NFsec Logo

Kroniki shodana: Instancje Elasticsearch

06/10/2016 w Pen Test Brak komentarzy.

W

2015 roku, dane 13 milionów użytkowników programu MacKeeper wyciekły, z powodu przechowywania ich w otwartej bazie MongoDB. Wówczas, sam autor wyszukiwarki shodan.io przeprowadził badanie i wykrył, że publicznie dostępnych jest około 600 TB danych. Po publikacji wyników badania w lipcu ubiegłego roku, już w grudniu okazało się, że ilość publicznie dostępnych baz NoSQL wzrosła o 5 tysięcy, a ilość danych osiągnęła wolumen 685 TB. Świat devopsów, zamiast wyciągnąć z zaistniałej sytuacji, jeszcze bardziej pogrążył się w koszmarze nieautoryzowanego dostępu do danych.
[ czytaj całość… ]

To nie są pliki i katalogi, których szukasz

22/09/2016 w Ataki Internetowe, Bezpieczeństwo, Pen Test Brak komentarzy.

W

iele serwerów WWW posiada katalogi, których zawartość jest ukierunkowana na konkretne pliki. Oznacza to, że dany /katalog/ nie posiada standardowych plików typu index serwujących treść (lub posiada je puste) oraz nie pozwala na wyświetlenie zawartości całego katalogu często zwracając komunikat o kodzie 403. Mimo to pozwala na dostęp do bezpośrednich zasobów np. /katalog/install.exe. Analogicznie odnieść możemy się do katalogów, w których wdrażane są aplikacje. Są one (powinny być) ograniczane dostępem do konkretnych zasobów. Niestety bardzo często razem z kodem różnych aplikacji lub błędnym działaniem ludzkim przedostają się różnego rodzaju meta informacje, odsłaniające słabe strony tych rozwiązań.
[ czytaj całość… ]

Wszystko, co chciałbyś wiedzieć o użytkowniku Twittera, ale boisz się zapytać

11/09/2016 w Pen Test Brak komentarzy.

T

infoleak jest prostym skryptem napisanym w języku Python, który pozwala na uzyskanie takich informacji o użytkowniku Twittera, jak:

  • podstawowe informacje: nazwę, zdjęcie, lokacje, śledzących itp.,
  • urządzenia oraz systemy operacyjne,
  • aplikacje oraz używane inne media społecznościowe,
  • odwiedzane miejsca oraz dane geolokalizacyjne,
  • analizę hashtagów, wspomnień i wiele innych…

Oczywiście informacje te uzależnione są od ustawień konta, jakie wybrał dany użytkownik Twitter’a. Przejdźmy do procesu instalacji i przykładowego użycia skryptu.
[ czytaj całość… ]

Zapalmy flarę nad CloudFlare

09/09/2016 w Pen Test Brak komentarzy.

P

rzy okazji wygasania certyfikatu na stronie zacząłem się zastanawiać, czy skorzystać z Let’s Encrypt, czy może z CloudFlare? CF to serwis oferujący „darmową” ochronę webaplikacji, CDN oraz szyfrowanie SSL (jeśli używa się go poprawnie). Zastanawiało mnie ile klientów / domen korzysta z tego serwisu? Oto, co udało mi się ustalić.
[ czytaj całość… ]

Rekonesans DNS i wrogie przejęcie

03/08/2016 w Pen Test 1 komentarz.

R

ekonesans DNS jest główną częścią etapu zbierania informacji w testach penetracyjnych. Można to porównać do wykonywania mapy infrastruktury danego serwisu. Większość organizacji nie monitoruje ruchu DNS, szczególnie nieudanych zapytań i prób pobrania całej strefy – dlatego wyciśnięcie jak największej ilości informacji z tego źródła często nie wpływa na alarmy w systemach bezpieczeństwa i nie wzbudza podejrzeń. W Internecie istnieje wiele dostępnych narzędzi, które mogą skutecznie wykonywać tego typu operacje, ale my skupimy się tylko na kilku i w dodatku tylko na tych napisanych w języku Python, ponieważ bardzo łatwo jest stworzyć dla nich wirtualne środowisko i zainstalować zależności, aby zadziałały od kopnięcia.
[ czytaj całość… ]

SCS: Bleach Bitch – „Anti forensic software in forensics purposes”

17/05/2016 w Hacks & Scripts, Pen Test Brak komentarzy.

Nie tak dawno Adam Ziaja przedstawił fajny pomysł wykorzystania oprogramowania do czyszczenia systemów do zupełnie odwrotnej funkcji, czyli pokazywania, gdzie szukać potencjalnie wartościowych informacji w informatyce śledczej. Po dodaniu paru linijek kodu powstał Bleach Bitch, który automatycznie wyszukuje i sygnalizuje znalezione pliki cache, historii i inne tymczasowe obiekty w systemie Linux.

Więcej informacji: Small Computer Scripts

Fałszujemy rozpoznania skanerów #2

08/01/2016 w Bezpieczeństwo, Pen Test Brak komentarzy.

W

pierwszej części pokazałem, jak łatwo za pomocą iptables sfałszować nasłuchujące usługi. W tym przykładzie zajmiemy się techniką zwaną banner grabbing. Proces ten powoduje, że skaner przechodzi do warstwy aplikacji i zaczyna zachowywać się, jak klient. Wysyła dopasowane żądanie do usługi i oczekuje odpowiedzi, w której ma nadzieje znaleźć jej nazwę i wersję.
[ czytaj całość… ]

Fałszujemy rozpoznania skanerów #1

29/12/2015 w Bezpieczeństwo, Pen Test Brak komentarzy.

I

stnieje wiele poradników, instrukcji i tutoriali, jak korzystać z skanerów bezpieczeństwa, które pozwalają na szybkie zweryfikowanie pentesterom zewnętrznego bezpieczeństwa serwerów. Najbardziej znanym jest chyba nmap. Decydując się na tego typu automat należy pamiętać, że to są tylko automaty, a wyniki ich pracy powstają tylko i wyłącznie na interpretacji surowych danych przychodzących po wyzwoleniu określonej akcji. Narzędzia tego typu nie myślą. Spodziewają się pewnych zachowań od systemów i na ich podstawie tworzą jakieś założenia. Jeśli sobie tego nie uświadomimy bardzo szybko możemy nabrać się na fałszywe alarmy oraz utratę cennego czasu przy opracowywaniu raportu bezpieczeństwa.
[ czytaj całość… ]

Co to za hash?

23/02/2015 w Pen Test Brak komentarzy.

I

dentyfikacja rodzaju szyfrowania użytego do ukrycia danej informacji może być czasami irytująca. Aby złamać dany ciąg musimy zorientować się, jaki algorytm szyfrujący został użyty, aby uruchomić odpowiednie narzędzia do jego złamania. Na szczęście jest trochę skryptów, które pomogą nam w identyfikacji: HashTag, Hash Identifier, Hash-Algorithm-Identifier, hashes (.py oraz .txt) oraz hashID.

Lynis – narzędzie open source do audytów bezpieczeństwa

30/12/2014 w Pen Test Brak komentarzy.

L

ynis jest narzędziem typu open source przeznaczonym do przeprowadzania automatycznych audytów bezpieczeństwa i hartowania systemów pochodzących z rodziny *nix. Prosty w obsłudze, dostępny za darmo, nie wymaga instalacji, i jak zapewniają autorzy działa na prawie każdym systemie opartym o Unix (został przetestowany na współczesnych platformach w tym dystrybucjach Linuksa jak CentOS, Fedora, Debian itd.).
[ czytaj całość… ]

Strona 3 z 41234