Prijsvraag: Win een Hacker Mindset workshop
Afgelopen vrijdag was Security.nl door het beveiligingsbedrijf Certified Secure uitgenodigd om eens aan de Hacker Mindset workshop deel te nemen. De workshop is een vast onderdeel van de certificeringen die het bedrijf aanbiedt. In een Haags gamecafé zouden we in vier uur leren "hoe hackers tegen beveiliging aan kijken." Dat hackers daar niet veel voor nodig hebben bleek wel uit het vereiste niveau, "ervaring met internet browsen" zou namelijk voldoende zijn. We worden niet "blind" aan het hacken gezet. De workshop volgt namelijk een verhaallijn. Er is een “evil organisatie” die een virus heeft gekocht en het is aan ons om de organisatie te stoppen en de wereld te redden.
Om dat doel te bereiken moesten we drie websites hacken, met als hoogtepunt het kraken van iemand z'n e-mailaccount, en dan niet op de Jack de Vries manier. Het begint met een website, waarop het eerste gezicht niets mis mee lijkt. We willen de site een foutmelding laten genereren, zodat we meer informatie en mogelijke zwakke plekken kunnen achterhalen. Hiervoor blijkt het bekijken van de broncode van de pagina de eerste stap. Met de aanwezige informatie lukt het ons om een foutmelding op de pagina te veroorzaken en dan begint het "spel". Al snel is iedereen druk aan het "pielen" met quotes, backslashes en wat niet meer. Via directory traversal proberen we in directories te komen waar we eigenlijk niet thuishoren. Op deze manier kunnen we toegang tot bestanden krijgen die afgeschermd horen te zijn, met de nadruk op horen.
I read your e-mail
De tweede website is al een stuk pittiger, en om het plot niet te verraden zullen we niet al teveel details weggeven, maar het komt erop neer dat we via SQL injectie met allerlei SQL commando's bezig gaan. Via SQL kun je met de database van een website communiceren. Denk aan het achterhalen van vertrouwelijke informatie in elke vorm mogelijk. Helaas voor de redactie moest de kennis van select statements weer even afgestoft worden.
De laatste pagina moeten we via cross-site scripting proberen te vellen. Hoe kun je de browser van het slachtoffer gebruiken om allerlei narigheid mee uit te voeren. In dit geval gaat het om een kwaadaardige organisatie, dus dat sust het geweten. Voor deze aanval maken we een geprepareerde link en hopen dat het slachtoffer die opent. Veel mensen, ook die zich met IT-beveiliging bezighouden, beseffen vaak niet de impact die XSS kan hebben. Uiteindelijk wacht het e-mailaccount van “mister evil”, maar dat is dan ook het enige dat we erover kwijt willen.
Vier uur later…
Na een workshop van vier uur ben je natuurlijk geen volleerd hacker, het laat je wel proeven wat een aanvaller allemaal kan doen en welke situaties je echt wil vermijden. Vanuit die awareness kun je dan verder kijken wat mogelijk is. De workshop kan voor mensen die helemaal niets van beveiliging weten aan de (te) pittige kant zijn. Een "gezonde interesse in digitale beveiliging", zoals op de website te lezen is, is dan ook geen overbodige luxe. Aan de andere kant zou je dan ook niet deze tekst gelezen hebben.
Prijsvraag
Security.nl geeft onder haar lezers een workshop ter waarde van 250 euro weg. De workshop vindt plaats op donderdag 12 februari. Om kans te maken kun je het antwoord op onderstaande vraag t/m 2 februari sturen naar prijsvraag@security.nl.
Wat is geen module van de Certified Secure Web Application Programmer certificering?
A. Hacker Mindset
B. Web Security Principles
C. Security Aware Programmer
D. Web Hacking Principles
Over de uitslag wordt niet gecorrespondeerd. De prijsvraag staat alleen open voor geregistreerde gebruikers van Security.NL. Medewerkers van Security.NL zijn uitgesloten van deelname.
Ik ging er heen om iets meer te weten te komen hoe men een windows server hackte (om beter te kunnen beschermen) maar dit ging er meer over hoe je webservers kon hacken.
Je zou het ook wat meer "script kiddie" workshop kunnen noemen :)
Maar nogmaals zeker de moeite waard als je er iets mee over wilt weten en jammer genoeg is 4 uur tekort dan want over zoiets kun je maanden doen :)
Ja ja, jij was toch die man met die baard en die hoofddoek, die steeds die varkenvlees kroketjes weigerde hè,.
Leer jij maar eerst lezen en kom dan nog maar eens terug :)
Kleuterschool niet afgemaakt zeker ?
Verder reageer ik niet meer op je voordat je gaat denken dat het me ook maar iets interesseert wat jij er van vind !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.