1. Wat is dit eigenlijk?
Oké, luister. Ergens op je harde schijf staat nu een Flask-applicatie die alles doet wat je als pentester nodig hebt, en die — in een vlaag van zelfkennis die je zelden tegenkomt in de softwareindustrie — de naam “Incompetent Bastard” heeft gekregen. De naam is zelfspot. De applicatie zelf is dodelijk serieus. Het is het verschil tussen een chirurg die zegt “ik heb geen idee wat ik doe” terwijl hij een perfecte hartoperatie uitvoert, en een chirurg die dat zegt en het ook meent. In het eerste geval lach je. In het tweede geval ren je. Je zou hier niet zijn als je niet in het eerste geval geloofde, dus lees vooral door.
Het is een dashboard. Een payload-fabriek. Een notitieblok. Een rapportgenerator. Een webterminal. Een command library met diverse gedocumenteerde aanvalstechnieken. Een XSS-beacon die cookies binnensleept van browsers die dom genoeg waren om een scriptje te laden van een onbekend IP-adres. Een C2-systeem voor agents op doelmachines. Een CVSS 4.0-calculator. Een LaTeX-rapportgenerator. Het is, kortom, het Zwitserse zakmes van de offensieve beveiliging — als dat zakmes ook een kurkentrekker had die Domain Admin kon worden.
De applicatie draait op 127.0.0.1:5000. Localhost. Je eigen machine. Dit is geen SaaS-product. Dit is geen clouddienst. Dit is een webapp die uitsluitend bedoeld is om lokaal te draaien. Als je hem op het open internet zet, verdien je alles wat er vervolgens gebeurt — en dat is geen dreigement maar een natuurwet, vergelijkbaar met de wet die zegt dat je nat wordt als je in de regen gaat staan zonder paraplu, behalve dat de regen in dit geval bestaat uit mensen die beroepsmatig dingen stelen van computers.