Vlad4343
Новичок
- Статус
- offline
- Регистрация
- 25.02.2018
- Сообщения
- 26
- Репутация
- 4
Каковы основные вещи, которые вы должны знать до взлома веб-сайта?
Поскольку я начинаю этот процесс с нуля, все они являются необязательными. Но вы должны иметь как минимум базовые знания о следующих вещах:
1. Основы HTML, SQL, PHP.
2. Базовые знания Javascript.
3. Базовые знания о работе серверов.
4. И самое главное, опыт в устранении следов, в противном случае вы, безусловно, понесете последствия.
Первые две вещи в этом списке можно узнать с очень известного веб-сайта; для основы дизайна сайта, а также HTML, SQL, PHP и Javascript
Я объясню четвертый пункт, что вы должны быть экспертом в устранении следов, в моих будущих статьях. Следы очень важны. Пожалуйста, не игнорируйте их, или вы столкнетесь с множеством проблем. Продолжайте читать или просто подпишитесь на наши сообщения.
МЕТОДЫ ВЕБ- САЙТА ХОЗЯЙСТВА : 1. ИНТЕГРАЦИЯ ИНТЕЛЛЕКТОВА 2. ПРОСМОТР ПЕРЕКРЕСТНОГО САЙТА 3. ВКЛЮЧЕНИЕ ДИСТАНЦИОННОГО ФАЙЛА 4. ВКЛЮЧЕНИЕ ЛОКАЛЬНОГО ФАЙЛА 5. АДАПТА DDOS 6. ИСПОЛЬЗОВАНИЕ УЯЗВИМОСТИ 1. SQL INJECTIONПрежде всего, что такое SQL-инъекция? SQL-инъекция - это тип уязвимости или лазейки, в которых злоумышленник «внедряет» SQL-код через веб-форму или манипулирует URL-адресами на основе параметров SQL. Он использует веб-приложения, которые используют SQL-запросы SQL.
Первичная форма SQL-инъекции состоит из того, что код непосредственно вставляется в пользовательские переменные, которые объединены с командами SQL и выполняются. Менее простая атака вводит вредоносный код в строки, предназначенные для хранения в таблице или в метаданных. Когда сохраненные строки затем конкатенируются в динамическую команду SQL, тогда выполняется вредоносный код.
2. СКРИПТИРОВКА САЙТА CROSS SIP-
скрипт (XSS) возникает, когда пользователь вводит вредоносные данные на веб-сайт, что заставляет приложение делать то, что он не собирался делать. Атаки XSS очень популярны, и на них влияют некоторые из крупнейших веб-сайтов, включая ФБР, CNN, eBay, Apple, Microsoft и AOL.
Некоторые функции веб-сайта, обычно уязвимые для атак XSS, следующие:
• Поисковые системы
• Формы входа в систему
• Поля для комментариев. Межсетевые
сценарии - это уязвимости веб-приложений, которые позволяют злоумышленникам обойти механизмы безопасности на стороне клиента, обычно используемые веб-контентом современными браузерами. Найдя способы ввода вредоносных скриптов в веб-страницы, злоумышленник может получить повышенные права доступа к конфиденциальному содержимому страницы, куки сеанса и другую информацию, поддерживаемую браузером от имени пользователя. Таким образом, атаки на межсайтовый скриптинг являются особым случаем инъекции кода.
Я объясню это подробно в последующих классах хакеров, поэтому продолжайте читать.
3. ВКЛЮЧЕНИЕ ДИСТАНЦИОННОГО ФАЙЛА
Удаленное включение файлов - это уязвимость, которая чаще всего встречается на веб-сайтах.
Включение удаленного файла (RFI) происходит, когда удаленный файл, обычно оболочка (графический интерфейс для просмотра удаленных файлов и запуска собственного кода на сервере), включен на веб-сайт, который позволяет хакеру выполнять команды на стороне сервера в качестве текущего зарегистрированный пользователь и доступ к файлам на сервере. Благодаря этой мощности хакер может продолжать использовать локальные
эксплойты, чтобы повысить свои привилегии и взять на себя всю систему.
