Данная информация предоставлена в ознакомительных целях.
И так. Сегодня я не буду показывать какие либо утилиты или способы взлома. В этой статье я покажу людям с чего надо начинать настоящий хакинг. Погнали.
ЯЯЯзык программирования
Начнем с того какие языки должен знать и разбираться в них юный хацкер. А это:
- HTML: - важный и самый базовый язык разметки. Нужно хорошо понимать это, чтобы понять веб-действие, реакцию, структуру и логику. HTML - это статический язык разметки.
2. JavaScript: - наиболее часто используется в качестве клиентского программирования. Вы должны изучить его в режиме с высоким приоритетом. Понимание логики кодаJavaScript может помочь вам обнаружить недостатки веб-приложений.
3. SQL: - язык программирования баз данных. Все данные хранятся в базе данных, поэтому вы должны знать о программировании баз данных и уязвимости, поскольку это наиболее чувствительная часть Web.
4. PHP - самый популярный язык динамического программирования, в отличие от JavaScript. Это язык программирования на стороне сервера. PHP настоятельно рекомендуется каждому новичку в тестировании хакеров и проникновений.
ЯЯЯзыки программирования для записи Exploits
Использование записи является частью Hacking, для этого требуется более высокий уровень языка программирования. Каждый профессиональный хакер должен знать Exploit Writing, это можно сделать на любом языке программирования, таком как C, C ++, Ruby, Python и т.д.
- C - мать всего языка программирования, C наиболее часто используется при создании программного обеспечения для Linux, Windows и т.д. Однако он также используется для написания и разработки Exploit. Я бы предпочел сначала изучить C.
2. Python - наиболее часто используемый язык для написания эксплойтов. Настоятельно рекомендуется изучить Python Socket Programming, потому что это помогает многому освоить создание эксплойта.
3. Ruby - простой, но сложный объектно-ориентированный язык программирования. Ruby очень полезен в написании работ. Он используется для сценариев с метрикой и вы знаете, что программа Metasploit Framework запрограммирована в Ruby.
Так же нужно знать виды взломов о которых мы сейчас и поговорим.
ВВВиды атак
DDOS – распределённая атака типа «отказ в обслуживании». Сетевой ресурс выходит из строя в результате множества запросов к нему, отправленных из разных точек. Обычно атака организуется при помощи бот-нетов. Длительность отказа сайта зависит от длительности атаки и от вашей подготовки к такому виду защиты. Как правило, хостинг предоставляет защиту от DDOS, однако это не значит, что вы можете расслабиться. Данная защита может защитить от нескольких тысяч запросов, которые посылают на ваш сайт бот-неты, а если их будет больше? Лучших способ защиты – подключение CloudFlair. Они дают возможность бесплатно пользоваться ресурсом, ускоряют загрузку сайта, а также кэшируют страницы. Делается всё за пару минут и не требует материальных вложений.
SQL Injection – этот вид атаки уже устарел и его редко где можно встретить. Суть заключается в том, что в формы обратной связи посылается запрос, который никак не обрабатывается и выдает нужную информацию. Например, в блок комментариев написать запрос drop table users, таблица пользователей будет очищена.
XSS(CSS) – (Cross-Site Scripting) – данный вид атаки всё также осуществляется через user input. Целью данной атаки являются пользователи, а не базы данных. Как правило используют javascript или iFrame. C помощью данного вида атаки можно перехватить cookieпользователя и зайти на его аккаунт без знания пароля и логина. Особенно опасной эта уязвимость является для коммерческих сайтов или интернет-атак. Взломать сайт без защиты от XSS очень легко, через те же комментарии. Защита от XSS атак может быть разной, например фильтрация вывода из user input. Легче всего будет поставить Twig илиBlade, защита от данного вида атак там грамотно реализована из “коробки”.
CSRF – (Cross-Site Request Forgery) – достаточно вредная атака, которая может навредить людям. Создается frame и на атакованном сайте по клику в любой области будет происходить действие, которое может навредить пользователям. Например может быть отправлено сообщение от вашего имени какому-то знакомому с просьбой переслать денег.
MITM – (Man-In-The-Middle) – очень распространенный вид атаки, о котором слышал уже наверное каждый. Суть атаки заключается в том, что человек по середине, он же и выступает в роли хакера, перехватывает ваши пакеты и подменяет их. Например, вы отправляете одно сообщение вашему другу, а оно приходит уже другое. Как взломать сайт с помощью MITM? Очень просто, а значит и защититься очень просто! Достаточно добавить на ваш сайт SSL или TLS с принудительной загрузкой сайта с защищенным протоколом. Если сайт может быть загружен с протоколомHTTP значит взломать его с помощью MITM реально.
Brute Force – перебор паролей с заданным логином или почтой. Как правило перебор не слепой, используются слитые базы паролей. Защититься можно легко, поставить каптчу или поставить лимит на количество неверных попыток входа.
ZeroDay – уязвимость нулевого дня. Заключается она в том, что после релиза была допущена ошибка и с помощью нее можно взломать сайт. Для того, чтобы с вами такого не произошло всегда обновляйте используемые технологии.
Backdoor – на сайт внедряются зашифрованные скрипты, которые по отдельности дают доступ к ресурсу и как правило они себя копируют, чтобы было сложнее избавиться от них. Проверяйте код на такие скрипты, не устанавливайте сторонние плагины, которые не прошли проверку и всё будет хорошо.
Uploads – взломать сайт с помощью загрузки файлов можно, если нет проверки на форматы и содержимое. Таким образом можно загрузить скрипт в аватарку и запустить его на сайте по ссылке аватарки. Требуется ставить лимит на файлы, а также менять размер фотографий, минимально, однако это уже не даст возможности обмениваться злоумышленникам зашифрованным с помощью стеганографии текстом.