Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 18

Temat: Praca inżynierska.

  1. #1
    Zarejestrowany
    Oct 2012
    Postów
    8

    Domyślnie Praca inżynierska.

    Witam wszystkich,
    zwracam się z prośbą o pomoc przy ruszeniu z pracą inżynierską

    Wybrałem sobie temat, który wydawał mi się interesujący:

    "Przegląd i demonstracja zagrożeń bezpieczeństwa witryn internetowych"

    Część praktyczna pracy polega na wykonaniu 2-3 scenariuszy ataku na testową witrynę internetową. Nie wiem za bardzo jak się do tego zabrać, ponieważ nie mam jeszcze praktycznie żadnego doświadczenia jeśli chodzi o witryny internetowe. Jak na razie zdecydowałem, że do ataków wykorzystam BackTracka 5 postawionego na wirtualnej maszynie a jeśli chodzi o witrynę testową to chciałem postawić coś na apache'u i zrobić podstawową konfigurację, która pozwoli mi na przeprowadzenie tych ataków. Mam swobodę w wyborze rodzaju ataku oraz narzędzi, więc chętnie posłucham też ewentualnych innych propozycji.

    Jakie jest wasze zdanie na ten temat? Może istnieją gotowe witryny internetowe, które można użyć do testów? Jakie ataki są ciekawe i w miarę łatwe do zrealizowania? Dajcie znać co myślicie
    Pozdrawiam

  2. #2
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    https://www.owasp.org/index.php/Main_Page

    Kwintesencja wiedzy o atakach na sajty. Czeka Cię kilka dni czytania
    światło mądrości oświetla drogę z nikąd do nikąd

  3. #3
    Zarejestrowany
    Oct 2012
    Postów
    8

    Domyślnie

    Dzięki za link czytam
    a środowisko testowe? Backtrack to dobry pomysł?
    Macie pomysł jak zrobić witrynę testową?

    edit:
    jakie 3 ataki byłyby ciekawe do przedstawienia?
    Ostatnio edytowane przez qbeu : 10-16-2012 - 12:18

  4. #4
    Zarejestrowany
    Jan 2009
    Postów
    836

    Domyślnie

    Nie wiem czy na pracę inżynierską nie będzie zbyt lamerskie hackme.com, ale na pewno trzeba się trochę wysilić by przejść wszystkie kroki. Pierwsze włamy są banalne opierają się na wyświetleniu source w IE, ale następne to m.in PHP injection przy logowaniu.

  5. #5
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    BSides London mialo konkurs przed ostatnia edycja - aplikacja webowa i do niej 5 pytan... Byly osoby co meczyly sie miesiac czasu, byly takie co skonczyly w 3-4h i przyslaly wyniki.

    Pytania na ktore trzeba odpowiedziec:
    1. What is Matt’s password for the Intranet?
    2. Who did Iggy meet on January 20th?
    3. What is Javvad’s password?
    4. What is the kernel version of the underlying server?
    5. What is the SHA1 value in the file /bsides-challenge?

    Oczywiscie #4 zalezy od tego gdzie to uruchomisz :-)
    Zobacze, moze uda mi sie na tydzien doslownie podniesc VM, moglbys wtedy sprobowac swoich sil bez babrania w instalacje calego srodowiska... i opisac to co znajdziesz. Jesli opiszesz kolejne metody atakow na aplikacje i jak bledy powinny zostac usuniete/naprawione to na inzynierska wystarczy spokojnie

    Daj znac czy jestes w ogole zainteresowany to zobacze co da sie zrobic w kwestii serwera.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  6. #6
    Zarejestrowany
    Oct 2012
    Postów
    8

    Domyślnie

    Chłopaki problem jest taki, że jestem zupełnie świeży w temacie i zdecydowałem się na niego dlatego, że tematyka moim zdaniem jest bardzo ciekawa i przydatna

    Także ataki na aplikacje webowe i pomysły na usunięcie luk to zdecydowanie za wysoka poprzeczka.

    Opiekun jak na razie narzucił mi linuxa backtracka, który ma być użyty jako narzędzie do przeprowadzenia ataku, ale nie wspomniał nic o środowisku na którym miałbym testować dostępne tam narzędzia.

    Osobiście myślałem o serwerze Apache, do tego podstawowa (nigdy tego nie robiłem) konfiguracja mająca za zadanie umożliwienie przeprowadzenia ataku. Bez żadnych grafik i innych zbędnych rzeczy. Problemem jest wspomniana konfiguracja tego środowiska testowego i wybór scenariuszy ataku (3), Backtrack z tego co zdążyłem się zorientować ma całkiem pokaźną liczbę aplikacji do tego celu. Może to być atak typu DoS, atak na serwer www, może coś z SQL injection? Nie mam pojęcia, które ataki są w miarę łatwe do zrealizowania (i opisania). Reszta pracy ma charakter przeglądowy, więc to raczej nie powinien być już problem. Dzięki za odpowiedzi

    pozdrawiam

  7. #7
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    Cytat Napisał qbeu Zobacz post
    Nie mam pojęcia, które ataki są w miarę łatwe do zrealizowania (i opisania).
    Publikacje na OWASP nic Ci nie rozjaśniły?
    Podanie na tależu to za mało, trzeba jeszcze nakramić.

    Pracowity i w miarę inteligenty gość wział by się do czytania i wrócił za 3 dni z konkretnymi pytaniami..
    Ostatnio edytowane przez lame : 10-16-2012 - 20:14
    światło mądrości oświetla drogę z nikąd do nikąd

  8. #8
    Zarejestrowany
    Oct 2012
    Postów
    8

    Domyślnie

    Czytam sobie o atakach, co nie zmienia faktu, że nie wiem jak je przeprowadzić korzystając z Backtracka. Nie wiem też, które są warte uwagi i dlatego pytam czym się bliżej zainteresować/poeksperymentować bo jest tego na moją głowę za dużo...

  9. #9
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    Narzędzia: https://www.owasp.org/index.php/Category:OWASP_Download

    Jeszcze raz powtórze, poczytaj i wróc za pare dni z konkretnymi pytaniami.
    Chyba że trzeba Ci dalej kopiowac linki ze strony głownej..

    Cytat Napisał qbeu Zobacz post
    Nie wiem też, które są warte uwagi
    Wszystkie.. Chyba że pisząc "warte uwagi" masz na myśli "warte mojego cennego czasu"
    Ostatnio edytowane przez lame : 10-16-2012 - 20:39
    światło mądrości oświetla drogę z nikąd do nikąd

  10. #10
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    Nie powinieneś brać się za pracę inżynierską, na której temat niewiele wiesz. Praca inżynierska to podsumowanie i rozwinięcie wiedzy zdobytej przez cały czas studiów, a rezultat tej pracy - teoretyczny bądź praktyczny - ma być świadectwem dla twojego przyszłego pracodawcy, że jesteś ekspertem w dziedzinie, w której napisałeś pracę.

    Mimo to, że odrzuciłeś sztandarowy materiał, jakim jest owasp, masz tu więcej materiałów:

Strona 1 z 2 12 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj