Kali_Linux_Testy_penetracyjne_kalili.pdf

(3136 KB) Pobierz
Tytuł oryginału: Web Penetration Testing with Kali Linux
Tłumaczenie: Grzegorz Kowalczyk
ISBN: 978-83-246-9013-8
Copyright © 2013 Packt Publishing.
First published in the English language under the title „Web Penetration Testing with Kali Linux”.
Polish edition copyright © 2014 by Helion S.A.
All rights reserved.
All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means,
electronic or mechanical, including photocopying, recording or by any information storage retrieval system,
without permission from the Publisher.
Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej
publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną,
fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje
naruszenie praw autorskich niniejszej publikacji.
Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich
właścicieli.
Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były
kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane
z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie
ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji
zawartych w książce.
Wydawnictwo HELION
ul. Kościuszki 1c, 44-100 GLIWICE
tel. 32 231 22 19, 32 230 98 63
e-mail: helion@helion.pl
WWW: http://helion.pl (księgarnia internetowa, katalog książek)
Drogi Czytelniku!
Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres
http://helion.pl/user/opinie/kalili
Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.
Printed in Poland.
Kup książkę
Poleć książkę
Oceń książkę
Księgarnia internetowa
Lubię to! » Nasza społeczność
Spis tre ci
O autorach
O recenzentach
Wst p
Co znajdziesz w tej ksi ce?
Czego potrzebujesz do pracy z ksi k ?
Dla kogo przeznaczona jest ta ksi ka?
Konwencje
Errata
Piractwo
9
11
15
16
17
17
18
18
19
Rozdzia 1. Przygotowania
Podstawowe za o enia testów penetracyjnych aplikacji internetowych
Metodologia przeprowadzania testów penetracyjnych
Ocena ryzyka
Testy penetracyjne z wykorzystaniem systemu Kali Linux — za o enia
Etap 1. Rekonesans
Etap 2. Wyszukiwanie podatno ci
Etap 3. Wykorzystywanie zidentyfikowanych podatno ci
Etap 4. Podnoszenie uprawnie
Etap 5. Utrzymanie zdobytego przyczó ka
Wprowadzenie do systemu Kali Linux
Konfiguracja systemu Kali Linux
Uruchamianie systemu Kali Linux z no nika zewn trznego
Instalowanie systemu Kali Linux
Kali Linux i pierwsze uruchomienie w maszynie wirtualnej
Przegl d narz dzi dost pnych w systemie Kali Linux
Podsumowanie
21
23
24
30
34
34
35
36
37
37
38
39
39
40
46
46
49
Kup książkę
Poleć książkę
Spis tre ci
Rozdzia 2. Rekonesans
Zadania rekonesansu
Rozpoznanie wst pne
Strona internetowa firmy
ród a przechowuj ce historyczne wersje witryn internetowych
Regional Internet Registries, czyli regionalni administratorzy adresów IP
System EDGAR
Zasoby serwisów spo eczno ciowych
Zaufanie
Oferty pracy
Lokalizacja
Wyszukiwarka Shodan
Google hacking
GHDB, czyli Google Hacking Database
Badanie zasobów sieci komputerowych
Rekonesans z wykorzystaniem protoko u ICMP
Rekonesans z wykorzystaniem serwerów DNS
Nmap
FOCA — wyszukiwanie i analiza metadanych
Podsumowanie
51
52
53
53
54
57
57
58
59
59
60
60
61
63
65
69
71
76
83
89
Rozdzia 3. Ataki na serwery aplikacji internetowych
Wyszukiwanie podatno ci i luk w zabezpieczeniach
Webshag
Skipfish
ProxyStrike
Vega
Owasp-Zap
Websploit
Wykorzystywanie znalezionych luk w zabezpieczeniach (exploity)
Metasploit
w3af
Wykorzystywanie luk w zabezpieczeniach systemów poczty elektronicznej
Ataki typu brute-force
Hydra
DirBuster
WebSlayer
amanie hase
John the Ripper
Ataki typu man-in-the-middle
SSLStrip
Podsumowanie
91
92
92
95
98
101
105
112
113
113
120
123
125
125
128
131
137
137
139
140
145
4
Kup książkę
Poleć książkę
Spis tre ci
Rozdzia 4. Ataki na klienty aplikacji internetowych
In ynieria spo eczna
Pakiet SET — Social Engineer Toolkit
Zastosowanie pakietu SET do ataku z klonowaniem
MitM Proxy
Skanowanie hostów
Skanowanie hostów za pomoc pakietu Nessus
Przechwytywanie i amanie hase u ytkowników
Has a w systemie Windows
Has a w systemie Linux
Narz dzia do amania hase dost pne w systemie Kali Linux
Johnny
Programy hashcat i oclHashcat
samdump2
chntpw
Ophcrack
Crunch
Inne narz dzia dost pne w systemie Kali Linux
Hash-identifier
dictstat
RainbowCrack (rcracki_mt)
findmyhash
phrasendrescher
CmosPwd
creddump
Podsumowanie
147
148
149
151
161
162
162
169
171
173
174
174
177
178
180
183
185
188
188
189
189
190
190
190
191
191
Rozdzia 5. Ataki na metody uwierzytelniania
Ataki na zarz dzanie sesjami
Clickjacking
Przechwytywanie ciasteczek sesji
Narz dzia do przechwytywania sesji
Wtyczki przegl darki Firefox
Cookie Cadger
Wireshark
Pakiety Hamster i Ferret
Atak typu man-in-the-middle
Narz dzia dsniff i arpspoof
Ettercap
Driftnet
Wstrzykiwanie kodu SQL
sqlmap
Ataki typu XSS (cross-site scripting)
Testowanie podatno ci na ataki XSS
Techniki XSS cookie stealing i Authentication hijacking
193
195
196
197
198
198
203
206
208
211
212
214
217
218
221
223
224
225
5
Kup książkę
Poleć książkę
Zgłoś jeśli naruszono regulamin