V dnešním článku nainstalujeme Kali linux na Raspberry Pi3. Raspberry Pi je jednočipový minipočítač s procesorem ARM, který strčíte do krabičky od mýdla. Pro Raspberry najdete řadu aplikací, od výuky programování až po mediální centrum a retro hraní. Z pohledu hackingu je klíčové, že na tento typ procesoru lze nainstalovat Kali linux a používat jej…
Brute force – útok na hesla hrubou silou
V dnešním příspěvku si vysvětlíme, co je to útok na heslo hrubou silou. Demonstraci útoku provedeme na starší verzi WordPressu s úmyslně slabým heslem do administrace. Tento článek má za cíl ukázat, že jednoduchá hesla jsou hřebíčkem do rakve každé aplikace. Upozorňujeme, že záměr článku je čistě edukační a tímto vás odrazujeme od podobných pokusů…
Testování vstupů webové aplikace – nástroje
V minulém příspěvku jsme prošli úvodem do testování vstupů webových aplikací. Dnes půjdeme o něco dál, protestujeme scénář přihlášení v aplikaci WABANK a najdeme chybu ve validaci vstupů pro konstrukci SQL dotazu. Testovací scénář Protestujeme jeden vstupní bod „username“ v přihlášovacím formuláři do online bankovnictví. Použijeme k tomu webovou aplikaci WABANK, která je dostatečně naivní a…
Dokumentační nástroje pentestera
Při hledání bezpečnostních děr si každý tester potřebuje utřídit svoje myšlenky a zaznamenávat chování aplikace. V tomto příspěvku si ukážeme základní nástroje, které pomáhají dokumentovat průběh penetračního testu a jeho výsledky. Tužka, excel a myšlenková mapa Každý penetrační test je jiný a pro organizaci testů se někdy hodí obyčejný papír a tužka, jindy myšlenková mapa…
Upgrade Kali linuxu
Kali linux od verze 2016.1 přichází ve formě „rolling upgrade“ distribuce. To znamená, že lze Kali neustále povyšovat na aktuální verzi. V dnešním příspěvku si ukážeme, jak takový „rolling upgrade“ správně provádět. V příspěvku se záměrně vyhýbám českému překladu „plynulé povyšování verze“, čtenáři mi to jistě prominou. Verze Otevřeme si terminál a příkazem uname -a…
Kali linux – jak vyměnit Javu
Nedávno jsem testoval webovou aplikaci nástrojem Burp Suite a po nějaké době vždy spadnul. Nikde ani stopy po chybě. Začal jsem hledat zda je to vůbec chyba nástroje. Na stránkách podpory „Burpa“ jsem našel podobný problém, který podezírá OpenJDK, což je zjednodušeně řečeno běhového prostředí pro Javu. Tyto chyby jsou nepříjemné, je to pád virtuálního…
Nikto – skenujeme web server
Pokud se zaměřujete na weby a máte nainstalovaný Kali linux, tak nástroj Nikto bude jeden z prvních, který začnete zkoumat. Tento článek vás provede architekturou a vybranými volbami tohoto nástroje. K čemu je skener? Nikto je skener na testování bezpečnosti webových serverů. Přesněji řečeno otestuje základní „dětské nemoci“ konfigurace web serveru, nepřehlédne typické adresáře a…
Kali linux – Aktualizace nástrojů
V repositáři Kali linuxu je spousta připravených balíčků s hacking nástroji, ale dříve nebo později každý takový balíček zestárne a ne vždy vývojáři linuxové distribuce Kali osvěží repositář o nové verze. Jak se s tím poprat? To si ukážeme právě v tomto příspěvku. Proč ostřit nástroje? Příprava nástrojů a jejich aktualizace je zásadní pro každý…
Kali linux
V dnešním příspěvku se seznámíš s linuxovou distribuci Kali, která je určená pro penetrační testy. Co je Kali linux Kali je linuxová distribuce zkompletovaná na míru penetračním testerům. Co to znamená? Znamená to, že máš jeden operační systém se všemi základními nástroji, které každý etický hacker potřebuje do svého arzenálu. Tato kompilace šetří tvůj čas,…