Testování vstupů webové aplikace – nástroje

V minulém příspěvku jsme prošli úvodem do testování vstupů webových aplikací. Dnes půjdeme o něco dál, protestujeme scénář přihlášení v aplikaci WABANK a najdeme chybu ve validaci vstupů pro konstrukci SQL dotazu. Testovací scénář Protestujeme jeden vstupní bod “username” v přihlášovacím formuláři do online bankovnictví. Použijeme k tomu webovou aplikaci WABANK, která je dostatečně naivní a…

WABANK – úmyslně zranitelná webová aplikace

WABANK je úmyslně zranitelná webová aplikace, na které si můžete procvičit testování zranitelností podle zprávy OWASP Top 10. Aplikace je zdarma pro nekomerční využití. Ke stažení Ke stažení je alfa verze  Jak na to? Stáhněte si webovou aplikaci a rozbalte zip archiv (Hackerlab-WABANK-1-0-alpha.zip). V souboru README.TXT najdete instalační postup pro Debian/Ubuntu linux. S přihlašovacími údaji…

Jak se stát hackerem

V tomto příspěvku budu mluvit o tom, jak se stát hackerem, přesněji řečeno jak se učit a s čím začít. Je to osnova hackingu pro začátečníky a nehrajeme si zde na exceletní hackery. Úvod do terminologie Podívejme se nejdříve, kdo je hacker a co znamenají označení cracker, etický hacker a penetrační tester. Hacker a cracker…

Tréninková platforma Hackerlab 2.0

Rád bych se s vámi podělil o novinky ohledně naší nové tréninkové platformy druhé generace (Hackerlab 2.0). Nejprve však vysvětlím koncept výuky, který úzce souvisí se samotnou platformou. Koncept kurzů Pokud ještě neznáte naše hackingkurzy.cz, tak razíme koncept praktické výuky, který je založen z 80% na hackingu v živých labech. Přesněji řečeno se jedná o pozorování…

NMAP a zapomenuté volby

NMAP je silný nástroj, který překročil stín běžného síťového skeneru a jeho funkcionality se běžně používají při bezpečnostních auditech. V dnešním příspěvku se budeme věnovat volbám, které nesouvisí s vlastním skenováním, ale mohou se vám v praxi hodit. Interaktivní příkazy Jistě jste si všimli, že NMAP během skenu při stisku některých kláves, např. enter, vypisuje…

Šifry, kódy a hashovací funkce (1.část)

Příspěvek volně navazuje na předchozí díly útoků na hesla, často se totiž setkáme s obrazy hesel, které vznikly za pomocí hashovacích funkce nebo šifry. V tomto příspěvku se seznámíme s terminologií a hashovacími funkcemi MD5 a SHA-1. Základní pojmy Šifra Šifra je kryptografický algoritmus, který vezme prostý text a převede jej na nečitelný šifrovaný text. …

Úvod do hádání hesel

Hesla a uživatelské účty používáme denně ke své autentizaci a identifikaci do různých aplikací. Než se pustíme do popisu jednotlivých útoků, podívejme se nejdříve, jak aplikace obecně řídí přístup ke svým prostředkům, jaké typy účtů můžeme v aplikacích najít a co je to politika hesel. Řízení přístupu a důvěrnost dat Správné úživatelské jméno a heslo…

Detekce počítače na síti

Použití Dnes si ukážeme manuální metodu, jak detekovat, že je určitý počítač na síti živý, tzv. online. Tato informace se hodí síťovým administrátorům i etickým hackerům, protože řada síťových skenerů právě provádí nejdříve tuto detekci, tzv. host discovery, pokud chtějí sbírají další informace o systému. Pokročilejší detekce počítačů na síti si můžete vyzkoušet v našem…