ITrig

Wer zum Wochenanfang seine Terminalkenntnisse unter Beweis stellen möchte, der findet mit der CMD Challenge genau das Richtige.

Die Webseite fragt momentan 32 Terminal Befehle ab. Am Anfang noch relativ einfach, dann immer komplexer.

Sowohl für Einsteiger zum Üben als auch für Profis für Zwischendurch, bietet der kleine interaktive Fragenkatalog die nötige Abwechslung.

Das Kommandozeilen Tool ist Open Source und kann auf Github jederzeit erweitert oder verbessert werden.

Beim Web Security Dojo handelt es sich um eine fertig eingerichtete virtuelle Maschine, welche sich an werdende Penetrationstester oder Web Security Experten richtet. 
Das virtuelle System bietet sich aber genauso als allgemeine Trainingsgrundlage für Anwendungssicherheit an.

Web Security Dojo 2.1 - hacken lernen

Gerade ist eine aktualisierte Version 2.1 des Dojos vom Maven Security Consulting erschienen, welche auf Xubuntu 12.04 LTS basiert. 

Dank der fertig installierten Umgebung kann der interessierte Anwender sofort loslegen.
Bekannte Übungen und Tools wie OWASPs WebGoat sind fertig installiert und müssen nur über den Browser aufgerufen werden. (lediglich der gewünschte Proxy muss selbst gewählt werden.)

Die erst vor wenigen Tagen erschienene Toolsammlung hat zwar Updates erhalten, alle Tools sind dennoch nicht auf dem aktuellen Stand ( Ich glaube WebGoat wurde schon in v6 veröffentlicht, im Dojo ist allerdings 5.3 installiert. Dem Lernerfolg tut dies allerdings keinen Abbruch, da die Änderungen meist nicht gravierend sind.

Folgende bekannte Trainings und Anwendungs Tools sind im Dojo vorkonfiguriert enthalten

• Damn Vulnerable Web Application (DVWA) (login: admin:password)
• Mutillidae/NOWASP
• WebGoat (login: guest:guest)
• Insecure Web App
• w3af test framework
• WAVSEP Scanner Testbench
• XSS Practice Cases (WAVSEP XSS w/ hints hidden)
• REST demos
• JSON demo
• DOM XSS demo
• Simple Maven PHP demos
• sqli-labs

Weitere hilfreiche Tools für den Umgang mit Sicherheitslücken sind ebenfalls mit an Bord

• Burp Suite (free version)
• w3af
• sqlmap
• arachni 
• metasploit
• Zed Attack Proxy 
• OWASP Skavenger
• OWASP Dirbuster
• Paros
• Webscarab
• Ratproxy
• skipfish
• websecurify
• davtest

Alle Anwendung sind im Startmenü hinterlegt und müssen nur aufgerufen werden. Webanwendungen sind im vorinstallierten Firefox als Bookmarks hinterlegt.
Einen guten Start ins Web Hacking bietet sicherlich das bereits erwähnte WebGoat oder DVWA. Gerade ersteres bietet eine Schritt für Schritt Anleitung mit Lösungshilfen wenn gewünscht.

Installation

Es genügt das OVA Image herunterzuladen und in VirtualBox zu importieren.

Das es sich bei der Testumgebung um sehr unsichere Übungsanwendungen handelt, empfiehlt es sich, die Netzwerkverbindungen der virtuellen Maschine zu kappen.

Nun aber viel Spaß beim Hacken ;)

Das könnte dich auch interessieren

• Ubuntu - OpenVAS 8.0 installieren, konfigurieren und ein Netzwerk scannen

• SSLyze - SSL Server Einstellungen per Kommandozeile überprüfen

• WPScan - Wordpress Schwachstellen Scanner auf Ubuntu installieren

• BackBox Linux 4.1 - Update für die Pentesting Ubuntu Distribution

• 7 IT-Forensik Linux Distributionen zur Datenrettung, Analyse, Beweissicherung oder für Penetrationstests

• Linux Tools zur IT Forensik - 3 neue Distributionen, sowie Updates für Kali Linux und DEFT

Manche Leser haben eventuell schon einmal mit dem Gedanken gespielt sich an einem OpenSource Projekt zu beteiligen. Die meisten denken dabei wohl an bekannte Open Source Programme, wobei gesagt werden sollte, dass es sicherlich toll ist an bekannten Tools mitzuarbeiten, aber auch die kleinen benötigen Programmierer.

Für heute bleibe ich dennoch bei einem bekannten Programm namens Firefox, wer kennt es nicht ;)

Firefox programmieren 

Denn Mozilla bietet für alle Einsteiger und angehende Open Source Programmierer eine gute Einstiegsseite unter CodeFirefox an. Dort werden mit Hilfe von Videotutorials und JavaScript Übungsaufgaben, alle wichtigen Fragen zum Einstieg in die Firefox Programmierung erklärt. Derzeit sind bereits 42 Hilfestellungen online, 36 sind noch offen, es werden unter anderem folgende Fragen beantwortet:

• Aufbau einer Programmierumgebung für Firefox in Windows, Linux und OS X
• Der Unterschied zwischen Firefox Kanälen und Repositories
• Den Firefox Quellcode herunterladen
• Hilfestellung per IRC
• Einen eigenen Firefox erstellen
• Arbeiten mit Bugzilla
• Account erstellen
• Umgang mit Bugs
• Der Firefox Source Tree erklärt
• Einführung in Mercurial
• Ein Patch File erstellen
• Patch bereitstellen und Branchintegration
• Einführung in Mercurial Patch Queues
• Arbeiten mit Patches
• Einführung in Online Tools zur Code Analyse
• Firefox Scratchpad
• Firefox DOM Inspector
• Debugging
• JavaScript Module
• XPCOM
• Automatisierte Tests
• Debugging
• Fehlersuche

Man sollte jedes Jahr eine neue Programmiersprache lernen, so behauptet es jedenfalls Chad Fowler in seinem Buch "The Passionate Programmer".
Das neue Jahr ist zwar schon ein paar Tage alt, dennoch ist es noch nicht zu spät eine neue Sprache zu erlernen. Wie wäre es denn 2012 mit JavaScript. Jahrelang hat diese Sprache ein Nischendasein geführt, heute ist sie aus der Netzwelt nicht mehr wegzudenken und nahezu auf jeder interaktiven Webseite zu finden.

