Archiv rubriky: hacking návody

Kali linux na Raspberry Pi

V dnešním článku nainstalujeme Kali linux na Raspberry Pi3. Raspberry Pi  je jednočipový minipočítač s procesorem ARM, který strčíte do krabičky od mýdla. Pro Raspberry najdete řadu aplikací, od výuky programování až po mediální centrum a retro hraní. Z pohledu hackingu je klíčové, že na tento typ procesoru lze nainstalovat Kali linux a používat jej v terénu při penetračních testech Wi-Fi sítí nebo při testování uvnitř organizace jako dropbox. Hardware Raspberry Pi 3B je jednoduchá deska s jednočipovým 64bit ARM…

Číst dál

Android hacking pro začátečníky – ADB

Vítám čtenáře, kteří sledují náš seriál o “hackování” Androidu. Minule jsme se prokousali přípravou prostředí, abychom se dnes mohli připojit k Androidu pomocí nástroje Android Debug Bridge (ADB). Praktické příklady zkoušíme na emulovaném zařízení, a tak si na začátku ještě odskočíme k nástroji pro emulaci virtuálních zařízení. Emulátor Nemáme-li fyzické Android zařízení, použijeme emulátor a spustíme virtuální zařízení, které jsme si připravili pomocí správce – AVD. Spuštění emulátoru bez parametrů způsobí chybu. Emulátor si stěžuje, že jsme nespecifikovali jméno zařízení,…

Číst dál

Android hacking pro začátečníky – Android Studio

Vítám čtenáře seriálu o hackingu mobilních aplikací na platformě Android. V minulém díle jsme se věnovali architektuře, dnes se zaměříme na instalaci a konfiguraci Android Studia, seznámíme se s manažerem virtuálních zařízení a v telefonu aktivujeme volbu pro vývojáře. Android Studio Android Studio je vývojové prostředí pro programátory mobilních aplikací. Součástí této instalace je balíček platformových nástrojů Android SDK Platform-Tools, kde najdeme emulátor Androidu včetně nástroje pro komunikaci – Android Debug Bridge (ADB). Instalace Celá instalace Android Studia je dobře…

Číst dál

Android hacking pro začátečníky – architektura

Začínáme seriál o testování bezpečnosti mobilních aplikací na platformě Android a v tomto příspěvku se zaměříme na samotnou architekturu Androidu. Architektura Architekturu Androidu tvoří různé vrstvy podpůrných “hejbátek” a knihoven, které připravují půdu pro běh mobilních aplikací. Následující obrázek tyto vrstvy znázorňuje. Pojďme se blíže seznámit s každou vrstvou. Začneme odspodu linuxovým jádrem. Linuxové jádro Základním stavebním kamenem každého Androidu je linuxové jádro, které spolu s ovladači zařízení obsluhuje hardware telefonu. Linuxové jádro poskytuje elementární operace typu spusti aplikaci, čti/zapiš…

Číst dál

Brute force – útok na hesla hrubou silou

V dnešním příspěvku si vysvětlíme, co je to útok na heslo hrubou silou. Demonstraci útoku provedeme na starší verzi WordPressu s úmyslně slabým heslem do administrace. Tento článek má za cíl ukázat, že jednoduchá hesla jsou hřebíčkem do rakve každé aplikace. Upozorňujeme, že záměr článku je čistě edukační a tímto vás odrazujeme od podobných pokusů na systémech, které sami nevlastníte. Autentizace Každá aplikace, která řeší uživatele, musí ověřovat jejich identitu. Autentizace je akt ověření identity uživatele. Z pohledu útočníka je…

Číst dál

Testování vstupů webové aplikace – nástroje

V minulém příspěvku jsme prošli úvodem do testování vstupů webových aplikací. Dnes půjdeme o něco dál, protestujeme scénář přihlášení v aplikaci WABANK a najdeme chybu ve validaci vstupů pro konstrukci SQL dotazu. Testovací scénář Protestujeme jeden vstupní bod “username” v přihlášovacím formuláři do online bankovnictví. Použijeme k tomu webovou aplikaci WABANK, která je dostatečně naivní a děravá. Zranitelná aplikace WABANK je k dispozici zdarma. Příprava nástrojů Před testováním si připravíme arzenál nástrojů. Jako operační systém zvolíme Kali linux. Testovací web proxy K…

