Archiv rubriky: etický hacking

Etický hacker je omílané spojení (buzzword), které vlastně nic neznamená, ale všichni o něm mluví. Intuitivně chápeme, že etický hacker je někdo, kdo má znalosti hackera, ale pomáhá odhalit díry v zabezpečení, tj. nezneužívá svoje znalosti a pomáhá ostatním.

10 kroků pro bezpečný web

Ať už si stavíte malý blog, eshop nebo dáváte agentuře vyrobit „mikrosajtu“, budete řešit zabezpečení svého webu před útoky z internetu. V následujících odstavcích se dozvíte, co si na webserveru pohlídat. Fyzický nebo virtuální server Pokud to s bezpečnostní myslíte vážně, nepoužívejte služby sdílených webhostingů. V této konfiguraci nemáte pod kontrolou aplikace a jejich nastavení. Sdílíte paměť procesu webserveru s ostatními a bezpečnostní díra jiného zákazníka je i vaše díra. Pokud nemáte vlastní server, máte v podstatě dvě možnosti. Využijete pronájem fyzického serveru, který bude…

Číst dál

OSCP – Cesta k certifikaci

V tomto příspěvku se bych se rád podělil o tipy, jak se připravit na OSCP certifikaci. Na úvod řeknu, že jsem začínal jako vývojář a později jsem se dostal k administraci databází a Linuxu, což je výhoda. Už jednou jsem se o OSCP neúspěšně pokusil, to byl ještě kurz postaven na linuxové distribuci BackTrack. Po pěti letech, kdy jsem sbíral zkušenosti jako pentester webových aplikací, jsem se k tomuto kurzu vrátil, abych se znovu zapotil. Co je to PWK a…

Číst dál

Kali linux na Raspberry Pi

V dnešním článku nainstalujeme Kali linux na Raspberry Pi3. Raspberry Pi  je jednočipový minipočítač s procesorem ARM, který strčíte do krabičky od mýdla. Pro Raspberry najdete řadu aplikací, od výuky programování až po mediální centrum a retro hraní. Z pohledu hackingu je klíčové, že na tento typ procesoru lze nainstalovat Kali linux a používat jej v terénu při penetračních testech Wi-Fi sítí nebo při testování uvnitř organizace jako dropbox. Hardware Raspberry Pi 3B je jednoduchá deska s jednočipovým 64bit ARM…

Číst dál

Modelování hrozeb ve vývoji

v květnu jsem na Black Swan Security Congresu 2018 prezentoval o tématu modelování hrozeb ve vývoji a rád bych se s vámi podělil o svoje zkušenosti. Prezentaci z konference najdete pod příspěvkem. Modelování hrozeb Modelování hrozeb, Threat Modeling, nebo také Threat Assessment, je týmová modelovací technika, která pomáhá vývojářům a architektům identifikovat hrozby ještě před tím, než začnou s implementací. Technika STRIDE V modelování se mi osvědčila technika STRIDE, která pracuje s šesti základními typy hrozeb a diagrami datových toků. Tuto…

Číst dál

Android hacking pro začátečníky – ADB

Vítám čtenáře, kteří sledují náš seriál o “hackování” Androidu. Minule jsme se prokousali přípravou prostředí, abychom se dnes mohli připojit k Androidu pomocí nástroje Android Debug Bridge (ADB). Praktické příklady zkoušíme na emulovaném zařízení, a tak si na začátku ještě odskočíme k nástroji pro emulaci virtuálních zařízení. Emulátor Nemáme-li fyzické Android zařízení, použijeme emulátor a spustíme virtuální zařízení, které jsme si připravili pomocí správce – AVD. Spuštění emulátoru bez parametrů způsobí chybu. Emulátor si stěžuje, že jsme nespecifikovali jméno zařízení,…

Číst dál

Android hacking pro začátečníky – Android Studio

Vítám čtenáře seriálu o hackingu mobilních aplikací na platformě Android. V minulém díle jsme se věnovali architektuře, dnes se zaměříme na instalaci a konfiguraci Android Studia, seznámíme se s manažerem virtuálních zařízení a v telefonu aktivujeme volbu pro vývojáře. Android Studio Android Studio je vývojové prostředí pro programátory mobilních aplikací. Součástí této instalace je balíček platformových nástrojů Android SDK Platform-Tools, kde najdeme emulátor Androidu včetně nástroje pro komunikaci – Android Debug Bridge (ADB). Instalace Celá instalace Android Studia je dobře…

