r   e   k   l   a   m   a
r   e   k   l   a   m   a

Katyusha Scanner: ataki na strony WWW przez komunikator na smartfonie

Strona główna AktualnościOPROGRAMOWANIE

Żaden chyba producent oprogramowania nie powie otwarcie, że jego narzędzia są trudne. Wręcz przeciwnie, wszyscy chwalą się intuicyjnością i prostotą, obsługa ma być tak łatwa, że nawet przedszkolak sobie poradzi. Dlaczego miałoby być inaczej w wypadku narzędzi hakerskich? Takim właśnie narzędziem hakerskim nowej generacji, prostym i miłym w obsłudze, jest Katyusha Scanner Pro, narzędzie do automatyzacji, jakby to powiedzieć… testów penetracyjnych witryn internetowych.

Ataki typu SQL Injection (SQLi) wynikają z niewłaściwego przetworzenia poleceń do baz danych, przesłanych przez aplikację internetową w ramach operacji wywołanej przez użytkownika. Przykładowo aplikacja może oczekiwać loginu użytkownika, tymczasem napastnik przesyła ciąg znaków będący poleceniem SQL, który zostaje włączony do kolejnej operacji bazodanowej. Pozwala to niejednokrotnie na wykonanie własnego kodu na serwerze i ujawnienie wrażliwych danych, np. listy użytkowników serwisu i ich danych adresowych.

Badacze z zajmującej się bezpieczeństwem firmy Recorded Future donoszą o nowym narzędziu do automatyzacji ataków SQL Injection, które przyjęte zostało przez cyberprzestępczą scenę z owacjami na stojąco. Katyusha Scanner Pro oferowana jest albo w modelu SaaS, gdzie płacimy 250 dolarów miesięcznie, albo za jednorazową opłatą 500 dolarów. W zamian dostajemy skaner podatności, który bazuje na opensource’owym narzędziu Arachni Scanner.

r   e   k   l   a   m   a

Arachni Scanner, choć jest narzędziem bardzo potężnym, jest zarazem skomplikowany w użyciu. Jego modularność i dopracowany interfejs REST pozwalają jednak zastąpić domyślny interfejs webowy czymś zupełnie innym. I to właśnie zrobili twórcy Katyushy. Wykorzystali kod popularnego komunikatora Telegram, przekształcając go w prosty interfejs skanera podatności.

Korzystający z Katyushy napastnik może teraz po prostu wgrać listę interesujących go stron internetowych i uruchomić równolegle przeprowadzane skanowanie podatności SQLi – wszystko ze swojego smartfonu. Płatna wersja Pro pozwala na znacznie więcej: automatyzuje proces przejęcia wybranych witryn i wydobycia z nich wrażliwych informacji. Płacącyc cyberprzestępca nie musi wiele umieć: wystarczy że wybierze z wyników skanowania interesujące go witryny (najlepiej te o wysokim rankingu Alexy, jako że te się będą najbardziej opłacały), a cała reszta zajdzie automatycznie.

Lista możliwych do zaatakowania w ten sposób technologii webowych jest długa – to nie tylko popularne systemy zarządzania treścią, ale też rozmaite autorskie witryny z funkcjami logowania czy wgrywania plików, które wykorzystują takie bazy danych jak MySQL, PostgreSQL, SQL Server, Oracle, Firebird i wiele innych.

Jak piszą badacze z Recorded Future, nazwa nie jest przypadkowa: chodzi o radziecką arylerię rakietową, która stała się ikoną Armii Czerwonej podczas II Wojny Światowej, i której salwy przygotowywały natarcia piechoty nie tylko niszcząc cele, ale przede wszystkim łamiąc morale żołnierzy Wehrmachtu. Dzisiaj Katyusha Scanner, pozwalając cyberprzestępcom na masowy „ostrzał” celów, w podobny sposób łamie morale niekompetentnych webmasterów i administratorów, utrzymujących pełne luk witryny internetowe.

Nic więc dziwnego, że klienci są z Katyushy bardzo zadowoleni, czemu dają wyraz w komentarzach. Jeden z nich chwali sprzedawcę, pisząc, że skonfigurował mu serwer pod oprogramowanie, które w kilka godzin znalazło osiem podatnych na atak witryn – świetny wynik jak na automat.

Biorąc pod uwagę cenę narzędzia jak i jego rosnącą popularność, można się spodziewać, że w ślady twórców Katyushy pójdzie wielu innych. Zapotrzebowanie na prosty w obsłudze hacking najwyraźniej jest.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłeś(aś) naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.