Číst dál

Kali linux – poprvé na síti

V dnešním příspěvku se podíváme na to, jak se Kali linux automaticky připojuje do sítě a které systémové konfigurace toto nastavení ovlivňují. Příprava virtuálního stroje V nástroji VirtualBox vytvoříme nový virtuální stroj s 1024 GB RAM a s dynamicky alokovaným diskem o velikosti 20 GB. Stažení instalačního média Z domovské stránky kali.org stáhneme 64bit verzi Kali linuxu, v době psaní tohoto příspěvku se jedná o verzi 4.12.0-kali1-amd64. Připojení instalačního média V nastavení úložiště virtuálního stroje připojíme stažený ISO obraz k…

Číst dál

Testování vstupů webové aplikace – úvod

Dříve nebo později se v penetračním testování webových aplikací dostanete k testování vstupů. V dnešním příspěvku si vysvětlíme, co je to rozhraní, jak vypadají vstupní body webové aplikace a jak je provolat. Rozhraní aplikace Webová aplikace zpracovává nebo prezentuje data přes jedno nebo více rozhraní. Každé rozhraní má svoji formu a vynucuje si přenos dat určitým způsobem. Pojďme si představit základní typy rozhraní: webové – grafické rozhraní, které vyžaduje interakce s uživatelem pomocí webového prohlížeče (HTTP), programové API – volání využívá…

Číst dál

Upgrade Kali linuxu

Kali linux od verze 2016.1 přichází ve formě “rolling upgrade” distribuce. To znamená, že lze Kali neustále povyšovat na aktuální verzi. V dnešním příspěvku si ukážeme, jak takový “rolling upgrade” správně provádět. V příspěvku se záměrně vyhýbám českému překladu “plynulé povyšování verze”, čtenáři mi to jistě prominou. Verze Otevřeme si terminál a příkazem uname -a zjistíme současnou verzi Kali linuxu.

Z výpisu vidíme, že máme verzi 4.9.0 Kali2 kompilovanou pro procesory s instrukční sadou AMD64 (x86_x64), což je 64bit…

Číst dál

Cross-site Request Forgery (CSRF)

Cross-site Request Forgery (CSRF) je zranitelnost webových aplikací, která za určitých podmínek umožňuje autentizované uživatele donutit k tomu, aby provedli nezamýšlenou akci. Podstata zranitelnosti tkví v tom, že aplikace nedokáže rozlišit požadavky, které uživatel “zavolal” neúmyslně. Než odhalíme podstatu CSRF, seznámíme se nejdříve s mechanizmem cookies, který webové aplikace využívají k identifikaci relace uživatele. Identifikátor relace uživatele Představme si eshop, kde se můžeme zaregistrovat, přihlásit a nakoupit. Když poprvé navštívíme stránky eshopu, dostaneme tzv. “session” – identifikátor relace. Najdeme jej…

Číst dál

Blog

Kontakty

Kali linux na Raspberry Pi

V dnešním článku nainstalujeme Kali linux na Raspberry Pi3. Raspberry Pi  je jednočipový minipočítač s procesorem ARM, který strčíte do krabičky od mýdla. Pro Raspberry…

Číst dál

Modelování hrozeb ve vývoji

v květnu jsem na Black Swan Security Congresu 2018 prezentoval o tématu modelování hrozeb ve vývoji a rád bych se s vámi podělil o svoje zkušenosti….

Číst dál

Android hacking pro začátečníky – ADB

Vítám čtenáře, kteří sledují náš seriál o “hackování” Androidu. Minule jsme se prokousali přípravou prostředí, abychom se dnes mohli připojit k Androidu pomocí nástroje Android…

Číst dál

Kontakty

+420 739 639 132

Petr Juhaňák
V Poli 547
517 71 České Meziříčí

IČO 01259041