Ovaj tekst za hakovanje sajtova je samo za edukativne svrhe i zato ga nemojte zloupotrebljavati. Ovde cu u kratkim crtama objasniti najpoznatije metode za hakovanje sajtova, sve ostalo je na masti hakera kakvu ce stetu naneti sajtu, da li ce ga menjati ili sve obrisati sve zavisi od njegovog motiva.
Koje su osnovne stvari koje trebas znati pre hakovanja sajta? Ovo nije potrebno znati do detalja ali svakako osnove se moraju poznavati kako bi smo znali sta da radimo u konkretnom slucaju. To su:
1) Poznavanje osnova HTML, SQL i PHP.
2) Osnovno znanje o Javascript-u.
3) Znanje o serverima, i o nacinu njihovog rada.
4) Znanje o tome kako da uklonimo tragove koje smo ostavili prilikom hakovanja.
Metode za hakovanje (Ostace na engleskom jeziku da ne bi doslo do zabune u prevodu):
1) SQL INJECTION
2) CROSS SITE SCRIPTING
3) REMOTE FILE INCLUSION
4) LOCAL FILE INCLUSION
5) DDOS ATTACK
6) EXPLOITING VULNERABILITY
1) SQL INJECTION
SQL ili relacioni upitni jezik koji se koristi za organizaciju baze podataka, ima svoje komande koje moramo poznavati. SQL INJECTION je unapred osmisljena kombinacija kodova sa komandama SQL koja se ubaciju u pronadjenu "manu" coda samog sajta. SQL INJECTION sadrzi codirane varijable koje su povezane sa SQL izvrsnim komandama. Manje opasni napadi su kada se virusni kod koji moze da napravi stetu u podacima i tabelama ubaci u podatke sajta.
2) CROSS SITE SCRIPTING
Ova metoda za hakovanje sajta je veoma popularna medju hakerima, i predstavlja hakovanje kada korisnik unese zlonamerni kod sajtu i tada zeljene aplikacije ne urade ono sto treba da urade. Ovakvim napadima su bili izlozeni i sajtovi FBI, EBAY, MICROSOFT, APLE i drugi. Pojedine zone sajtova su ranjivije od drugih, veoma osetljive zone su:
>>> Login forme
>>> Searh engine
>>> Forme za komentare
Pronalazenjem nacina za "ubrizgavanje" web skripte u sajtove, haker moze dobiti odredjene privilegije na tom sajtu, kao sto su pristup osetljivim podacima sajta. Hakovanje ovom metodom Cross site scripting predstavlja posebnu metodu "CODE INJECTION".
3) REMOTE FILE INCLUSION (RFI)
Remote file inclusion je pojava kada haker napravi kod koji posalje u server na kome se nalazi sajt i na taj nacin postane secundarni administrator sajta koji naravno ima pristup sajtu i svim njegovim osetljivim podacima. Na ovaj nacin dobro izucen haker moze da preuzme potpunu kontrolu nad sajtom kao administrator.
RFI moze da napravi sledece probleme na sajtu:
>>> Da se "ubrizga" izvrsni kod na web serveru
>>> Kradja podataka
>>> Manipulacija sajta
>>> DoS (Denial of servis) Obaranje sajta - onemogucne pristup sajtu.
4) LOCAL FILE INCLUSION
Hakovanje ovom metodom podrazumeva direktan postupak na otkrivanju lozinke sajta, kako bi se omogucio pristup sajtu. Ovaj file o passwordu sadrzi podatke na Linux sistemu i hakeri pronalaze sajtove ranjive na LFI isto kao za RFI. Recimo da je haker naisao na sajt www.nekisajt.com/index.php?=about i pomocu "directory transversal"-a ce pokusati da pronadje lozinku u "etc/passwd" file:
www.nekisajt.com/index.php?p=.../.../.../.../etc/passwd
5) DDAS ATTACK
Ovaj hakerski napad onemogucava redovno koriscenje sajtova (distibuted denial of servise attack). Motivi za ovakve napade su razliciti, ali uglavno se svode na to da odredjeni sajt (najcesce konkurentni) ne funkcionise normalno.
6) EXPLOITING VULNERABILITY
Ova metoda je pomenuta odvojeno bez obezira sto se nalazi u raznim varijacijama u vec pomenutim objasnjenjima, ali postoje njene varijacije koje se ne mogu uvrstiti u ni jednu od pomenutih, a cilj joj je da se pronadje "ranjivi" deo sajta preko koga se moze izvristi upad i preko koga se moze pristupiti osetljivim podacima sajta.
Napominjem da su ovde samo opisani moguci napadi na sajtove i da se radi o uopstenim objasnjenima, a o nekim konkretnim postupcima bavicemo se u nekom od narednih postova.
Tagovi: hakovanje, hakovanje sajta
0 коментара:
Постави коментар