Das Startup Codecademy bietet hierfür einen schnellen Einstiegslehrgang und die richtige Umgebung. Die Interaktive Webseite stellt einen Editor für Codeingaben zur Verfügung, welcher das meist aufwendige Einrichten einer Entwicklungsumgebung erspart.

Codecademy verlangt nicht zwingend eine Anmeldung, somit kann jeder sofort mit den ersten Unterrichtstunden beginnen.

Um JavaScript zu erlernen werden einfache Übungen abgefragt, diese sind in Lektionen unterteilt und fragen verschiedene Bereiche ab. Durch die Eingabe in der Sandbox wird sofort sichtbar, ob Code korrekt war. Der Laie erspart sich aufwendiges Fehlersuchen bzw. kann zusätzlich Tipps einblenden. Wer sich registriert erhält pro gelöster Aufgabe Punkte und kann sich so mit Freunden messen.

Für 2012 hat Codecademy zusätzlich das CodeYear ausgerufen.

Auf Code Year könnt ihr euch zum E-Mail Newsletter anmelden. Ihr bekommt dann jede Woche eine Erinnerungsmail, das der nächste Kurs ansteht. Eine sehr praktische Sache.

Schlussendlich wird der Dienst sicherlich kein Buch und jahrelanges Üben und Lernen ersetzten können. Als schneller und einfacher Einstieg ist die Webseite bzw. das CodeYear bestimmt das Richtige für den Anfänger, der ein Buch allzu schnell in die Ecke wirft. Neben JavaScript sollen bald Python und Ruby angeboten werden, ein regelmäßiger Blick auf die Seite kann also nicht schaden.

Deutsche Startups berichtete die Tage in einem Artikel über NeuroNation. Dadurch inspiriert habe ich mir die Seite etwas genauer angeschaut und gefallen daran gefunden. Euch will ich das natürlich nicht vorenthalten.

Es handelt sich dabei um eine Gehirnjogging Community, die verschiedene Denksport Spiele anbietet. Wer schon mal etwas von Brain Buddies gehört hat, der weiß das so etwas durchaus Spaß machen kann und dazu auch noch das Gehirn trainiert. Bei NeuroNation können solche kurzweiligen Spiele ausprobiert werden. Der potenzielle Spieler  muss sich auf der Seite zwar registrieren, dank des vorhandenen "Facebook Logins" geht das aber schnell von der Hand. Nach dem Login eröffnet sich eine bunte Spielewelt bestehend aus drei Arten von Übungen:

• Basisübungen
• Freischaltübungen
• Premiumübungen

Basismodule können sofort genutzt werden, andere Spiele müssen erst freigeschaltet werden. Weiter gibt es Premiumübungen, die einmalig mit 2,18€ zu Buche schlagen. Zunächst können sie aber zehnmal getestet werden.

Insgesamt stehen 32 Übungen zur Verfügung, die in die Kategorien Rechnen, Sprache, Logik, Gedächtnis und Sensorik unterteilt sind. Die Denkspiele haben kuriose Namen wie "Nomensplitter" oder "Kassendenker", wobei alle Übungen einzeln angewählt werden können. Zusätzlich können mittels eines "fünf Minuten" Trainings alle Kategorien mit wechselnden Aufgaben durchlaufen werden.
Jede Übung dauert ca. eine Minute und wird davor ausführlich beschrieben. So erhält der "Neurogamer" bei jeder Übung, beispielsweise beim "Blitzrechner", für jede gelöste Gleichung Punkte, diese werden am Ende zusammengerechnet und dem eigenen Konto zugeschrieben. Mit steigendem Punktekonto werden später neue Übungen freigeschaltet.

Unterhalb der Übung wird der Übungsfortschritt grafisch angezeigt, um die Punkteanzahl und die eigene Leistung täglich verfolgen zu können. Als Pendant zur Einzelaufgabe wird im Profil ein Gesamtergebnis angezeigt für die einzelnen Kategorien angezeigt.

Damit die Motivation auf Dauer nicht nachlässt, kann gegen Freunde angetreten werden. Der persönliche Antrieb kann aus diesen Duellen oder dem Aktivitätsbaum gezogen werden. Denn für jedes Denkspiel gibt es Aktivitätspunkte, die das Bäumchen im eigenen Profil wachsen lassen.

Fazit

Das Design ist zwar eher schlicht gehalten, dafür erfüllt jedes Spiel seinen Zweck und kommt mit einem gewissen Suchtfaktor bzw. Verbesserungsdrang daher. Durch die Statistiken kann man seine Tages oder Wochenform genau verfolgen und bekommt automatisch eine Portion Motivation mit auf den Weg, es gleich nochmal zu versuchen und besser zu machen. Für den Hobby "Gehirnjogger"  genau die richtige Seite, besonders für Regentage oder die kurze Übung zwischendurch. Wer gegen mein bescheidenes Gehirn antreten möchte, der darf Benutzer "Lolek" gerne zu seinen Freunden hinzufügen:)