Ένα σφάλμα στο APT επιτρέπει την εγκατάσταση κακόβουλων πακέτων
infosec

Ένα σφάλμα στο APT επιτρέπει την εγκατάσταση κακόβουλων πακέτων

Ορισμένες δημοφιλείς διανομές Linux έχουν ένα σφάλμα στο package-management interface, το οποίο θα μπορούσε να χρησιμοποιήσει ένας εισβολέας για να...
Read More
infosec

15 ψεύτικες Google Play εφαρμογές εξαπάτησαν Android χρήστες

Νωρίτερα αυτόν τον μήνα, η Google απομάκρυνε 85 κακόβουλες εφαρμογές από το Google Play Store. Ειδικότερα, μία παράνομη adware εφαρμογή...
Read More
infosec

Facebook «10 Year Challenge»: Κινδυνεύουν πράγματι τα δεδομένα σας;

Το τελευταίο διάστημα όλοι παρατηρήσαμε το νέο trend «10-Year Challenge» σε Facebook και Instagram. Αφού έγινε η νέα τάση ανάμεσα...
Read More
infosec

Το Malwarebytes έλυσε το σφάλμα «freezing» των συσκευών Windows 7

Η ομάδα του Malwarebytes επιτέλους έδωσε λύση στο σφάλμα που προκαλούσε πάγωμα σε συσκευές Windows 7! Το πρόβλημα εντοπίστηκε νωρίτερα...
Read More
infosec

Κορυφαίες Android VPN εφαρμογές διαρρέουν προσωπικά δεδομένα

Σύμφωνα με μία νέα μελέτη από VPN αξιολογητές, πάνω από 25% των 150 πιο δημοφιλών και δωρεάν VPNs στο Google...
Read More
Latest Posts

Δοκιμάστε injections σε Web apps με το εργαλείο Commix

Ένα νέο εργαλείο (Commix) και μάλιστα από Έλληνα προγραμματιστή, είναι διαθέσιμο σε όποιον επιθυμεί να τεστάρει την ασφάλεια των Web εφαρμογών των ιστοσελίδων του, και να αποκαλύψει πιθανές ευπάθειες που θα μπορούσαν να αξιοποιηθούν από απατεώνες με injections.

Το νέο εργαλείο όπως προαναφέραμε ονομάζεται Commix (συντομογραφία του [comm]and [i]njection e[x]ploiter, που έχει ως στόχο να βρει σφάλματα ή τρωτά σημεία που σχετίζονται με injection επιθέσεις. Πρόκειται δηλαδή για ένα εργαλείο το οποίο προσπαθεί χρησιμοποιώντας αρκετές παραλλαγές από σύνθετα attack vectors να «εντοπίσει» και στην συνέχεια να «εκμεταλλευτεί» ευπάθειες command injection.

 

Commix

Το Commix είναι γραμμένο σε Python, έχει δηλαδή ένα απλό περιβάλλον και μπορεί να χρησιμοποιηθεί από τους web developers, penetration testers και από ερευνητές ασφάλειας για να δοκιμάσουν την ασφάλεια των web εφαρμογών τους. Το πρόγραμμα προορίζεται μόνο για ελέγχους ασφαλείας και ο κατασκευαστής του προγράμματος δεν επιτρέπει επ’ουδενί την χρήση του για κακόβουλους σκοπούς.

Μία επιτυχής επίθεση με injection μπορεί να οδηγήσει στην εκτέλεση αυθαίρετων εντολών σε ένα σύστημα που επηρεάζεται από μια ευάλωτη εφαρμογή. Μπορεί να συμβεί αν η εφαρμογή δεν παρέχει επαρκή επικύρωση των εισροών και περνά μακριές εντολές από το χρήστη, μέσω φορμών, cookies ή HTTP headers.

Με τη χρήση αυτού του εργαλείου, είναι πολύ εύκολο να βρείτε και να εκμεταλλευτείτε μια ευπαθή εντολή σε injection, αναφέρει ο προγραμματιστής που το κατασκεύασε, Αναστάσιος Στασινόπουλος, στην επεξηγηματική σελίδα του στο GitHub.

Ωστόσο, αν και to Commix προορίζεται για δραστηριότητα ελέγχου και δοκιμών, μπορεί επίσης να χρησιμοποιηθεί από έναν κακόβουλο χρήστη, όπως άλλωστε και κάθε άλλο εργαλείο ασφάλειας. Ο Στασινόπουλος προειδοποιεί γι ‘αυτό και λέει ότι «μπορείτε να το χρησιμοποιήσετε μόνον εφόσον σας έχει δοθεί απόλυτη συναίνεση».

Οι δυνατότητες του Commix περιλαμβάνουν μια σειρά από επιλογές για να καθορίσετε ποιες παράμετροι μπορούν να δεχθούν injection. Για να εργαστεί το πρόγραμμα θα πρέπει να έχετε εγκαταστήσει το Python, έκδοση 2.6.x ή την έκδοση 2.7.x.

Στην ιστοσελίδα του GitHub που θα κατεβάσετε και το πρόγραμμα, θα βρείτε επίσης και οδηγίες για την εγκατάσταση και τη λειτουργία του.

Για να μπορέσετε να εξοικειωθείτε με το Commix, ο Στασινόπουλος σας παρέχει μια σειρά από παραδείγματα. Ένα από αυτά είναι και μία σελίδα που είναι ευάλωτη σε PHP/MySQL Web App και που μπορείτε να δοκιμάσετε τις ικανότητές σας, τα εργαλεία σας, και να τη σπάσετε όσο θέλετε αφού έχετε την πλήρη νόμιμη άδεια να το κάνετε..

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *