Introduksjon til web sikkerhet
-
Upload
helge-sverre-hessevik-liseth -
Category
Internet
-
view
183 -
download
5
Transcript of Introduksjon til web sikkerhet
INTRODUKSJON TIL WEB HACKINGEin kikk på di mest kjente sikkerhets hullene hos web applikasjoner
Helge Sverre Hessevik Lisethhttps://helgesverre.com
SQL INJECTION
• Gjør det mulig å kjøre egen SQL kode på serveren• Dårlig filterering av parameterer
LFI & RFI
• Local File Inclusion• Remote File Inclusion
• Let me just file_get_contents() whatever you pass into the URL
XSS – CROSS SITE SCRIPTING
• A.K.A – Let me just add all my JavaScript in here.• Uten filtrering av bruker input kan script og nasty shit bli
lagret• Kan brukes til å stjele cookies
SESSION HIJACKING - CAN I HAZ COOKIES? • Cookies brukes til (ofte) autentisering• Steal Cookie -> Use Cookie -> Steal logged in session
WEB SHELLS
• PHP Script som lar man gjøre system kommandoer ifra browseren• <?php system($_GET[‘cmd’]; ?>• C99, C100, WSO, b374k
DEMO – LIVE HACKING
• Damn Vulnerable Web App• http://dvwa.helgesverre.com
• I assume no liability for the actions you choose to partake in, I am providing this information for educational purposes, any illicit activity is solely your own god damned fault.
KEEPING UP WITH THE KARDASHIANS EXPLOITS!• Exploit-db.com• CVEDetails.com• blog.sucuri.net• reddit.com/r/netsec
RESURSER
• https://app.pluralsight.com/library/courses/ethical-hacking-web-applications• http://www.pentesteracademy.com/course?id=5• https://www.youtube.com/playlist?list=PLnTZ5U14285BvyWNsjr5zIoXAm1t7vsS4• https://www.youtube.com/playlist?list=PLdAZSmMuzxzLc9B0gpOEVv0PlotDykMoV• http://bobby-tables.com/• https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet• http://www.amazon.com/The-Web-Application-Hackers-Handbook/dp/1118026470
BLOGGER SOM IKKJE ER ROSA
• https://troyhunt.com• http://krebsonsecurity.com/• https://itsjack.cc/blog/• https://godpraksis.no/
CREDZ
• Xkcd.com – There is always a relevant XKCD• RandomStorm – Utvikler av DVWA