ITrig

Zum Montag bietet sich ein kleiner Wachmacher an. Heute kommt dieser von den österreichischen Nachbarn und wurde bestimmt schon von einigen im Internet gesichtet. Dennoch ist es immer wieder sinnvoll, seine Programmier- oder Hackerskills zu testen.

Nichts anderes macht 0xf.at auf momentan 37 Leveln. Auf verschiedene Arten muss ein Passwort geknackt werden. Mit ein wenig Programmierkenntnissen und logischem Denken sollten viele Level kein Problem darstellen. Praktischerweise lässt sich jede Herausforderung einzeln auswählen.

0xf ist inzwischen auf GitHub vorhanden und kann frei verwendet oder erweitert werden.

Beim Web Security Dojo handelt es sich um eine fertig eingerichtete virtuelle Maschine, welche sich an werdende Penetrationstester oder Web Security Experten richtet. 
Das virtuelle System bietet sich aber genauso als allgemeine Trainingsgrundlage für Anwendungssicherheit an.

Web Security Dojo 2.1 - hacken lernen

Gerade ist eine aktualisierte Version 2.1 des Dojos vom Maven Security Consulting erschienen, welche auf Xubuntu 12.04 LTS basiert. 

Dank der fertig installierten Umgebung kann der interessierte Anwender sofort loslegen.
Bekannte Übungen und Tools wie OWASPs WebGoat sind fertig installiert und müssen nur über den Browser aufgerufen werden. (lediglich der gewünschte Proxy muss selbst gewählt werden.)

Die erst vor wenigen Tagen erschienene Toolsammlung hat zwar Updates erhalten, alle Tools sind dennoch nicht auf dem aktuellen Stand ( Ich glaube WebGoat wurde schon in v6 veröffentlicht, im Dojo ist allerdings 5.3 installiert. Dem Lernerfolg tut dies allerdings keinen Abbruch, da die Änderungen meist nicht gravierend sind.

Folgende bekannte Trainings und Anwendungs Tools sind im Dojo vorkonfiguriert enthalten

• Damn Vulnerable Web Application (DVWA) (login: admin:password)
• Mutillidae/NOWASP
• WebGoat (login: guest:guest)
• Insecure Web App
• w3af test framework
• WAVSEP Scanner Testbench
• XSS Practice Cases (WAVSEP XSS w/ hints hidden)
• REST demos
• JSON demo
• DOM XSS demo
• Simple Maven PHP demos
• sqli-labs

Weitere hilfreiche Tools für den Umgang mit Sicherheitslücken sind ebenfalls mit an Bord

• Burp Suite (free version)
• w3af
• sqlmap
• arachni 
• metasploit
• Zed Attack Proxy 
• OWASP Skavenger
• OWASP Dirbuster
• Paros
• Webscarab
• Ratproxy
• skipfish
• websecurify
• davtest

Alle Anwendung sind im Startmenü hinterlegt und müssen nur aufgerufen werden. Webanwendungen sind im vorinstallierten Firefox als Bookmarks hinterlegt.
Einen guten Start ins Web Hacking bietet sicherlich das bereits erwähnte WebGoat oder DVWA. Gerade ersteres bietet eine Schritt für Schritt Anleitung mit Lösungshilfen wenn gewünscht.

Installation

Es genügt das OVA Image herunterzuladen und in VirtualBox zu importieren.

Das es sich bei der Testumgebung um sehr unsichere Übungsanwendungen handelt, empfiehlt es sich, die Netzwerkverbindungen der virtuellen Maschine zu kappen.

Nun aber viel Spaß beim Hacken ;)

Das könnte dich auch interessieren

• Ubuntu - OpenVAS 8.0 installieren, konfigurieren und ein Netzwerk scannen

• SSLyze - SSL Server Einstellungen per Kommandozeile überprüfen

• WPScan - Wordpress Schwachstellen Scanner auf Ubuntu installieren

• BackBox Linux 4.1 - Update für die Pentesting Ubuntu Distribution

• 7 IT-Forensik Linux Distributionen zur Datenrettung, Analyse, Beweissicherung oder für Penetrationstests

• Linux Tools zur IT Forensik - 3 neue Distributionen, sowie Updates für Kali Linux und DEFT

Deutsche Startups berichtete die Tage in einem Artikel über NeuroNation. Dadurch inspiriert habe ich mir die Seite etwas genauer angeschaut und gefallen daran gefunden. Euch will ich das natürlich nicht vorenthalten.

Es handelt sich dabei um eine Gehirnjogging Community, die verschiedene Denksport Spiele anbietet. Wer schon mal etwas von Brain Buddies gehört hat, der weiß das so etwas durchaus Spaß machen kann und dazu auch noch das Gehirn trainiert. Bei NeuroNation können solche kurzweiligen Spiele ausprobiert werden. Der potenzielle Spieler  muss sich auf der Seite zwar registrieren, dank des vorhandenen "Facebook Logins" geht das aber schnell von der Hand. Nach dem Login eröffnet sich eine bunte Spielewelt bestehend aus drei Arten von Übungen:

• Basisübungen
• Freischaltübungen
• Premiumübungen

Basismodule können sofort genutzt werden, andere Spiele müssen erst freigeschaltet werden. Weiter gibt es Premiumübungen, die einmalig mit 2,18€ zu Buche schlagen. Zunächst können sie aber zehnmal getestet werden.

Insgesamt stehen 32 Übungen zur Verfügung, die in die Kategorien Rechnen, Sprache, Logik, Gedächtnis und Sensorik unterteilt sind. Die Denkspiele haben kuriose Namen wie "Nomensplitter" oder "Kassendenker", wobei alle Übungen einzeln angewählt werden können. Zusätzlich können mittels eines "fünf Minuten" Trainings alle Kategorien mit wechselnden Aufgaben durchlaufen werden.
Jede Übung dauert ca. eine Minute und wird davor ausführlich beschrieben. So erhält der "Neurogamer" bei jeder Übung, beispielsweise beim "Blitzrechner", für jede gelöste Gleichung Punkte, diese werden am Ende zusammengerechnet und dem eigenen Konto zugeschrieben. Mit steigendem Punktekonto werden später neue Übungen freigeschaltet.

Unterhalb der Übung wird der Übungsfortschritt grafisch angezeigt, um die Punkteanzahl und die eigene Leistung täglich verfolgen zu können. Als Pendant zur Einzelaufgabe wird im Profil ein Gesamtergebnis angezeigt für die einzelnen Kategorien angezeigt.

Damit die Motivation auf Dauer nicht nachlässt, kann gegen Freunde angetreten werden. Der persönliche Antrieb kann aus diesen Duellen oder dem Aktivitätsbaum gezogen werden. Denn für jedes Denkspiel gibt es Aktivitätspunkte, die das Bäumchen im eigenen Profil wachsen lassen.

Fazit

Das Design ist zwar eher schlicht gehalten, dafür erfüllt jedes Spiel seinen Zweck und kommt mit einem gewissen Suchtfaktor bzw. Verbesserungsdrang daher. Durch die Statistiken kann man seine Tages oder Wochenform genau verfolgen und bekommt automatisch eine Portion Motivation mit auf den Weg, es gleich nochmal zu versuchen und besser zu machen. Für den Hobby "Gehirnjogger"  genau die richtige Seite, besonders für Regentage oder die kurze Übung zwischendurch. Wer gegen mein bescheidenes Gehirn antreten möchte, der darf Benutzer "Lolek" gerne zu seinen Freunden hinzufügen:)