Gruyere - vyzkoušejte si legální hacking webové aplikace od Googlu

Verze pro tiskPDF verze

Daný projekt už očividně nějaký ten pátek existuje, ale já jsem na něj narazil teprve před několika hodinami, když jsem byl na školení jednoho z web application firewallů a v labovém prostředí jsme si zkoušeli notoricky známé techniky útoků na webové aplikace (xss, sql, csrf, data tampering, cookies-session, ...) s tím že je dále bude detekovat a odchytávat aplikační firewall (negative security). Za obeť nám byl podstrčen starý projekt aukčního portálu v PHP a mě tak napadlo, že už musí dávno existovat něco sofistikovanějšího. Jmenuje se Gruyere.

Gruyere logo

Gruyere je webserver a CMS napsaný v Pythonu (jako celej Seznam.cz) a slouží k vysvětlení a možnosti vyzkoušení webových útoku.

Každý útok je tu nejen popsán i s postupem jak danou zranitelnost na aplikaci najít, ale dozvíte se i jak dané chybě předejít (z pohledu programátora).

Link:
http://google-gruyere.appspot.com/part1

Začnete tím, že navštívíte odkaz http://google-gruyere.appspot.com/start který vám vygeneruje unikátní prostředí (forkne pro vás samostatné prostředí Gruyere, aby vám ostatní nezasahovali do aplikace).

start gruyere

Gruyere Homepage

Začíná se samozřejmě s Cross-Site Scripting (XSS) - http://google-gruyere.appspot.com/part2

Pro podrobnější popis a pokročilé techniky doporučuji článek od RubberDucka:
https://www.security-portal.cz/clanky/xss-cross-site-scripting-hacking
a když už jste v tom tak článek o SQL Injection:
https://www.security-portal.cz/clanky/sql-injection-full-paper

U každé techniky je "Hint" a "Exploit and Fix". Doporučuju nejdřív trochu máknout se závity, než rovnou šáhnout po návodu jako lamky. Ztrácí to pak smysl.

Hint and Fix

Daný web vás provede velkou škálou technik:

Cross-Site Scripting (XSS)

Client-State Manipulation

Cross-Site Request Forgery (XSRF)

Cross Site Script Inclusion (XSSI)

Path Traversal

Denial of Service

Code Execution

Configuration Vulnerabilities

AJAX vulnerabilities

Other Vulnerabilities

Lidem kteří o to mají opravdu zájem to pomůže. A to že neumí anglicky v dnešní době translatorů vůbec nevadí: Gruyer (CZ)

"Ti ostatní" mají step-by-step návody na YouTube.

Ostatní weby kde si můžete vykoušet podobné techniky:

http://flack.security-portal.cz/ -- SQL Injection playground na Security-Portal.cz
http://www.hackthissite.org/ -- Server vyhrazen pro ty kteri si chteji zkusit hackovani webu.
http://roothack.org/ -- RootHack is a place for computer security related people to experiment with their knowledge, learn new things and hopefully have a good time.
http://www.try2hack.nl/ -- Na tomto serveru si muzete vyzkouset hackovani webu/webovych aplikaci.
http://www.uplink.co.uk/ -- Toto neni sit/server vyhrazen na hackovani, ale program simulujici "hackovani". Je to hra ve ktere dostavate ukoly a nabouravate se do serveru. Na webu muzete stahnout demoverzi. (Win/Lin/Mac)
http://www.hackthis.co.uk/ -- HackThis.co.uk is presented in the format of a series of fun challenges; the user will be expected to employ their logic and wits, along with some of the better known web development tools, to extract sensitive information from dummy pages.

Volby prohlížení komentářů

Vyberte si, jak chcete zobrazovat komentáře a klikněte na „Uložit změny“.

Jarlsberg

Projekt se dříve jmenoval Jarlsberg.

Skvelý článok, Ďakujem

Skvelý článok, Ďakujem