Archiv rubriky: školení hackingu

Testování vstupů webové aplikace – nástroje

V minulém příspěvku jsme prošli úvodem do testování vstupů webových aplikací. Dnes půjdeme o něco dál, protestujeme scénář přihlášení v aplikaci WABANK a najdeme chybu ve validaci vstupů pro konstrukci SQL dotazu. Testovací scénář Protestujeme jeden vstupní bod “username” v přihlášovacím formuláři do online bankovnictví. Použijeme k tomu webovou aplikaci WABANK, která je dostatečně naivní a děravá. Zranitelná aplikace WABANK je k dispozici zdarma. Příprava nástrojů Před testováním si připravíme arzenál nástrojů. Jako operační systém zvolíme Kali linux. Testovací web proxy K…

Číst dál

WABANK – úmyslně zranitelná webová aplikace

WABANK je úmyslně zranitelná webová aplikace, na které si můžete procvičit testování zranitelností podle zprávy OWASP Top 10. Aplikace je zdarma pro nekomerční využití.         Ke stažení Ke stažení je alfa verze  Jak na to? Stáhněte si webovou aplikaci a rozbalte zip archiv (Hackerlab-WABANK-1-0-alpha.zip). V souboru README.TXT najdete instalační postup pro Debian/Ubuntu linux. S přihlašovacími údaji admin/admin získáte přístup do “debug panelu”. Nástrojem OWASP ZAP nebo Burp Suite hledejte zranitelnosti. OWASP Top 10 Aplikace WABANK obsahuje tyto…

Číst dál

Jak se stát hackerem

V tomto příspěvku budu mluvit o tom, jak se stát hackerem, přesněji řečeno jak se učit a s čím začít. Je to osnova hackingu pro začátečníky a nehrajeme si zde na exceletní hackery. Úvod do terminologie Podívejme se nejdříve, kdo je hacker a co znamenají označení cracker, etický hacker a penetrační tester. Hacker a cracker Za hackera je běžně médii označován člověk, který získá neoprávněný přístup k datům, způsobí nedostupnost služby nebo získá kontrolu nad celým serverem. Správně by média…

Číst dál

Tréninková platforma Hackerlab 2.0

Rád bych se s vámi podělil o novinky ohledně naší nové tréninkové platformy druhé generace (Hackerlab 2.0). Nejprve však vysvětlím koncept výuky, který úzce souvisí se samotnou platformou. Koncept kurzů Pokud ještě neznáte naše hackingkurzy.cz, tak razíme koncept praktické výuky, který je založen z 80% na hackingu v živých labech. Přesněji řečeno se jedná o pozorování interakcí, které sami studenti provádí na živých systémech pod vedením zkušeného lektora. Zbytek času je věnovaný teorii, která na pozadí vysvětluje pozorované chování. Tato metoda…

Číst dál

NMAP a zapomenuté volby

NMAP je silný nástroj, který překročil stín běžného síťového skeneru a jeho funkcionality se běžně používají při bezpečnostních auditech. V dnešním příspěvku se budeme věnovat volbám, které nesouvisí s vlastním skenováním, ale mohou se vám v praxi hodit. Interaktivní příkazy Jistě jste si všimli, že NMAP během skenu při stisku některých kláves, např. enter, vypisuje statistiky o stavu skenu.

Stiskneme-li během skenu otazník (?), dostaneme nápovědu o interaktivních příkazech, které ovlivňují další výpisy.

Například stiskem klávesy “p” se…

Číst dál

Šifry, kódy a hashovací funkce (1.část)

Příspěvek volně navazuje na předchozí díly útoků na hesla, často se totiž setkáme s obrazy hesel, které vznikly za pomocí hashovacích funkce nebo šifry. V tomto příspěvku se seznámíme s terminologií a hashovacími funkcemi MD5 a SHA-1. Základní pojmy Šifra Šifra je kryptografický algoritmus, který vezme prostý text a převede jej na nečitelný šifrovaný text.  Takový algoritmus ke svoji činnosti dále potřebuje klíč, který reprezentuje tajnou informaci, bez které není možné získat původní prostý text. Klíč je intergální součást šifrovacího…

Číst dál

Úvod do hádání hesel

Hesla a uživatelské účty používáme denně ke své autentizaci a identifikaci do různých aplikací. Než se pustíme do popisu jednotlivých útoků, podívejme se nejdříve, jak aplikace obecně řídí přístup ke svým prostředkům, jaké typy účtů můžeme v aplikacích najít a co je to politika hesel.   Řízení přístupu a důvěrnost dat Správné úživatelské jméno a heslo nám umožňuje získat přístup do systému pod určitou identitou. Při přihlašování a ověřování, zda jsme autorizováni provést určitou akci, vždy procházíme kontrolou aplikace, která…

Číst dál

Detekce počítače na síti

Použití Dnes si ukážeme manuální metodu, jak detekovat, že je určitý počítač na síti živý, tzv. online. Tato informace se hodí síťovým administrátorům i etickým hackerům, protože řada síťových skenerů právě provádí nejdříve tuto detekci, tzv. host discovery, pokud chtějí sbírají další informace o systému. Pokročilejší detekce počítačů na síti si můžete vyzkoušet v našem SKP02 – skenování počítačů na síti. Ping Příkaz ping s parametrem IP adresy vysílá ICMP zprávu s dotazem echo Request a pokud tato zpráva dorazí…

Číst dál

Blog

Contacts

10 kroků pro bezpečný web

Ať už si stavíte malý blog, eshop nebo dáváte agentuře vyrobit „mikrosajtu“, budete řešit zabezpečení svého webu před útoky z internetu. V následujících odstavcích se dozvíte,…

Číst dál

OSCP – Cesta k certifikaci

V tomto příspěvku se bych se rád podělil o tipy, jak se připravit na OSCP certifikaci. Na úvod řeknu, že jsem začínal jako vývojář a…

Číst dál

Kali linux na Raspberry Pi

V dnešním článku nainstalujeme Kali linux na Raspberry Pi3. Raspberry Pi  je jednočipový minipočítač s procesorem ARM, který strčíte do krabičky od mýdla. Pro Raspberry…

Číst dál

Kontakty

+420 739 639 132

Petr Juhaňák
V Poli 547
517 71 České Meziříčí
Czech Republic

IČO 01259041