Ga naar hoofdinhoud

Cheatsheet

WSL

Hoe start ik WSL op?

Open Windows Powershell en voer het volgende commando uit:

wsl -d kali-linux

DVWA

Hoe start ik DVWA?

Open kali-linux in WSL en kopieer het volgende commando:

sudo systemctl start apache2.service

Ga vervolgens naar een browser (bijvoorbeeld Google Chrome) en ga naar de volgende url:

http://localhost/DVWA
Hoe log ik in op DVWA?

De gebruikersnaam is admin en het wachtwoord is password.

Wat stel ik nog in na de installatie?

Nog twee dingen:

  1. Klik in het scherm Setup / Reset DB op de knop Create / Reset database onderaan de pagina.
  2. Klik in het menu op DVWA Security en kies daar low en klik op Submit.

Linux Commando's

whoami

Toont de naam van de huidige ingelogde gebruiker op het systeem.

; (Puntkomma)

Zorgt ervoor dat je meerdere commando's achter elkaar kunt uitvoeren. Bijvoorbeeld: commando1 ; commando2 voert eerst het ene uit, en daarna het andere.

&& (AND)

Voert het tweede commando alleen uit als het eerste commando succesvol is afgerond zonder fouten.

| (Pipe)

Neemt de output (het resultaat) van het eerste commando en gebruikt dit als input voor het tweede commando.

|| (OR)

Voert het tweede commando alleen uit als het eerste commando een fout oplevert.

cat /etc/passwd

Een veelgebruikt commando bij beveiligingstesten. Het toont de inhoud van het bestand /etc/passwd, wat een lijst is van alle geregistreerde gebruikers op een Linux-systeem.

Terminologie

Command Injection

Een kwetsbaarheid waarbij een aanvaller onbedoeld besturingssysteemcommando's kan laten uitvoeren door de server waarop de webapplicatie draait.

Brute Force

Een aanvalsmethode waarbij systematisch alle mogelijke combinaties van wachtwoorden (of andere geheime data) worden geprobeerd totdat de juiste is gevonden.

SQL Injection (SQLi)

Een techniek waarbij een aanvaller kwaadaardige SQL-code injecteert in een invoerveld, om zo de database van de webapplicatie te manipuleren of uit te lezen.

Cross-Site Scripting (XSS)

Een kwetsbaarheid waarbij een aanvaller kwaadaardige scripts (meestal JavaScript) kan injecteren in webpagina's die door andere gebruikers worden bekeken.

Cross-Site Request Forgery (CSRF)

Een aanval waarbij een slachtoffer onbewust een actie uitvoert op een website waar hij is ingelogd, doordat een aanvaller hem op een kwaadaardige link laat klikken.

File Inclusion (LFI/RFI)

Een kwetsbaarheid waarbij een applicatie bestanden insluit (include) op basis van gebruikersinvoer, wat kan leiden tot het uitlezen van gevoelige systeembestanden (Local File Inclusion) of het uitvoeren van externe scripts (Remote File Inclusion).

IDOR (Insecure Direct Object Reference)

Ook wel Authorization Bypass genoemd. Een kwetsbaarheid waarbij een gebruiker toegang krijgt tot data van anderen door simpelweg een ID in de URL of het verzoek aan te passen (bijvoorbeeld user_id=123 veranderen in user_id=124).