Eerste hulp bij hacken: deze oefensites kun je legaal kraken
Wil je leren hacken, maar heb je geen zin om de wet te overtreden? Ga dan naar deze sites.
Hacken is ontzettend leerzaam. Je moet uit je rol als gebruiker stappen en als aanvaller gaan denken. Je moet begrijpen hoe computers werken, hoe netwerken in elkaar steken, hoe internetverkeer tot stand komt en te manipuleren is en wat software precies doet.
Het lastige alleen is dat hacken in veel gevallen illegaal is. Dit kun je oplossen door toestemming te vragen aan degene die je gaat hacken, maar dan nog is er een kans dat je per ongeluk dingen kapotmaakt.
Voor wie wil leren hacken, maar niet de wet wil overtreden, is er gelukkig heel veel oefenmateriaal beschikbaar. En dat oefenen is niet alleen leerzaam, maar ook leuk om te doen. Ik zet zes hackdoelwitten op een rij. Alle software is gratis.
1. PentesterLab
PentesterLab bouwt onveilige applicaties die je op je computer kunt zetten en vervolgens kunt hacken. Sommigen zijn relatief makkelijk, andere heel moeilijk. Bij iedere applicatie zit een uitgebreide handleiding met achtergrondinformatie en oefeningen.
Een goede applicatie om mee te beginnen, is Web for Pentesters. Hiermee leer je hoe webapplicaties (zoals deze site) werken en hoe je hun beveiliging kunt omzeilen en informatie kunt stelen. De applicaties moet je downloaden en als virtual machine laten draaien, een grotendeels zelfstandige computer in je computer.
2. Metasploitable
Een goede manier om Kali Linux te leren gebruiken, is Metasploitable van Offensive Security. Deze applicatie zit vol kwetsbaarheden die je moet opsporen en exploiteren. Ook vind je er meer informatie over hoe je die aanvallen moet opzetten.
De uitleg is nogal summier, zeker als je net begint. Maar omdat Metasploitable veel wordt gebruikt, zijn er veel tutorials op YouTube te vinden.
3. Vulnhub
Ik ben erg gecharmeerd van deze oefensite. Hij ziet er lelijk uit, maar de oefenapplicaties zijn erg leuk. Je kunt ze downloaden, maar krijgt vervolgens geen aanwijzingen: je moet maar zien hoe je ze hackt. Erg frustrerend in het begin, maar het voelt ook lekker als het je vervolgens lukt in te breken.
Je krijgt een simpele opdracht mee. In Lord of the Root 1.0.1 bijvoorbeeld moet je een applicatie binnendringen en root privileges zien te krijgen, dus beheerder zien te worden. In Darknet 1.0 moet je een vlag zien te vinden die ergens in een diepe laag van de applicatie is verstopt.
Het aardige is dat er een hele gemeenschap om de site zit die verschillende oplossingen beschrijft: handig voor als je vastzit, maar ook leerzaam om te zien hoe anderen het doen.
4. Hack this site
Hack this site is een zeer actieve gemeenschap die gericht is op het leren hacken. Je kunt er allerlei ‘missions’ doen, van makkelijk tot moeilijk. Een telefoonnetwerk hacken bijvoorbeeld. Daarnaast kun je leren om bepaalde cryptografische bescherming te omzeilen, langs captcha’s te komen of een IRC-bot te bouwen.
5. Hack yourself first
Deze website is gebouwd door de Australische securityonderzoeker Troy Hunt (die ook een goed weblog bijhoudt). Hij heeft een aantal handleidingen gemaakt waarmee je zijn website, waarin een aantal beveiligingslekken zitten, kunt kraken. Die handleidingen gaan vooral over SQL-injection en Cross Site Scripting. Sowieso is het een goed idee om zijn blog bij te houden als je meer wilt weten over online security. Zijn trainingen op Pluralsight.com zijn ook erg goed.
6. Damn Vulnerable Web Application
De Damn Vulnerable Web Application is een website die je op je eigen computer draait. Hij is vrij makkelijk te installeren. Je kunt er vervolgens allerlei typen aanvallen op oefenen, zoals SQL-injection en Cross Site Scripting. Je kunt ook kiezen tussen verschillende moeilijkheidsgraden: de website reageert bij iedere moeilijkheid weer anders. Deze is vooral goed om mee te beginnen.
In de video hieronder laat ik een eenvoudige SQL-injection zien in de Damn Vulnerable Web Application.