Číst dál

Android hacking pro začátečníky – architektura

Začínáme seriál o testování bezpečnosti mobilních aplikací na platformě Android a v tomto příspěvku se zaměříme na samotnou architekturu Androidu. Architektura Architekturu Androidu tvoří různé vrstvy podpůrných “hejbátek” a knihoven, které připravují půdu pro běh mobilních aplikací. Následující obrázek tyto vrstvy znázorňuje. Pojďme se blíže seznámit s každou vrstvou. Začneme odspodu linuxovým jádrem. Linuxové jádro Základním stavebním kamenem každého Androidu je linuxové jádro, které spolu s ovladači zařízení obsluhuje hardware telefonu. Linuxové jádro poskytuje elementární operace typu spusti aplikaci, čti/zapiš…

Číst dál

Hacking facebook účtu

Dnes se podíváme na nejčastější útoky, které hrozí vašemu Facebooku účtu. Protože většina uživatelů přistupuje k této službě z mobilního zařízení, zaměříme se na přístup k Facebooku (FB) z mobilu. Přístup z mobilu Mobilní verze Facebooku používá k přihlášení tokeny, aby uživatel nemusel pokaždé zadávat svoje heslo. Tyto tokeny mají platnost 60 dní s možností prodloužení své platnosti. To je zajímavé v případech, kdy má útočník fyzický přístup k vašemu mobilu a stačí mu spustit Facebooku “apku”. V tuto chvíli…

Číst dál

Technologie a bezpečnost 2018

Vítám čtenáře našeho blogu. V tomto příspěvku se zamýšlím nad rozvojem technologie a bezpečnosti v oblasti kryptoměn, umělé inteligence a ochraně dat. Kryptoměny a smart kontrakty Rozmach digitální měny Bitcoin vzbudil velký zájem o kryptoměny. Za poslední rok se hodnota 1 Bitcoinu vyhoupla na 19,000 USD. V době psaní tohoto příspěvku se drží pod hranicí 15.000 USD za Bitcoin. Bitcoin je decentralizovaná sít, která kryptograficky chrání integritu transakcí a zajišťuje anonymitu svým uživatelům. Z tohoto pohledu bude zajímavé sledovat, jak…

Číst dál

Brute force – útok na hesla hrubou silou

V dnešním příspěvku si vysvětlíme, co je to útok na heslo hrubou silou. Demonstraci útoku provedeme na starší verzi WordPressu s úmyslně slabým heslem do administrace. Tento článek má za cíl ukázat, že jednoduchá hesla jsou hřebíčkem do rakve každé aplikace. Upozorňujeme, že záměr článku je čistě edukační a tímto vás odrazujeme od podobných pokusů na systémech, které sami nevlastníte. Autentizace Každá aplikace, která řeší uživatele, musí ověřovat jejich identitu. Autentizace je akt ověření identity uživatele. Z pohledu útočníka je…

Číst dál

Blog

Kontakty

10 kroků pro bezpečný web

Ať už si stavíte malý blog, eshop nebo dáváte agentuře vyrobit „mikrosajtu“, budete řešit zabezpečení svého webu před útoky z internetu. V následujících odstavcích se dozvíte,…

Číst dál

OSCP – Cesta k certifikaci

V tomto příspěvku se bych se rád podělil o tipy, jak se připravit na OSCP certifikaci. Na úvod řeknu, že jsem začínal jako vývojář a…

Číst dál

Kali linux na Raspberry Pi

V dnešním článku nainstalujeme Kali linux na Raspberry Pi3. Raspberry Pi  je jednočipový minipočítač s procesorem ARM, který strčíte do krabičky od mýdla. Pro Raspberry…

Číst dál

Kontakty

+420 739 639 132

Petr Juhaňák
V Poli 547
517 71 České Meziříčí

IČO 01259041