Kuinka hakkeroida verkkosivusto: Verkkosivustojen hakkerointi esimerkiksi

Sisällysluettelo:

Anonim

Useammalla ihmisellä on pääsy Internetiin kuin koskaan ennen. Tämä on saanut monet organisaatiot kehittämään verkkopohjaisia ​​sovelluksia, joita käyttäjät voivat käyttää verkossa vuorovaikutuksessa organisaation kanssa. Huonosti kirjoitettua verkkosovelluskoodia voidaan käyttää luvattoman pääsyn arkaluontoisiin tietoihin ja verkkopalvelimiin.

Tässä opetusohjelmassa opit hakkeroimaan verkkosivustoja ja esitämme sinulle verkkosovellusten hakkerointitekniikat ja vastatoimenpiteet, joita voit ottaa käyttöön suojautuaksesi tällaisilta hyökkäyksiltä .

Tämän opetusohjelman aiheet

  • Mikä on verkkosovellus? Mitä ovat verkkouhat?
  • Kuinka suojata verkkosivustoasi hakkeroinnilta?
  • Verkkosivustojen hakkerointitemput: hakata verkkosivustoa verkossa!

Mikä on verkkosovellus? Mitä ovat verkkouhat?

Verkkosovellus (alias verkkosivusto) on asiakas-palvelin-malliin perustuva sovellus. Palvelin tarjoaa pääsyn tietokantaan ja liiketoimintalogiikan. Sitä isännöidään verkkopalvelimella. Asiakassovellus toimii asiakkaan verkkoselaimella. Verkkosovellukset kirjoitetaan yleensä kielillä, kuten Java, C # ja VB.Net, PHP, ColdFusion Markup Language jne. Verkkosovelluksissa käytettyjä tietokantamoottoreita ovat MySQL, MS SQL Server, PostgreSQL, SQLite jne.

Suurin osa verkkosovelluksista on julkisilla palvelimilla, joihin pääsee Internetin kautta. Tämä tekee heistä alttiita hyökkäyksille helppokäyttöisyyden vuoksi. Seuraavat ovat yleisiä verkkosovellusten uhkia.

  • SQL-injektio - tämän uhan tarkoitus voi olla kirjautumisalgoritmien ohittaminen, tietojen sabotointi jne.
  • Palveluhyökkäysten estäminen - tämän uhkan tavoitteena voi olla estää laillisten käyttäjien pääsy resurssiin
  • Cross Site Scripting XSS - tämän uhan tarkoitus voi olla injektoida koodia, joka voidaan suorittaa asiakaspuolen selaimella.
  • Evästeiden / istuntojen myrkytys - tämän uhan tarkoituksena on muokata hyökkääjän evästeitä / istuntotietoja luvattoman pääsyn saamiseksi.
  • Lomakemurros - tämän uhan tavoitteena on muokata lomaketietoja, kuten sähköisen kaupankäynnin sovellusten hintoja, jotta hyökkääjä voi saada tuotteita alennettuun hintaan.
  • Koodinjektio - tämän uhan tarkoituksena on injektoida koodia, kuten PHP, Python jne., Jotka voidaan suorittaa palvelimella. Koodi voi asentaa takaovia, paljastaa arkaluontoisia tietoja jne.
  • Häiriö - tämän uhkan tarkoituksena on muokata verkkosivustolla näytettyä sivua ja ohjata kaikki sivupyynnöt yhdelle sivulle, joka sisältää hyökkääjän viestin.

Kuinka suojata verkkosivustoasi hakkeroinnilta?

Organisaatio voi ottaa käyttöön seuraavan käytännön suojautua verkkopalvelimen hyökkäyksiltä.

