WABANK – úmyslně zranitelná webová aplikace

WABANK je úmyslně zranitelná webová aplikace, na které si můžete procvičit testování zranitelností podle zprávy OWASP Top 10. Aplikace je zdarma pro nekomerční využití. Ke stažení Ke stažení je alfa verze  Jak na to? Stáhněte si webovou aplikaci a rozbalte zip archiv (Hackerlab-WABANK-1-0-alpha.zip). V souboru README.TXT najdete instalační postup pro Debian/Ubuntu linux. S přihlašovacími údaji…

Sběr informací o webové aplikaci

Každý penetrační test má průzkumnou fázi, která se snaží získat informace o cíli a to buď přímým pozorováním nebo sběrem informačních otisků v internetu. V příspěvku se zaměříme na testy sběru dat v rámci testování webových aplikací. Nejde o jejich úplný výčet. Cílem je ukázat, co mohou takové testy za pomocí běžného prohlížeče prozradit. Než…

Nikto – skenujeme web server

Pokud se zaměřujete na weby a máte nainstalovaný Kali linux, tak nástroj Nikto bude jeden z prvních, který začnete zkoumat. Tento článek vás provede architekturou a vybranými volbami tohoto nástroje. K čemu je skener? Nikto je skener na testování bezpečnosti webových serverů. Přesněji řečeno otestuje základní „dětské nemoci“ konfigurace web serveru, nepřehlédne typické adresáře a…

Kali linux

V dnešním příspěvku se seznámíš s linuxovou distribuci Kali, která je určená pro penetrační testy. Co je Kali linux Kali je linuxová distribuce zkompletovaná na míru penetračním testerům. Co to znamená? Znamená to, že máš jeden operační systém se všemi základními nástroji, které každý etický hacker potřebuje do svého arzenálu. Tato kompilace šetří tvůj čas,…

Jak se stát hackerem

V tomto příspěvku budu mluvit o tom, jak se stát hackerem, přesněji řečeno jak se učit a s čím začít. Je to osnova hackingu pro začátečníky a nehrajeme si zde na exceletní hackery. Úvod do terminologie Podívejme se nejdříve, kdo je hacker a co znamenají označení cracker, etický hacker a penetrační tester. Hacker a cracker…

Tréninková platforma Hackerlab 2.0

Rád bych se s vámi podělil o novinky ohledně naší nové tréninkové platformy druhé generace (Hackerlab 2.0). Nejprve však vysvětlím koncept výuky, který úzce souvisí se samotnou platformou. Koncept kurzů Pokud ještě neznáte naše hackingkurzy.cz, tak razíme koncept praktické výuky, který je založen z 80% na hackingu v živých labech. Přesněji řečeno se jedná o pozorování…

NMAP a zapomenuté volby

NMAP je silný nástroj, který překročil stín běžného síťového skeneru a jeho funkcionality se běžně používají při bezpečnostních auditech. V dnešním příspěvku se budeme věnovat volbám, které nesouvisí s vlastním skenováním, ale mohou se vám v praxi hodit. Interaktivní příkazy Jistě jste si všimli, že NMAP během skenu při stisku některých kláves, např. enter, vypisuje…

URL kódování – Šifry, kódy a hashovací funkce (3.část)

Pravděpodobně jste si už někdy všimli, že žádná URL adresa neobsahuje mezeru nebo jiné speciální znaky. Vše je pečlivě ukryto za URL kódováním, které si v tomto příspěvku představíme. Význam kódování Pomocí HTTP protokolu se běžně předávají různé parametry, které ovlivňují chování webových aplikací. Pro většinu uživatelů je nejviditelnější předávání dat v adresním řádku, přesnějí…

Base64 – Šifry, kódy a hashovací funkce (2.část)

V dnešním příspěvku si představíme kódování Base64 a volně navážeme na úvodní díl do problematiky Šifry, kódy a hashovací funkce (1.část). Base64 Base64 je kódování, které umí převést binární data, tj. tisknutelné a netisknutelné znaky, do množiny tisknutelných znaků. Toto kódování je oblíbené v některých aplikačních protokolech, aby přenášená binární data nenarušila konvence aplikačního protokolu…

Dostupné slovníky s hesly

V minulém příspěvku Úvod do hádání hesel jsme rozlišovali uživatelské, aplikační a systémové účty. Dnes prozkoumáme jejich dostupné slovníky. Slovníky uživatelských hesel Slovníky s hesly uživatelů vycházejí z historických dat nejčetnějších hesel nebo se jedná o slovníky zaměřené na jazyk, profesi, žánr a další oblasti. Projekt OWASP SecLists agreguje různé slovníky, které jsou užitečné při…