RFI может привести к следующим серьезным вещам на веб-сайте:
4. ВКЛЮЧЕНИЕ ЛОКАЛЬНОГО ФАЙЛА.
Локальное включение файлов (LFI) - это когда вы можете просматривать сервер с помощью поперечного каталога. Одним из наиболее распространенных способов использования LFI является обнаружение файла / etc / passwd. Этот файл содержит информацию о пользователе в системе Linux. Хакеры находят сайты уязвимыми для LFI так же, как я обсуждал для RFI.
Предположим, что хакер нашел уязвимый сайт, например http://www.target-site.com/index.php?p=about , с помощью поперечного каталога, который затем попытался найти в файле / etc / passwd:
Цитата:www.target-site.com/index.php?p= ../../../../../../../etc/passwd
Я подробно объясню это с практическими примерами веб-сайтов в последних последовательных классах по взлому сайта.
5. DDOS ATTACK
Это просто называется распределенной атакой отказа в обслуживании. Отказ в обслуживании атаки ( DoS - атака ) или распределенный отказ в обслуживании атаки ( DDoS - атака) является попыткой сделать компьютерный ресурс недоступным для своих предполагаемых пользователей. Хотя средства для его осуществления, мотивы и цели атаки DoS могут различаться, обычно они состоят в согласованных усилиях человека или людей, чтобы препятствовать эффективному или вообще временно или на любом веб-сайте или услуге временно или на неопределенный срок. В атаках DDOS мы используем пропускную способность и ресурсы любого веб-сайта и делаем их недоступными для своих законных пользователей.
6. ИСПОЛЬЗОВАНИЕ УЯЗВИМОСТИ
Эта категория не нова, она просто состоит из пяти категорий выше, но я упоминал ее отдельно, потому что существует несколько эксплойтов, которые не могут быть охвачены в вышеупомянутых категориях. Я объясню их индивидуально примерами. Основная идея заключается в том, чтобы найти уязвимость на веб-сайте и использовать ее для получения прав администратора или модератора, чтобы вы могли легко манипулировать вещами.
Поскольку я начинаю этот процесс с нуля, все они являются необязательными. Но вы должны иметь как минимум базовые знания о следующих вещах:
1. Основы HTML, SQL, PHP.
2. Базовые знания Javascript.
3. Базовые знания о работе серверов.
4. И самое главное, опыт в устранении следов, в противном случае вы, безусловно, понесете последствия.
Первые две вещи в этом списке можно узнать с очень известного веб-сайта; для основы дизайна сайта, а также HTML, SQL, PHP и Javascript
Я объясню четвертый пункт, что вы должны быть экспертом в устранении следов, в моих будущих статьях. Следы очень важны. Пожалуйста, не игнорируйте их, или вы столкнетесь с множеством проблем. Продолжайте читать или просто подпишитесь на наши сообщения.
МЕТОДЫ ВЕБ- САЙТА ХОЗЯЙСТВА : 1. ИНТЕГРАЦИЯ ИНТЕЛЛЕКТОВА 2. ПРОСМОТР ПЕРЕКРЕСТНОГО САЙТА 3. ВКЛЮЧЕНИЕ ДИСТАНЦИОННОГО ФАЙЛА 4. ВКЛЮЧЕНИЕ ЛОКАЛЬНОГО ФАЙЛА 5. АДАПТА DDOS 6. ИСПОЛЬЗОВАНИЕ УЯЗВИМОСТИ 1. SQL INJECTIONПрежде всего, что такое SQL-инъекция? SQL-инъекция - это тип уязвимости или лазейки, в которых злоумышленник «внедряет» SQL-код через веб-форму или манипулирует URL-адресами на основе параметров SQL. Он использует веб-приложения, которые используют SQL-запросы SQL.
Первичная форма SQL-инъекции состоит из того, что код непосредственно вставляется в пользовательские переменные, которые объединены с командами SQL и выполняются. Менее простая атака вводит вредоносный код в строки, предназначенные для хранения в таблице или в метаданных. Когда сохраненные строки затем конкатенируются в динамическую команду SQL, тогда выполняется вредоносный код.
