V dnešním článku nainstalujeme Kali linux na Raspberry Pi3. Raspberry Pi je jednočipový minipočítač s procesorem ARM, který strčíte do krabičky od mýdla. Pro Raspberry najdete řadu aplikací, od výuky programování až po mediální centrum a retro hraní. Z pohledu hackingu je klíčové, že na tento typ procesoru lze nainstalovat Kali linux a používat jej…
Android hacking pro začátečníky – Android Studio
Vítám čtenáře seriálu o hackingu mobilních aplikací na platformě Android. V minulém díle jsme se věnovali architektuře, dnes se zaměříme na instalaci a konfiguraci Android Studia, seznámíme se s manažerem virtuálních zařízení a v telefonu aktivujeme volbu pro vývojáře. Android Studio Android Studio je vývojové prostředí pro programátory mobilních aplikací. Součástí této instalace je balíček…
Brute force – útok na hesla hrubou silou
V dnešním příspěvku si vysvětlíme, co je to útok na heslo hrubou silou. Demonstraci útoku provedeme na starší verzi WordPressu s úmyslně slabým heslem do administrace. Tento článek má za cíl ukázat, že jednoduchá hesla jsou hřebíčkem do rakve každé aplikace. Upozorňujeme, že záměr článku je čistě edukační a tímto vás odrazujeme od podobných pokusů…
Testování vstupů webové aplikace – nástroje
V minulém příspěvku jsme prošli úvodem do testování vstupů webových aplikací. Dnes půjdeme o něco dál, protestujeme scénář přihlášení v aplikaci WABANK a najdeme chybu ve validaci vstupů pro konstrukci SQL dotazu. Testovací scénář Protestujeme jeden vstupní bod „username“ v přihlášovacím formuláři do online bankovnictví. Použijeme k tomu webovou aplikaci WABANK, která je dostatečně naivní a…
Kali linux – poprvé na síti
V dnešním příspěvku se podíváme na to, jak se Kali linux automaticky připojuje do sítě a které systémové konfigurace toto nastavení ovlivňují. Příprava virtuálního stroje V nástroji VirtualBox vytvoříme nový virtuální stroj s 1024 GB RAM a s dynamicky alokovaným diskem o velikosti 20 GB. Stažení instalačního média Z domovské stránky kali.org stáhneme 64bit verzi…
Testování vstupů webové aplikace – úvod
Dříve nebo později se v penetračním testování webových aplikací dostanete k testování vstupů. V dnešním příspěvku si vysvětlíme, co je to rozhraní, jak vypadají vstupní body webové aplikace a jak je provolat. Rozhraní aplikace Webová aplikace zpracovává nebo prezentuje data přes jedno nebo více rozhraní. Každé rozhraní má svoji formu a vynucuje si přenos dat…
Upgrade Kali linuxu
Kali linux od verze 2016.1 přichází ve formě „rolling upgrade“ distribuce. To znamená, že lze Kali neustále povyšovat na aktuální verzi. V dnešním příspěvku si ukážeme, jak takový „rolling upgrade“ správně provádět. V příspěvku se záměrně vyhýbám českému překladu „plynulé povyšování verze“, čtenáři mi to jistě prominou. Verze Otevřeme si terminál a příkazem uname -a…
Cross-site Request Forgery (CSRF)
Cross-site Request Forgery (CSRF) je zranitelnost webových aplikací, která za určitých podmínek umožňuje autentizované uživatele donutit k tomu, aby provedli nezamýšlenou akci. Podstata zranitelnosti tkví v tom, že aplikace nedokáže rozlišit požadavky, které uživatel „zavolal“ neúmyslně. Než odhalíme podstatu CSRF, seznámíme se nejdříve s mechanizmem cookies, který webové aplikace využívají k identifikaci relace uživatele. Identifikátor…