Vi har gennem en periode arbejdet ude ved Ordbogen med formålet at teste deres sikkerhed. Jeg vil her sige noget af det vi har udført, men resultaterne udelades. I forløbet har vi udført både scanninger inde fra, men også haft test personer ude fra, som ingen viden havde om kontormiljø m.m. for at holde det…

Jeg er igang med at gennemføre “Authentication” på TryHackMe. Gennemførte: Handler om Authentication Enumeration, som er et fundamentalt aspekt af sikkerhedstest. Det koncentrere sig på mekanismer, som beskytter sensitive aspekter på en hjemmeside. Eksempel på at finde valide emails med Verbose Errors. Her skriver den, at en mail ikke findes. Her skriver den koden ikke…

OSWAP Top 10 er en liste over de mest kritiske “web application security”-problemer. Injection / OS Command Injection Broken Authentication Sensitive Data Exposure XML External Entity Broken Access Control Security Misconfiguration Cross-Site Scripting Insecure Deserialization Components With Known Vulnerabilties Her kan man se, at ved at hente en exploit fra exploit-db, udføre den på en…

Jeg arbejde igen på TryHackMe med “Protocols and Servers”. Denne omhandlede HTTP, FTP, Telnet, Post Office Protocol 3 og Internet Message Access Protocol Her er et eksempel med FTP: Her kunne man forestille sig, at man havde Brute Forced sig ind istedet, fundet filen ftp_flag.thm og downloadet den.

Jeg har gennemført “Web Hacking” på TryHackMe. Denne omhandlede at bruge inbyggede funktioner i browseren. Så man kunne se “View Source”, “Inspector”, “Debugger” og “Network”. Dette omhandler om finde content – altså ting som f.eks. videoer, filer, backups m.m. Man kan både finde content manuelt, men også med automatiserede programmer (fx GoBuster) Denne omhandler at…

Jeg arbejde på TryHackMe, hvor jeg læste teori imens jeg udføre opgaver Jeg gennemførte Security Solutions Opret regel i Windows Firewall Derudover så prøvede jeg også det samme på Linux. Her arbejdede jeg bl.a. med værktøjet Snort til at opdage angreb. Denne kom ind på hvilke scannere til at finde vulnerabilities. Et af de værktøjer,…

Jeg har idag arbejdet med Burp Suite på TryHackMe En af de ting man kan med Burp Suite er at intercept requests fra hjemmesider, man besøger. Her kan vi se, at jeg intercepter requesten til Bastion Hosting (test side sat op af TryHackMe), hvor at jeg kan ændre i f.eks. GET requesten, inden at siden…

Jeg har udarbejdet en PTES rapport for et DDoS angreb, som vi har aftalt med PO, at vi må udføre (alt papirarbejde er på plads). PTES rapport skabelon:

Jeg fik arbejdet lidt mere med TryHackMe, hvor jeg f.eks. kiggede på værktøjet Gobuster, som kan bruges til at finde “skjulte” hjemmesider. Udover at kunne bruge GoBuster til at finde skjulte sider, undersøgte jeg også andre muligheder, som bl.a. var at tage en vilkårlig hjemmeside URL og indtaste /robots.txt efter domænet. Denne liste kan frembringe følsomme sider og dermed potentielle…