Добавить в корзинуПозвонить
Найти в Дзене
Цифровое просвещение
1578 подписчиков

Как происходит взлом сайта?

294
3 мин
Вам когда-нибудь было интересно, как происходит взлом сайта? У всех на слуху сливы конфиденциальных баз данных банков, налоговой, служб доставки? А есть ли способ защититься от этого? Друзья, давайте разбираться! С вами канал “Цифровое просвещение”. Здесь трём за все, что связано с ИТ-сферой. И, да, у нас есть печеньки. Так что, велком на темную сторону! Самый простой алгоритм взлома Правило №1 - все системы можно взломать. Правило №2 - на 100% безопасных систем не бывает. Не согласны со вторым утверждением? Смотрим правило номер раз. Итак, для хакера вопрос взлома вашего сайта - лишь вопрос времени и профита. Чем больше он должен потратить времени и чем меньше будет профит - тем больше вероятность, что вы в безопасности. Типичный алгоритм взлома: Давайте детально разберем каждый шаг хакера на всех этапах. Шаг №1: методы социальной инженерии Самый крутой хакер - это тот, кто не прибегает к взлому. Но как? Нужно просто заставить пользователя выдать свои логины и пароли. Уловки,
Оглавление

Вам когда-нибудь было интересно, как происходит взлом сайта? У всех на слуху сливы конфиденциальных баз данных банков, налоговой, служб доставки? А есть ли способ защититься от этого?

Друзья, давайте разбираться!

С вами канал “Цифровое просвещение”. Здесь трём за все, что связано с ИТ-сферой. И, да, у нас есть печеньки. Так что, велком на темную сторону!

Самый простой алгоритм взлома

Правило №1 - все системы можно взломать.

Правило №2 - на 100% безопасных систем не бывает.

Не согласны со вторым утверждением? Смотрим правило номер раз.

Итак, для хакера вопрос взлома вашего сайта - лишь вопрос времени и профита. Чем больше он должен потратить времени и чем меньше будет профит - тем больше вероятность, что вы в безопасности.

Типичный алгоритм взлома:

  • Получить доступ, не прибегая к взлому;
  • Известные методы взлома;
  • Грубая сила;
  • Собственный инструмент;
  • Другой подход и начать алгоритм сначала.

Давайте детально разберем каждый шаг хакера на всех этапах.

Шаг №1: методы социальной инженерии

Самый крутой хакер - это тот, кто не прибегает к взлому. Но как?

Нужно просто заставить пользователя выдать свои логины и пароли. Уловки, хитрости, психологическое давление и болтология. Все вместе - социальная инженерия.

Реальные способы социальной инженерии:

  • Сообщения от администрации. Пользователь получает письмо от имени якобы официального представителя сайта, госслужбы, сервиса, банка, ИФНС и так далее... с чем-то угрожающим, предупреждающим, тревожным. Помните звонки от СБ Сбера, где вашу карту взломали? Ну вот, все тоже самое, только в виде “официального” письма. Цель хакера - паника, которая заставит юзера под воздействием стресса выдать пароли;
  • Ненавязчивое общение - с вами хотят познакомиться. Деловой партнер, романтический ухажер и т.д. Ролей у мошенников масса. При этом круг вопросов вполне себе безобидный: откуда вы родом, какое у вас хобби, каких животных любите, какая у вашей матери девичья фамилия… Догадались о цели общения? Конечно же, кодовое слово!;
  • Фишинг - это когда к вам приходит “письмо счастья” с просьбой перейти по ссылке, проголосовать, посмотреть что-то интересное. И как назло нужно заполнить форму для авторизации. А после ее заполнения происходит…ничего. Вы в недоумении, а хакер уже получил все, что было нужно. Вся фишка в сайте-двойнике, который на 100% похож оригинал и создан лишь для одной цели - сбора ваших данных.

Защита?

Помните, что:

  • представители сервисов не запрашивают данные для входа в личный аккаунт;
  • одноразовые пароли, кодовые слова, ответы на контрольные вопросы не сообщают третьим лицам;
  • переходить по рекламным и иным подозрительным ссылкам, а также авторизоваться на незнакомых сайтах опасно.

Шаг №2 - взлом через известные уязвимости

Если социальная инженерия не оправдала себя, тогда хакер начинает искать уязвимости. Почти у всех сайтов они есть. Наиболее известная это – SQL-инъекция, когда хакер меняет, например, стандартную форму запроса пароля на запрос, где заранее прописан логин и пароль.

Защита? Обращать внимание на ввод символов языка SQL, а еще лучше отделить передачу данных от запроса.

Шаг №3 - грубая сила

Хакер порядком разозлился и начинает процедуру брутфорса – подбора пароля. В помощь он активирует скрипт для поиска пароля методом перебора.

-2

Начнет ПО с самых популярных вариантов:

  • 00000;
  • qwerty;
  • 1111;
  • 12345;
  • qwerty123;
  • password;
  • 1q2w3e и др.

Защита? Ограничение попыток авторизации.

Шаг №4 - поиск собственных способов взлома

Ничего не помогает? Хакер садится за основы, начинает копать весь исходник движка сайта. И потом уже ищет системные уязвимости. В группе риска те, кто использует CMS (систему управления содержимым или, другими словами, движок для разработки сайта), так как хакер сможет скачать себе движок на ПК и покопаться в нем как следует.

Шаг №5 - смена стратегии

Если вообще ничего не дает результатов, хакер пойдет обходным путем. Некоторые штурмуют хостинг или грузят через аватарку файловый менеджер, чтобы получить доступ к загруженным файлам или к тем, где есть информация для подключения к БД. Также преступник может попытаться подменить серверные скрипты.

Защита? Добавить на сайте 2-3 проверки HTML-форм. Это отстрелит все некорректные файлы в виде вирусного скрипта.

Всем высоких скоростей и удачи!

А еще напоминаем, что наша компания занимается автоматизацией бизнес-процессов на предприятиях, установкой, настройкой и оптимизацией серверов, информационной безопасностью, машинным обучением, моделированием, и многими другими вещами, необходимыми для вашего бизнеса. Если вас интересуют ИТ-услуги - обязательно загляните на наш официальный сайт.

А еще обязательно заходите в наш Телеграм канал, там вас ждет уникальный контент: каждую неделю свежие новости IT сферы.

3
Кибербезопасность
25,6 тыс интересуются