Burp proxy akcióban
Ahogyan a tegnapi Facebook live-ban mutattam, már nekiestem a Hackerek Éjszakája 2017-re jelentkező weboldalalak és webalkalmazások vizsgálatának. Persze mondanom sem kell, hogy ez az első időszak sokkal inkább a dögunalomról szól, minthogy bármi izgalom legyen benne.
Igazság szerint egy teljes audit talán 10%-a szól arról, ahogy a hacker azt élvezi, hogy hozzáfér olyan információkhoz, amihez nem kellene. De az ezt megelőző 90% az tényleg olyan, hogy inkább aludna az ember. Vannak automatikus tesztek, amik viszonylag gyorsan lemennek (1-2 nap elég rá), és utána jön a kézierős kattingatás.
Hála a jó égnek, hogy vannak szoftverek, amelyek segítik a munkát. Én nagy Kali rajongó vagyok. A Kali egy olyan linux disztribúció, ahol nem a mediaplayer meg a szövegszerkesztő van a központban. Ha lenyitod a menüjét, számolatlanul látod sorakozni a hackeléshez szükséges eszközöket egymás alatt. Komolyan, annyi eszköz van benne, hogy szerintem a 20 százalékát sem használom. Persze az igazsághoz hozzátartozik az is, hogy egy-egy feladat ellátására több opció is rendelkezésre áll.
A jelentkezők közül két site, illetve applikáció ellen folytatok támadási kísérleteket. Az már egyértelműen látszik, hogy a „nevezést” nem bízták a fejlesztők a véletlenre. Olyan technikákat látok, amelyeket sajnos ritkán. És nem arról van szó, hogy feltalálták volna a spanyolviaszt, csupán arról, hogy tényleg hozzáértéssel és odafigyeléssel írták meg a kódot.
Persze mondhatjuk, hogy ez nem nagy szám. Ugyanakkor látni kell, hogy a tipikus auditok során igen kevésszer futottam bele így felépített és megírt kódokba. Igen, több munkával jár. Igen, jobban oda kell figyelni, fegyelmezettebben kell kódolni. És igen, így is lehet hibázni.
Ahogy az egyik vizsgált site esetében már sikerült találnom sérülkényeséget, ugyanakkor annak a kihasználása közel sem olyan triviális mint más webalkalmazások esetén. Egyszerűen azért, mert a fejlesztők figyeltek néhány apró részletre. Ezek az apróságok igen meg tudják nehezíteni a támadó dolgát.
Jeleztétek a tegnapi FB live után, hogy szívesen olvasnátok azokról az eszközökről (főleg a proxyról) amit használok. Per pillanat elég elgyötört vagyok, ahogy az a videón látszik is. Ezekről az eszközökről írni lehet, csak nem biztos hogy érdemes. Ezért úgy döntöttem, hogy videós posztokat fogok készíteni, ahol látszik a működésük, látszik hogy mire használom őket.
Addig is drukkoljatok, hogy ne krepáljon be a kávéfőző!
Aki lemaradt volna a tegnapi élőről, íme: