Seznam všech článků

Na internetu se neustále objevují články o nových zranitelnostech, popř. nových zařízeních, která jsou zranitelná. V drtivé většině je řeč o routerech povětšinou zabezpečených defaultním heslem. Defaultní hesla k těmto zařízením najedeme téměř vždy na stránkách výrobce nebo po pár vteřinách pátrání na google.com.

Máte dobré znalosti v oblasti ICT bezpečnosti? Rozšiřte náš tým! Mezi naše zákazníky patří společnosti z bankovního sektoru, státní správy či telekomunikací. Nabízíme nadstandardní platové ohodnocení a velmi zajímavou práci v příjemném kolektivu.

Ne, nebojte se, tento článek opravdu nebude o Cross-Site Scriptingu :) Povíme si o jedné nepříliš známé, ale zato poměrně rozšířené zranitelnosti, způsobené zapomenutou tečkou v DNS záznamu. Útoky Same-Site Scripting ohrožují hlavně uživatele víceuživatelských systémů, kteří mohou snadno podlehnout phishingovému útoku, nebo přijít o svá cookies. To vše i bez použití JavaScriptu a bez sniffingu sítě.

Když jsem byl před časem s FORPSI v kontaktu, dostalo se mi ujištění, že při vývoji jejich nových aplikací budou na zabezpečení klást veliký důraz. Pokud má být výsledkem jejich aktuální webová aplikace, tak Bůh ochraňuj naše domény. Forpsi to za něj totiž asi neudělá.

Craig Heffner před nedávnem informoval veřejnost o zadních vrátkách u vybraných routerů D-Link a následně i u některých routerů Tenda. Po přečtení jeho příspěvků mě zajímalo, jak si v tomto ohledu stojí i další výrobci a tak jsem se rozhodl, že se pustím do vlastní analýzy.

DNS spoofing může být použit mnoha možnými způsoby - bohužel žádný z nich není pro koncového uživatele dobrý.

Jednou z největších devíz nástroje Burp Suite je bezesporu právě Intruder, který penetračnímu testerovi ušetří dlouhé hodiny nezáživné rutinní práce při odhalování hesel, souborů, nebo třeba obsazených ID konkrétního obsahu.

V tejto časti si pár packetov aj naozaj odchytíme a pozrieme na to, ako vzerá ich štruktúra. Povieme si niečo o tom, prečo sa znalosť protokolov vyplatí, taktiež sa bližšie pozrieme na porty a povieme niečo o ARP spoofingu.

Po té, co jsme se s nástrojem Burp Suite naučili zachytávat jednotlivé requesty a prohlížet historii komunikace browseru, je na čase, bychom si ukázali, jak lze jednotlivé requesty použít při testech, při nichž budeme dodatečně měnit určité odesílané hodnoty a budeme sledovat reakce serveru.

V prvej kapitole bol načrtnutý obraz toho, ako celá sieť približne funguje. No ak ste z toho celý zmätení, nezúfajte! Jednotlivým veciam sa začneme postupne venovať a rozoberať ich do väčšej hĺbky. Táto kapitola vás predstaví bližšie k protokolom, nebudeme sa zaoberať len téoriou, ale aj niečo „naozaj“ urobíme. Hor sa do toho!