2. СКРИПТИРОВКА САЙТА CROSS SIP-
скрипт (XSS) возникает, когда пользователь вводит вредоносные данные на веб-сайт, что заставляет приложение делать то, что он не собирался делать. Атаки XSS очень популярны, и на них влияют некоторые из крупнейших веб-сайтов, включая ФБР, CNN, eBay, Apple, Microsoft и AOL.
Некоторые функции веб-сайта, обычно уязвимые для атак XSS, следующие:
• Поисковые системы
• Формы входа в систему
• Поля для комментариев. Межсетевые
сценарии - это уязвимости веб-приложений, которые позволяют злоумышленникам обойти механизмы безопасности на стороне клиента, обычно используемые веб-контентом современными браузерами. Найдя способы ввода вредоносных скриптов в веб-страницы, злоумышленник может получить повышенные права доступа к конфиденциальному содержимому страницы, куки сеанса и другую информацию, поддерживаемую браузером от имени пользователя. Таким образом, атаки на межсайтовый скриптинг являются особым случаем инъекции кода.
Я объясню это подробно в последующих классах хакеров, поэтому продолжайте читать.
3. ВКЛЮЧЕНИЕ ДИСТАНЦИОННОГО ФАЙЛА
Удаленное включение файлов - это уязвимость, которая чаще всего встречается на веб-сайтах.
Включение удаленного файла (RFI) происходит, когда удаленный файл, обычно оболочка (графический интерфейс для просмотра удаленных файлов и запуска собственного кода на сервере), включен на веб-сайт, который позволяет хакеру выполнять команды на стороне сервера в качестве текущего зарегистрированный пользователь и доступ к файлам на сервере. Благодаря этой мощности хакер может продолжать использовать локальные
эксплойты, чтобы повысить свои привилегии и взять на себя всю систему.
RFI может привести к следующим серьезным вещам на веб-сайте:
- Выполнение кода на веб-сервере
- Выполнение кода на стороне клиента, например Javascript, что может привести к другим атакам, таким как межсайтовый скриптинг (XSS)
- Отказ в обслуживании (DoS)
- Кража данных / манипуляция
4. ВКЛЮЧЕНИЕ ЛОКАЛЬНОГО ФАЙЛА.
Локальное включение файлов (LFI) - это когда вы можете просматривать сервер с помощью поперечного каталога. Одним из наиболее распространенных способов использования LFI является обнаружение файла / etc / passwd. Этот файл содержит информацию о пользователе в системе Linux. Хакеры находят сайты уязвимыми для LFI так же, как я обсуждал для RFI.
Предположим, что хакер нашел уязвимый сайт, например http://www.target-site.com/index.php?p=about , с помощью поперечного каталога, который затем попытался найти в файле / etc / passwd:
Цитата:www.target-site.com/index.php?p= ../../../../../../../etc/passwd
Я подробно объясню это с практическими примерами веб-сайтов в последних последовательных классах по взлому сайта.
5. DDOS ATTACK
Это просто называется распределенной атакой отказа в обслуживании. Отказ в обслуживании атаки ( DoS - атака ) или распределенный отказ в обслуживании атаки ( DDoS - атака) является попыткой сделать компьютерный ресурс недоступным для своих предполагаемых пользователей. Хотя средства для его осуществления, мотивы и цели атаки DoS могут различаться, обычно они состоят в согласованных усилиях человека или людей, чтобы препятствовать эффективному или вообще временно или на любом веб-сайте или услуге временно или на неопределенный срок. В атаках DDOS мы используем пропускную способность и ресурсы любого веб-сайта и делаем их недоступными для своих законных пользователей.
6. ИСПОЛЬЗОВАНИЕ УЯЗВИМОСТИ
Эта категория не нова, она просто состоит из пяти категорий выше, но я упоминал ее отдельно, потому что существует несколько эксплойтов, которые не могут быть охвачены в вышеупомянутых категориях. Я объясню их индивидуально примерами. Основная идея заключается в том, чтобы найти уязвимость на веб-сайте и использовать ее для получения прав администратора или модератора, чтобы вы могли легко манипулировать вещами.