Comments on: AttackAPI 0.8 is OUT http://www.gnucitizen.org/blog/attackapi-08-is-out/ Information Security Think Tank Fri, 21 Nov 2008 21:21:41 +0000 http://wordpress.org/?v=2.6.3 By: pdp http://www.gnucitizen.org/blog/attackapi-08-is-out/#comment-123994 pdp Fri, 10 Oct 2008 08:35:06 +0000 http://www.gnucitizen.org/blog/attackapi-08-is-out#comment-123994 hi everybody, we had to re-engineer the entire project. look around the site in order to find what you are looking for. hi everybody, we had to re-engineer the entire project. look around the site in order to find what you are looking for.

]]> By: iEhrepus http://www.gnucitizen.org/blog/attackapi-08-is-out/#comment-87798 iEhrepus Mon, 17 Dec 2007 11:13:05 +0000 http://www.gnucitizen.org/blog/attackapi-08-is-out#comment-87798 Thx :) Thx :)

]]> By: pdp http://www.gnucitizen.org/blog/attackapi-08-is-out/#comment-87717 pdp Mon, 17 Dec 2007 07:05:43 +0000 http://www.gnucitizen.org/blog/attackapi-08-is-out#comment-87717 hi iEhrepus, the demos are not available anymore since we changes the design of the library long time ago, but you can still get the old SVN stuff from here: http://attackapi.googlecode.com/svn/tags/attackapi-0.8/ At the moment we are working on better structure of the libraries and this may take time since I am the primary developer and I am currently busy with other things as well. Thanks for the interests. hi iEhrepus, the demos are not available anymore since we changes the design of the library long time ago, but you can still get the old SVN stuff from here: http://attackapi.googlecode.co.....ckapi-0.8/

At the moment we are working on better structure of the libraries and this may take time since I am the primary developer and I am currently busy with other things as well. Thanks for the interests.

]]> By: iEhrepus http://www.gnucitizen.org/blog/attackapi-08-is-out/#comment-87621 iEhrepus Mon, 17 Dec 2007 01:43:53 +0000 http://www.gnucitizen.org/blog/attackapi-08-is-out#comment-87621 hi pdp: demos links doesn't work now,where can i get some demos ? hi pdp:

demos links doesn’t work now,where can i get some demos ?

]]> By: pdp http://www.gnucitizen.org/blog/attackapi-08-is-out/#comment-1203 pdp Wed, 13 Dec 2006 07:17:33 +0000 http://www.gnucitizen.org/blog/attackapi-08-is-out#comment-1203 the list of features is growing the list of features is growing

