Je mnoho důvodů, proč jsou mobilní telefony běžící pod operačním systémem Android stále tak populární. Výrobci dokážou uživatelům nabídnout velmi levné modely pro každodenní použití, špičkové telefony s extrémním výkonem ale také například odolné přístroje do těch nejnáročnějších prostředí. Pro mnoho uživatelů a technologických nadšenců však tento systém znamená především svobodu, která se jim naskytne, pokud si stůj telefon takzvaně „rootnou“.
Dnešní článek přímo naváže na konec předchozího, kde jsme si nastínili, jak vytvořit vlastní shellcode, respektive jeho základ. Pro použití v praxi (exploitu) je však nezbytné vyhnout se některým aspektům např. použití hodnoty NULL nebo závislosti na pozici v paměti, což si názorně předvedeme. Aby námi vytvořený shellcode nezůstal pouze jako nic nedělající „kostra“, vytvoříme ten obecně nejrozšířenější – reverse shell.
Nasledujúci článok sa bude zaoberať problematikou generovania HMAC tokenov na základe klienta a možnými riešeniami, vrátane použitia nástrojov ako Puppeteer, Headless prehliadač a Burp Suite PyScripter-er pluginu. Táto problematika je relevantná pre situácie, kedy je potrebné generovať HMAC hlavičky pre každú HTTP požiadavku, pričom HMAC sa generuje z challenge a kľúča dynamicky na strane klienta.
Burp Suite je už teraz všestranný a výkonný nástroj pre profesionálov v oblasti webovej bezpečnosti. Ponúka širokú škálu funkcií na testovanie bezpečnosti webových aplikácií, ako je skenovanie, prehľadávanie a zachytávanie HTTP požiadaviek. Avšak pre tých, ktorí hľadajú ešte väčšiu flexibilitu a automatizáciu, je plugin PyScripterer ideálnym pomocníkom pre špecifické úlohy s ktorými sa môžete stretnúť pri penetračných testoch.
Koncem roku 2019 spatřila světlo IT světa novinka v podobě zákeřných nabíjecích USB kabelů, skrytě obohacených o Wi-Fi modul, paměť a mikroprocesor. Výrobek má na svědomí hackerská a vývojářská skupina Hak5, která se specializuje na tvorbu inovativních nástrojů pro penetrační testery, studenty kybernetické bezpečnosti a jiné IT profesionály z oboru. Ve své podstatě se jedná o velmi nebezpečný produkt, který byl dle výrobců vytvořen především pro moderní způsoby penetračního testování hardwaru. Ve veřejném prostoru se však z tohoto kabelu může stát nástroj, skrze který lze nepozorovaně útočit na počítače, mobilní telefony a další přístroje s USB konektivitou. Jaké jsou skutečné schopnosti těchto USB kabelů a rizika jejich zneužití v reálném světě? To jsou hlavní otázky, na které jsem se snažil v tomto článku najít odpověď.