Month: October 2016

วิธีใช้งาน Kali Linux – BeEF – XSS Framework

by  •  • Comments Off on วิธีใช้งาน Kali Linux – BeEF – XSS Framework

จาก วิธีใช้งาน Kali Linux – OWASP Zap – Active Scan ได้แสดงให้เห็นว่า เมื่อตรวจเจอช่องโหว่ Cross Site Scripting (XSS) บนเครื่องเป้าหมาย จากที่ได้เคยบรรยายไปใน Web Hacking and Security Workshop เรื่อง วิธีตรวจสอบเว็บไซต์ที่โดน Hack #9 : วิธีการ Hack ด้วย SQL Injection และ Cross-Site Scripting ซึ่งแสดงให้เห็นว่า หากมีช่องโหว่ดังกล่าว ทำให้สามารถใส่ JavaScript ลงไปได้ ซึ่งอาจจะดูไม่น่าจะอันตรายอะไร แต่ ถ้า Hacker…

Read more →

วิธีใช้งาน Kali Linux – OWASP Zap – Brute Force with Fuzz

by  •  • Comments Off on วิธีใช้งาน Kali Linux – OWASP Zap – Brute Force with Fuzz

ในการตรวจสอบ ความแข็งแกร่งของระบบป้องกันการโจมตี เรื่องหนึ่งคือความสามารถในการกัน Brute Force หรือ ความพยายามเดารหัสผ่าน OWASP Zap สามารถใช้เป็นเครื่องมือในการทำ Brute Force ได้ โดยใช้เครื่องมือที่ชื่อว่า Fuzz ขั้นตอนมีดังนี้ เปิด Zap และเปิด Web Browser ที่ตั้งค่าให้ Zap เป็น Proxy และ ทำการ Authentication ทดสอบดู ใน Zap จะปรากฏ POST Action ที่สำหรับส่ง Username และ Password เกิดขึ้น เลือก…

Read more →

วิธีใช้งาน Kali Linux – OWASP Zap – User Authentication

by  •  • Comments Off on วิธีใช้งาน Kali Linux – OWASP Zap – User Authentication

ในการตรวจสอบ Web Application ที่ต้องมีการ Authentication โดยใช้งานผ่าน Web Form จะต้องกำหนดค่าให้ OWASP Zap รู้ว่า จุดใดเป็น Login Form และ Field ใดที่ใช้เป็น Username และ Password ก่อน หลังจากนั้น จะสามารถกำหนดได้ว่า จะโจมตีด้วย Username ใดบ้าง เพื่อใช้ในการทดสอบ ขั้นตอนในการตั้งค่าและโจมตีมีดังนี้ ใน Web Browser ให้ตั้งค่า Proxy เป็น 127.0.0.1 Port 8080 ทำการเปิด Web…

Read more →

วิธีใช้งาน Kali Linux – OWASP Zap – Active Scan

by  •  • Comments Off on วิธีใช้งาน Kali Linux – OWASP Zap – Active Scan

ใน Kali Linux มีเครื่องมือ Web Application Security Scanner ที่น่าสนใจตัวหนึ่ง คือ OWASP Zap (Open Web Application Security Project) เหมาะสำหรับการใช้งานตั้งแต่การทดสอบเบื้องต้น ไปจนถึงการโจมตีขั้นสูงได้ *** คำเตือน : อย่าใช้เครื่องมือนี้กับระบบคอมพิวเตอร์ที่ท่านไม่ใช่เจ้าข้องเด็ดขาด *** ในบทความนี้ จะแสดงขั้นตอนการทดสอบ Web Application โดยใช้กระบวนการ Active Scan ใน Kali Linux เปิด Applications > 03 Web Application…

Read more →

อย่าเชื่อ Tools จนเกินไป : กรณี joomscan

by  •  • Comments Off on อย่าเชื่อ Tools จนเกินไป : กรณี joomscan

ได้ยินหลายคนพูดถึงการใช้งานตรวจสอบ Website โดยเฉพาะ Joomla โดยใช้เครื่องมือที่ชื่อว่า joomscan ก็เลยลองติดตั้ง และ ทำการทดสอบกับ Web Server ใน VirtualBox ที่มีช่องโหว่ JCE ที่เจาะได้แน่ๆ เพื่อดูว่าเครื่องมือนี้ทำงานอย่างไร   ทำการโจมตีจาก Kali Linux ไปยังเครื่องเป้าหมาย ด้วย joomscan   รายงานผลแจ้งว่า joomscan มีการ Update ล่าสุด เมื่อ Oct 22, 2012 นั่นคือเมื่อ 4 ปีที่แล้ว รายผลที่แจ้งช่องโหว่ ที่เจาะได้ มีดังนี้…

Read more →