Software and Meta

Il Metaverso di Hackerhood immergerà lo studente in una nuova realtà didattica

Stiamo portando avanti un progetto innovativo, vogliamo attrarre i giovani al mondo IT attraverso il loro linguaggio: “I videogames”

Tool per tutti

Le versioni beta dei software sono opensource ma non chiudiamo le porte agli investimenti

Questo tool è in grado di rilevare in runtime vulnerabilità intrinseche nelle pagine html/js, esempio possono essere i sistemi di autenticazione scritti male, l’invio di email facilmente falsificabili dal frontend, che quindi permettono facilissimi attacchi di pishing, fino al Cross Site Scripting XSS anche persistente e anche in alcuni casi SQL Injections con RCE (remote code execution).

Ho pensato di fare un piccolo tool, ancora in via di sviluppo e miglioramento, che permettesse all’hacker di fare lo stesso lavoro, ma mostrando già in partenza i punti nei quali potrebbero nascondersi facilmente le vulnerabilità, all’interno sia del sorgente, che dei metodi javascript all’interno della memoria della finestra “window”, non che dei listeners, sia javascript che jQuery.

Ho potuto constatare che il tool mi sarebbe stato utilissimo, se fosse già stato pronto, nell’analisi di molti siti web vulnerabili che avevo già analizzato manualmente.

Inoltre è stato fatto in modo che sia facilmente implementabile, dal punto di vista dell’inserimento di payloads e delle analisi svolte. Lo script rileva anche già alcuni XSS, SQL Injection e RCE di base, e mostra l’header della pagina e il cookie in console. Spesso anche dal cookie o dagli header si scopre che l’unico parametro che tiene in vita la sessione dell’utente è il SESSIONID, senza alcun controllo aggiuntivo.

Autore: Davide Cavallini (hackerhood team)

Documentazione e guida IT:

https://docs.google.com/document/d/1QmH22YNUPctg664TwQL0Y8qLi_oYq5ZRpa7edH0D8nk/edit?usp=drivesdk

Documentazione e guida EN:

https://docs.google.com/document/d/1AXP0Y9eeiECN3JhCGtkICRXkXwpmPya5BFGR5hW70UU/edit?usp=drivesdk

link articolo:

https://www.redhotcyber.com/post/il-tool-per-javascript-che-mancava-agli-ethical-hackers/

link progetto:

https://github.com/dade1987/jsBugHuntingHelper

Un Anti-malware sperimentale in grado di identificare le funzionalità di diversi file per scovare eventuali malware, killarne i processi relativi e zipparli in un file di quarantena.

Autore: Fabio Defilippo (Hackerhood team)

link articolo:

link progetto: https://github.com/FabioDefilippo/fdsecurity