Při penetračních testech nebo při webhackingu je často potřeba zachytit HTTP komunikaci probíhající mezi browserem a webovým serverem. Tuto komunikaci můžeme chtít například upravit ještě před tím, než je odeslána na webový server, nebo použít jednotlivé requesty v následných testech. Využití modulu Proxy z multiplatformního a rozhodně všestranného nástroje Burp Suite bude tou nejlepší volbou.
V minulej časti sme si priblížili funkciu internetu a dnes si tieto údaje o niečo doplníme. Čo sú to LAN, MAN a WAN? Prečo sa údaje o IP adrese z výstupu príkazu ipconfig nezhodujú s tým, čo ukazuje stránka „http://www.ip-adress.com“ ? Čo je to DNS server a Localhost? Aj na tieto otázky tu nájdete odpoveď!
V minulej časti sme si povedali pár slov na úvod o tom, na čo sa pripraviť a ako vyhľadávať informácie efektívne. V dnešnej časti sa zamierame na oporné body a prejdeme na prvú podstatnú, ba až najpodstatnejšiu časť: ako funguje internet.
Túto sériu som plánoval spísať už dávno a viedlo ma k tomu hneď niekoľko dôvodov. Na internete sa „povaľuje“ tona začiatočníckych osnov, článkov a podobne, dokonca aj tu na SOOM-e. Väčšina z nich mi však prišla až príliš stručná a niektoré boli miestami aj „zastaralé“.
V dnešní epizodě série o tvorbě internetových spiderů v Pythonu si ukážeme některé z dalších možností knihovny Mechanize, kterou jsme doposud používali k interakci s webem. Mimo jiné se podíváme i na práci s odkazy, které nám umožní plnohodnotné procházení webu, a na používání Toru v kombinaci s Mechanize.
Znalost zranitelností spojených s databázemi se u mnoha lidí omezuje pouze na SQL Injection. To je ale docela škoda, protože jak si v tomto článku ukážeme, dají se ve spojení s SQL objevit i jiné neméně závažné problémy, jako je například SQL Truncation.
UDOO je fenomén posledních měsíců a stále nabírá otáčky. Ale nejdřív si o tomto produktu něco povíme. Tento produkt vychází ze dvou velice populárních zařízení. Raspberry pi a Arduino.
Nezřídka si po úspěšném útoku zanechají útočníci v systému zadní vrátka, kterými se mohou kdykoliv v budoucnu vrátit i v případě, že původní zranitelnost byla již odstraněna. Samotný backdoor přitom může tvořit pouze jedna jediná řádka kódu, jejíž nalezení je často velice obtížné, neřku-li nemožné. Pojďme se tedy na některé z backdoorů používaných v PHP aplikacích podívat blíže.
"Každý pentester, kterého znám, má smartphone, tablet a notebook, ale nikdo z nich tablet nepoužívá k reálným pentestům", řekl tehdy v rozhovoru Dave Porcello, Pwnie Express’s CEO.