem. Żeby nie przedłużać wyjaśnię pokrótce czym są ciasteczka. Najprościej mówiąc są to malutkie pliki w przeglądarce internetowej, które mogą zapamiętywać pewne wartości. Swoim działaniem […]

Czytaj więcej

WEP lekcja #4 – DirBuster, bruteforce i włamanie do MySQL

W dzisiejszej lekcji szkolenia powiemy sobie o wstępnym szukaniu luk w stronach internetowych i zabezpieczaniu phpMyAdmina. W pierwszym w kroku cyberprzestępca lub pentester za pomocą wyszukiwarek internetowych (zindeksowane treści w Google) i dodatkowych narzędzi takich jak DirBuster poszukuje wektorów ataku. Ma to na celu znalezienie jak największej liczby interesujących skryptów (np. paneli logowania), plików konfiguracyjnych […]

Czytaj więcej

WEP lekcja #3 – Wprowadzenia do HTML, PHP i brute-force

W dzisiejszej trzeciej już lekcji Web Application Pentesting, zajmiemy się szybkim praktycznym wprowadzeniem do języka HTML, PHP i ataków siłowych (brute-force) skierowanych na formularze. Wykorzystamy w tym celu nasz obraz systemu operacyjnego Kali Linux uruchomiony w środowisku wirtualnym VirtualBox. W kolejnych lekcjach pokażemy nieco bardziej rzeczywiste i wyrafinowane metody ataków na strony internetowe. Do tej lekcji dołączone są zadania […]

Czytaj więcej

Startujemy z nową wersją web szkoły hakerstwa na YouTube

Miło nam poinformować Ciebie, że właśnie wystartowaliśmy z nowym cyklem kursów na naszym kanale YouTube. Dotyczyć one będą audytowania webowych aplikacji. Na chwilę obecną nosi on nazwę roboczą Web Application Pentesting – haker.edu.pl. Będziemy w nim prowadzić praktyczny podstawowy trening z zakresu atakowania i obrony wszelakimi metodami stron internetowych. Duży nacisk kładziemy na aspekt szybkiego wprowadzenia do tematu i […]

Czytaj więcej