  • SQL Injection - Käyttäjäparametrien puhdistaminen ja vahvistaminen ennen niiden lähettämistä tietokantaan käsittelyä varten voi auttaa vähentämään hyökkäysten mahdollisuutta SQL Injectionin kautta. Tietokantamoottorit, kuten MS SQL Server, MySQL jne., Tukevat parametreja ja valmisteltuja lauseita. Ne ovat paljon turvallisempia kuin perinteiset SQL-lauseet
  • Palvelunestohyökkäykset - palomuureilla voidaan pudottaa liikenne epäilyttävästä IP-osoitteesta, jos hyökkäys on yksinkertainen DoS. Verkkojen ja tunkeutumisen havaitsemisjärjestelmän oikea konfigurointi voi myös auttaa vähentämään DoS-hyökkäyksen onnistumisen todennäköisyyttä.
  • Sivustojen välinen komentosarja - otsikkojen, URL-osoitteen kautta lähetettyjen parametrien, lomakeparametrien ja piilotettujen arvojen tarkistaminen ja puhdistaminen voivat auttaa vähentämään XSS-hyökkäyksiä.
  • Evästeiden / istuntojen myrkytys - tämä voidaan estää salaamalla evästeiden sisältö, ajoittamalla evästeet jonkin ajan kuluttua, yhdistämällä evästeet asiakkaan IP-osoitteeseen, jota käytettiin niiden luomiseen.
  • Lomakkeen karkaisu - tämä voidaan estää tarkistamalla ja tarkistamalla käyttäjän syöttö ennen käsittelyä.
  • Koodinjektio - tämä voidaan estää käsittelemällä kaikkia parametreja datana eikä suoritettavana koodina. Saniteettia ja validointia voidaan käyttää tämän toteuttamiseksi.
  • Häiriö - hyvän verkkosovelluskehityksen tietoturvakäytännön tulisi varmistaa, että se sulkee yleisesti käytetyt haavoittuvuudet päästäksesi palvelimeen. Tämä voi olla oikea käyttöjärjestelmän, verkkopalvelinohjelmiston kokoonpano ja parhaat tietoturvakäytännöt verkkosovelluksia kehitettäessä.

Verkkosivustojen hakkerointitemput: hakata verkkosivustoa verkossa

Tässä käytännön hakkerointisivustossa kaapataan verkkosivuston käyttäjäistunto, joka sijaitsee osoitteessa www.techpanda.org. Käytämme sivustojen välistä komentosarjaa lukemaan evästeistuntotunnuksen ja käytämme sitä sitten esiintymään laillisena käyttäjän istuntona.

Oletuksena on, että hyökkääjällä on pääsy verkkosovellukseen ja hän haluaa kaapata muiden samaa sovellusta käyttävien käyttäjien istunnot. Tämän hyökkäyksen tavoitteena voi olla järjestelmänvalvojan pääsyn saaminen verkkosovellukseen olettaen, että hyökkääjän käyttöoikeustili on rajoitettu.

Päästä alkuun

  • Avaa http://www.techpanda.org/
  • Harjoittelutarkoituksiin on erittäin suositeltavaa päästä käsiksi SQL Injectionin avulla. Tästä artikkelista saat lisätietoja siitä.
  • Kirjautumissähköpostiosoite on Tämä sähköpostiosoite on suojattu spamboteilta. Tarvitset JavaScriptin käyttääksesi sitä., Salasana on Password2010
  • Jos olet kirjautunut sisään onnistuneesti, saat seuraavan hallintapaneelin
  • Napsauta Lisää uusi yhteystieto
  • Kirjoita seuraava etunimi

Tumma

TÄSSÄ,

Yllä oleva koodi käyttää JavaScriptiä . Se lisää hyperlinkin onclick-tapahtumaan . Kun epäilevä käyttäjä napsauttaa linkkiä, tapahtuma hakee PHP-evästeen istuntotunnuksen ja lähettää sen snatch_sess_id.php -sivulle yhdessä URL-osoitteessa olevan istuntotunnuksen kanssa.