]]> By: Olle Lindgren : Hacking med JavaScript http://www.gnucitizen.org/blog/attackapi-08-is-out/#comment-347 Olle Lindgren : Hacking med JavaScript Thu, 26 Oct 2006 13:44:16 +0000 http://www.gnucitizen.org/blog/attackapi-08-is-out#comment-347 [...] Hacking med JavaScript Till att börja med: JavaScript är kraftfullt!Relativt nyligen har det publicerats ett "attack-api" på GNUCitizen. Det är en samling JavaScript-kod för att, på en utsatt maskin, kunna utföra en mängd olika operationer som en hacker skulle kunna tänkas vilja göra.Bland annat finns keylogger, portscanner, zombie-klient, zombie-master och en hel del annat implementerat i JavaScript. T ex kan en hacker med hjälp av den portscanner som finns portscanna valfria maskiner på Internet från en ovetande persons webbläsare. Om hackern dessutom sprider sin JavaScript-kod via någon populär mediafil kan genomslaget bli mycket stort.En lista över funktionaliteten i GNUCitizens AttackAPI och exempelsidor där man kan testa koden finns på: GNUCitizenFör att kunna exekvera dessa skript i offrets webbläsare behöver hackern antingen få offret att besöka hackerns webbplats eller lyckas infektera en webbsida med sin egen JavaScript-kod. Alternativt kan koden skickas inbäddad i någon typ av mediafil. Hur man preparerar mp3, pdf, quicktime och html-filer med JavaScript finns även det beskrivet på GNUCitizen.Att hackers i allt större utsträckning inriktar sina attacker mot deployade applikationer när operativsystemen blivit mer härdade känner väl de flesta till vid det här laget. Ett sätt att attackera en sajt för att nå dess användare är cross site scripting (XSS) då man överför JavaScript till servern. Denna JavaScript-kod exekveras sedan i andra användares webbläsare. T ex MySpace har varit och är för närvarande (!) sårbart för denna typ av attack.Har utvecklarna implementerat filter på servern för att förhindra skript-taggar? Kan man komma runt dessa filter genom att skicka in taggarna hex-kodade? Hur är det med dolda fält och parametrar i URL:en? Filtereras dessa på samma sätt eller passerar de in ofiltrerade? Om dessa inte filtreras kan möjligheten finnas att skicka in otrevlig skript-kod eller eventuellt SQL-anrop till databasen, beroende på vad fälten används till.Hur spärrar man som utvecklare dessa attacker? Naturligtvis måste taggarna filtreras bort, helst spärrar man helt enkelt möjligheten att skicka in tecknen '<' och '>'. (Funkar dessa här? Kanske kan man skicka in ett helt skript hit... ;-) Nejdå, men det viktiga att tänka på när man gör valideringsrutinerna är att bearbeta indatat från rätt håll. Man måste anta att indatat är felaktigt formatterat och leta efter korrekta tecken och endast godkänna indata som uppfyller kraven. Om man skulle välja varianten att endast filtrera bort "onda" teckenkombinationer, finns alltid risken att man missat en eller flera varianter som attacken kan utföras på.Blev det otydligt? Kortfattat: Släpp endast igenom det som garanterat är godkänd indata! Published den 26 oktober 2006 15:36 by Olle Lindgren [...] [...] Hacking med JavaScript Till att börja med: JavaScript är kraftfullt!Relativt nyligen har det publicerats ett “attack-api” på GNUCitizen. Det är en samling JavaScript-kod för att, på en utsatt maskin, kunna utföra en mängd olika operationer som en hacker skulle kunna tänkas vilja göra.Bland annat finns keylogger, portscanner, zombie-klient, zombie-master och en hel del annat implementerat i JavaScript. T ex kan en hacker med hjälp av den portscanner som finns portscanna valfria maskiner på Internet från en ovetande persons webbläsare. Om hackern dessutom sprider sin JavaScript-kod via någon populär mediafil kan genomslaget bli mycket stort.En lista över funktionaliteten i GNUCitizens AttackAPI och exempelsidor där man kan testa koden finns på: GNUCitizenFör att kunna exekvera dessa skript i offrets webbläsare behöver hackern antingen få offret att besöka hackerns webbplats eller lyckas infektera en webbsida med sin egen JavaScript-kod. Alternativt kan koden skickas inbäddad i någon typ av mediafil. Hur man preparerar mp3, pdf, quicktime och html-filer med JavaScript finns även det beskrivet på GNUCitizen.Att hackers i allt större utsträckning inriktar sina attacker mot deployade applikationer när operativsystemen blivit mer härdade känner väl de flesta till vid det här laget. Ett sätt att attackera en sajt för att nå dess användare är cross site scripting (XSS) då man överför JavaScript till servern. Denna JavaScript-kod exekveras sedan i andra användares webbläsare. T ex MySpace har varit och är för närvarande (!) sårbart för denna typ av attack.Har utvecklarna implementerat filter på servern för att förhindra skript-taggar? Kan man komma runt dessa filter genom att skicka in taggarna hex-kodade? Hur är det med dolda fält och parametrar i URL:en? Filtereras dessa på samma sätt eller passerar de in ofiltrerade? Om dessa inte filtreras kan möjligheten finnas att skicka in otrevlig skript-kod eller eventuellt SQL-anrop till databasen, beroende på vad fälten används till.Hur spärrar man som utvecklare dessa attacker? Naturligtvis måste taggarna filtreras bort, helst spärrar man helt enkelt möjligheten att skicka in tecknen ‘<’ och ‘>’. (Funkar dessa här? Kanske kan man skicka in ett helt skript hit… ;-) Nejdå, men det viktiga att tänka på när man gör valideringsrutinerna är att bearbeta indatat från rätt håll. Man måste anta att indatat är felaktigt formatterat och leta efter korrekta tecken och endast godkänna indata som uppfyller kraven. Om man skulle välja varianten att endast filtrera bort “onda” teckenkombinationer, finns alltid risken att man missat en eller flera varianter som attacken kan utföras på.Blev det otydligt? Kortfattat: Släpp endast igenom det som garanterat är godkänd indata! Published den 26 oktober 2006 15:36 by Olle Lindgren [...]

]]> By: joe http://www.gnucitizen.org/blog/attackapi-08-is-out/#comment-260 joe Mon, 16 Oct 2006 20:18:30 +0000 http://www.gnucitizen.org/blog/attackapi-08-is-out#comment-260 a very nice and usefull list. good work. a very nice and usefull list. good work.

]]>