Blog

Brute force – útok na hesla hrubou silou

V dnešním příspěvku si vysvětlíme, co je to útok na heslo hrubou silou. Demonstraci útoku provedeme na starší verzi WordPressu s úmyslně slabým heslem do administrace. Tento článek má za cíl ukázat, že jednoduchá hesla jsou hřebíčkem do rakve každé aplikace. Upozorňujeme, že záměr článku je čistě edukační a tímto vás odrazujeme od podobných pokusů na systémech, které sami nevlastníte. Autentizace Každá aplikace, která řeší uživatele, musí ověřovat jejich identitu. Autentizace je akt ověření identity uživatele. Z pohledu útočníka je…

Číst dál

Testování vstupů webové aplikace – nástroje

V minulém příspěvku jsme prošli úvodem do testování vstupů webových aplikací. Dnes půjdeme o něco dál, protestujeme scénář přihlášení v aplikaci WABANK a najdeme chybu ve validaci vstupů pro konstrukci SQL dotazu. Testovací scénář Protestujeme jeden vstupní bod “username” v přihlášovacím formuláři do online bankovnictví. Použijeme k tomu webovou aplikaci WABANK, která je dostatečně naivní a děravá. Zranitelná aplikace WABANK je k dispozici zdarma. Příprava nástrojů Před testováním si připravíme arzenál nástrojů. Jako operační systém zvolíme Kali linux. Testovací web proxy K…

Číst dál

Kali linux – poprvé na síti

V dnešním příspěvku se podíváme na to, jak se Kali linux automaticky připojuje do sítě a které systémové konfigurace toto nastavení ovlivňují. Příprava virtuálního stroje V nástroji VirtualBox vytvoříme nový virtuální stroj s 1024 GB RAM a s dynamicky alokovaným diskem o velikosti 20 GB. Stažení instalačního média Z domovské stránky kali.org stáhneme 64bit verzi Kali linuxu, v době psaní tohoto příspěvku se jedná o verzi 4.12.0-kali1-amd64. Připojení instalačního média V nastavení úložiště virtuálního stroje připojíme stažený ISO obraz k…

Číst dál

Testování vstupů webové aplikace – úvod

Dříve nebo později se v penetračním testování webových aplikací dostanete k testování vstupů. V dnešním příspěvku si vysvětlíme, co je to rozhraní, jak vypadají vstupní body webové aplikace a jak je provolat. Rozhraní aplikace Webová aplikace zpracovává nebo prezentuje data přes jedno nebo více rozhraní. Každé rozhraní má svoji formu a vynucuje si přenos dat určitým způsobem. Pojďme si představit základní typy rozhraní: webové – grafické rozhraní, které vyžaduje interakce s uživatelem pomocí webového prohlížeče (HTTP), programové API – volání využívá…

Číst dál

Dokumentační nástroje pentestera

Při hledání bezpečnostních děr si každý tester potřebuje utřídit svoje myšlenky a zaznamenávat chování aplikace. V tomto příspěvku si ukážeme základní nástroje, které pomáhají dokumentovat průběh penetračního testu a jeho výsledky. Tužka, excel a myšlenková mapa Každý penetrační test je jiný a pro organizaci testů se někdy hodí obyčejný papír a tužka, jindy myšlenková mapa nebo excel. Ve fázi testování je už situace trochu jiná, potřebujeme získané informace hierarchicky ukládat a neustále doplňovat. Tady už narážíme na limity klasických nástrojů…

Číst dál

Upgrade Kali linuxu

Kali linux od verze 2016.1 přichází ve formě “rolling upgrade” distribuce. To znamená, že lze Kali neustále povyšovat na aktuální verzi. V dnešním příspěvku si ukážeme, jak takový “rolling upgrade” správně provádět. V příspěvku se záměrně vyhýbám českému překladu “plynulé povyšování verze”, čtenáři mi to jistě prominou. Verze Otevřeme si terminál a příkazem uname -a zjistíme současnou verzi Kali linuxu.

