ssllabs – sprawdź konfiguracje SSL

Standardem w dzisiejszym świecie jest stosowanie komunikacji na stronach internetowych poprzez protokół HTTPS, a jego brak jest piętnowany przez nowoczesne przeglądarki. Aby sprawdzić czy dany serwer używa niebezpiecznych algorytmów szyfrowania można skorzystać z usługi stworzonej przez Qualys . W wyniku skanowania uzyskamy raport oceniający poziom bezpieczeństwa konfiguracji SSL. Znajdują się… Continue reading

DIRB – znajdź ukryte treści na stronach

Niektóre treści na stronach internetowych są pozornie ukryte – to znaczy, że nie posiadając ich adresu nie jesteśmy w stanie się do nich dostać. Często są to jakieś pozostałości jeszcze z etapu tworzenia aplikacji – programista miał je później usunąć, ale zapomniał ¯\_(ツ)_/¯ . Z pomocą w odnalezieniu takich treści… Continue reading

XXEinjector – narzędzie pomocne w exploitacji XXE

XXEinjector to narzędzie automatyzujące proces exploitacji błędu bezpieczeństwa polegającego na możliwości wstrzykiwania zewnętrznych encji w plikach xml ( XML eXternal Entity ). Umożliwia on między innymi pobieranie i uploadowanie plików metodą bezpośrednią i za pomocą serwera pośredniczącego, enumerowanie plików i katalogów czy też enumerowanie nie filtrowanych portów. Tool do pobrania… Continue reading

Oświetlenie ledowe do Prusa i3 MK2 / MK2S / MK3

Mimo, że konstrukcja Prusy posiada niewątpliwie dużą ilość zalet, znajdą się w niej też wady. Jedną z nich jest brak posiadania własnego oświetlenia. Jako nocny drukarz postanowiłem wyeliminować ten problem montując takowe wykorzystując do tego taśmę LED. Do swojego projektu wykorzystałem: drukowane uchwyty montowane na ramie drukarki z KLIK drukowany… Continue reading

Rotomat żyroskopowy czyli coś dla kolekcjonerów zegarków

Do niedawna nie wiedziałem prawie nic o istnieniu i działaniu zegarków mechanicznych. Zarażony przez brata pasją do tego tematu postanowiłem zgłębić wiedzę w tej dziedzinie. Tak trafiłem na bardzo merytoryczny kanał o zegarkach Krzyśka Humeniuka – TikTalk KLIK Dalej poszło już szybko. Pierwszy automat i idea zbudowania rotomatu, który to… Continue reading

Przykładowy raport z rzeczywistego testu penetracyjnego

W ramach swojej pracy magisterskiej miałem okazję przeprowadzić pełny test penetracyjny komercyjnej aplikacji webowej napisanej z użyciem ASP.NET. Wynikiem moich badań jest raport, którym postanowiłem podzielić się w “zaciemnionej” formie z szerszym gronem osób. Materiały tego typu w naszym ojczystym języku są towarem deficytowym. W zasadzie jedyny, który znam z… Continue reading

Jak powinien wyglądać dobry raport z testu penetracyjnego?

Doświadczony pentester, wie że dobrze napisany raport cechuję się tym, że po jego prezentacji klient nie ma żadnych dodatkowych pytań. Aby było to możliwe powinien on zawierać co najmniej cztery podstawowe sekcje z informacjami przeznaczonymi dla różnej grupy odbiorców. Sekcja 1: Ogólne informacje i statystyki Podczas, gdy programista mający naprawić… Continue reading

Testowanie pod kątem wstrzykiwania zapytań SQL

Ataki typu SQL injection polegają na wstawieniu lub „wstrzyknięciu” zapytania SQL za pośrednictwem danych wejściowych przesyłanych przez klienta do aplikacji. Pomyślnie przeprowadzony atak tego typu może posłużyć do odczytu wrażliwych informacji z bazy danych oraz ich modyfikacji, czy też usunięcia. W najbardziej skrajnych przypadkach umożliwia on wydawanie poleceń systemowych. Poniżej… Continue reading

Testowanie pod kątem wstrzykiwania kodu javascript.

XSS to atak pozwalający na wstrzyknięcie i wykonanie mogącego wykonać złośliwe działanie kodu HTML lub JavaScript. Może to zostać wykorzystane do kradzieży krytycznych danych (na przykład danych sesji) z plików cookie. Jako, że kod zostaje wykonany w kontekście podatnej aplikacji umożliwia to wykonanie innych ataków jak phishing, logowanie klawiatury, czy przekierowanie… Continue reading