  • Syötä loput tiedot alla olevan kuvan mukaisesti
  • Napsauta Tallenna muutokset
  • Hallintapaneelisi näyttää nyt seuraavalta näytöltä
  • Koska sivustojen välinen komentosarjakoodi on tallennettu tietokantaan, se ladataan aina, kun käyttäjät, joilla on käyttöoikeudet, kirjautuvat sisään
  • Oletetaan, että järjestelmänvalvoja kirjautuu sisään ja napsauttaa hyperlinkkiä, joka sanoo Dark
  • Hän saa ikkunan, jossa istunnon tunnus näkyy URL-osoitteessa

Huomaa : komentosarja saattaa lähettää arvon jollekin etäpalvelimelle, johon PHPSESSID on tallennettu, ja käyttäjä ohjasi sen takaisin verkkosivustolle ikään kuin mitään ei tapahtunut.

Huomaa : saamasi arvo voi olla erilainen kuin tämän verkkosivun hakkerointioppaassa, mutta käsite on sama

Istunnon esiintyminen Firefoxilla ja Tamper Data -lisäosalla

Alla oleva vuokaavio näyttää vaiheet, jotka sinun on suoritettava tämän harjoituksen suorittamiseksi.

  • Tarvitset Firefox-selaimen tähän osioon ja Tamper Data -lisäosaan
  • Avaa Firefox ja asenna lisäys alla olevien kaavioiden mukaisesti
  • Etsi peukalotietoja ja napsauta sitten asennusta yllä olevan kuvan mukaisesti
  • Napsauta Hyväksy ja asenna ...
  • Napsauta Käynnistä uudelleen nyt, kun asennus on valmis
  • Ota valikkopalkki käyttöön Firefoxissa, jos sitä ei näy
  • Napsauta työkaluvalikkoa ja valitse sitten Tamper Data alla olevan kuvan mukaisesti
  • Saat seuraavan ikkunan. Huomaa: Jos Windows ei ole tyhjä, osoita tyhjennä-painiketta
  • Napsauta Käynnistä peukalo -valikkoa
  • Vaihda takaisin Firefox-verkkoselaimeen, kirjoita http://www.techpanda.org/dashboard.php ja lataa sivu painamalla Enter-näppäintä
  • Saat seuraavan ponnahdusikkunan Tamper Data -sivustolta
  • Ponnahdusikkunassa on kolme (3) vaihtoehtoa. Tamper-vaihtoehdon avulla voit muokata HTTP-otsikkotietoja ennen niiden lähettämistä palvelimelle .
  • Klikkaa sitä
  • Saat seuraavan ikkunan
  • Kopioi hyökkäyksen URL-osoitteesta kopioimasi PHP-istuntotunnus ja liitä se yhtäläisyysmerkin jälkeen. Arvosi pitäisi nyt näyttää tältä

PHPSESSID = 2DVLTIPP2N8LDBN11B2RA76LM2

  • Napsauta OK-painiketta
  • Saat peukalo-tietojen ponnahdusikkunan uudelleen
  • Poista valinta valintaruudusta, joka kysyy Jatketaanko peukalointia?
  • Napsauta Lähetä-painiketta, kun olet valmis
  • Sinun pitäisi nähdä kojelauta alla olevan kuvan mukaisesti

Huomaa : emme kirjautuneet sisään, me esiintyimme sisäänkirjautumisistunnoksi käyttämällä PHPSESSID-arvoa, jonka saimme sivustojen välisellä komentosarjalla

Yhteenveto

  • Verkkosovellus perustuu palvelin-asiakas-malliin. Asiakaspuoli käyttää verkkoselainta palvelimen resurssien käyttämiseen.
  • Verkkosovelluksiin pääsee yleensä Internetissä. Tämä tekee heistä alttiita hyökkäyksille.
  • Verkkosovelluksen uhkiin kuuluvat SQL Injection, Code Injection, XSS, Defacement, Cookie -myrkytys jne.
  • Hyvä suojauskäytäntö verkkosovelluksia kehitettäessä voi auttaa tekemään niistä turvallisia.