Z výpisu vidíme, že máme verzi 4.9.0 Kali2 kompilovanou pro procesory s instrukční sadou AMD64 (x86_x64), což je 64bit…

Číst dál

Cross-site Request Forgery (CSRF)

Cross-site Request Forgery (CSRF) je zranitelnost webových aplikací, která za určitých podmínek umožňuje autentizované uživatele donutit k tomu, aby provedli nezamýšlenou akci. Podstata zranitelnosti tkví v tom, že aplikace nedokáže rozlišit požadavky, které uživatel “zavolal” neúmyslně. Než odhalíme podstatu CSRF, seznámíme se nejdříve s mechanizmem cookies, který webové aplikace využívají k identifikaci relace uživatele. Identifikátor relace uživatele Představme si eshop, kde se můžeme zaregistrovat, přihlásit a nakoupit. Když poprvé navštívíme stránky eshopu, dostaneme tzv. “session” – identifikátor relace. Najdeme jej…

Číst dál

WABANK – úmyslně zranitelná webová aplikace

WABANK je úmyslně zranitelná webová aplikace, na které si můžete procvičit testování zranitelností podle zprávy OWASP Top 10. Aplikace je zdarma pro nekomerční využití.         Ke stažení Ke stažení je alfa verze  Jak na to? Stáhněte si webovou aplikaci a rozbalte zip archiv (Hackerlab-WABANK-1-0-alpha.zip). V souboru README.TXT najdete instalační postup pro Debian/Ubuntu linux. S přihlašovacími údaji admin/admin získáte přístup do “debug panelu”. Nástrojem OWASP ZAP nebo Burp Suite hledejte zranitelnosti. OWASP Top 10 Aplikace WABANK obsahuje tyto…

Číst dál

Sběr informací o webové aplikaci

Každý penetrační test má průzkumnou fázi, která se snaží získat informace o cíli a to buď přímým pozorováním nebo sběrem informačních otisků v internetu. V příspěvku se zaměříme na testy sběru dat v rámci testování webových aplikací. Nejde o jejich úplný výčet. Cílem je ukázat, co mohou takové testy za pomocí běžného prohlížeče prozradit. Než začneme Diskutujeme zde příklady bezpečnostních testů. Jsou pouze dvě možnosti, které vám zajistí právní ochranu. Ta první je, že jste vlastník testovaného webu a ta…

Číst dál

Kali linux – jak vyměnit Javu

Nedávno jsem testoval webovou aplikaci nástrojem Burp Suite a po nějaké době vždy spadnul. Nikde ani stopy po chybě. Začal jsem hledat zda je to vůbec chyba nástroje. Na stránkách podpory “Burpa” jsem našel podobný problém, který podezírá OpenJDK, což je zjednodušeně řečeno běhového prostředí pro Javu. Tyto chyby jsou nepříjemné, je to pád virtuálního stroje pro Javu (JVM). Rozhodl jsem se, že “Javu vyměním”. Následoval jsem postup v komunitním fóru Kali jak vyměnit OpenJDK za Oracle Javu a problém…

Číst dál

Blog

Kontakty

Brute force – útok na hesla hrubou silou

V dnešním příspěvku si vysvětlíme, co je to útok na heslo hrubou silou. Demonstraci útoku provedeme na starší verzi WordPressu s úmyslně slabým heslem do…

Číst dál

Testování vstupů webové aplikace – nástroje

V minulém příspěvku jsme prošli úvodem do testování vstupů webových aplikací. Dnes půjdeme o něco dál, protestujeme scénář přihlášení v aplikaci WABANK a najdeme chybu ve…

Číst dál

Kali linux – poprvé na síti

V dnešním příspěvku se podíváme na to, jak se Kali linux automaticky připojuje do sítě a které systémové konfigurace toto nastavení ovlivňují. Příprava virtuálního stroje…

Číst dál

Kontakty

+420 739 639 132

Petr Juhaňák
V Poli 547
517 71 České Meziříčí

IČO 01259041