Hacking (13)

В последнее время все чаще можно услышать новости, что злобные хакеры в очередной раз получили доступ к миллионам паролей пользователей того или иного сайта. С учетом того, что по статистике около 90% людей используют один и тот же пароль во всей своей «интернет-жизни», каждый такой взлом может привести к утере важной информации.

Среда, 08 февраля 2017 02:19

Принцип взлома Веб-сервера

Автор

Давайте предположим, что нужно получить доступ к файлам на сервере сайта techpanda.org Но предупрежу, что на самом деле мы ничего не будем взламывать, а лишь рассмотрим принцип получения доступа к сайту. Помните взломы - это незаконно! Мы будем использовать домен только для образовательных целей.

Самыми популярными архиваторами в операционной системе Windows являются rar и zip. Многие используют архивы с применением шифрования и установкой пароля, причин для этого очень много, кто-то пересылает их по сети и так старается себя обезопасить от несанкцианированного доступа, а кто-то и вовсем параноик и зная о хороших и стойких алгоритмах шифрования паролит всю информацию в архивах. Но бывают случаи когда пароли либо забываются, либо устанавливаются ошибочно или машинально. Ниже мы рассмотрим некоторое количество действительно рабочих инструментов для восстановления паролей в созданных архивах.

Существует огромное количество мифов и домыслов как именно могут найти по анонимному номеру анонимного мобильного телефона. Мы же знаем правду и сейчас ею поделимся. В реальности главный инструмент следователя: статистика, телефон и голова. Бытует три распространенные версии: пеленгуют т.е. определяют источник радиосигнала, вычисляют специальным оборудованием на базовых станциях сотовой сети и вычисляют через разные скрытые возможности, якобы специально имеющиеся в каждом телефоне.

Мы поучаствовали в настоящем расследовании настоящего дела, где преступника вычислили по его мобильному телефону. И скажем следующее: первая версия немного содержит правды, но главный способ поимки не имеет ничего общего со всеми тремя. Говоря в целом, следствие и криминалисты только в кино используют крутые спецсредства и дорогую аппаратуру. В реальности главный инструмент следователя: его голова и бумажки. А главный метод - язык не повернется сказать "дедукция", - назовём это "поиском закономерностей" или "статистика".

Воскресенье, 19 июля 2015 13:54

SQL Injection - взлом в слепую

Автор

ВВЕДЕНИЕ

В настоящее время, большинство WEB-разработчиков используют готовые движки для реализации своих проектов, основываясь на их известности, не берётся в расчёт огромное число аспектов, один из которых самый важный - это «безопасность».

Ежемесячно на баг-треках появляется как минимум две серьёзные уязвимости на каждый продукт с открытым исходным кодом, первыми в списке уязвимых программных продуктов стоят всегда движки для сайтов. А самой часто всплывающей уязвимостью является SQLINJECTION.

Большинство разработчиков, которые пишут WEB-движки, в связи с огромным количеством информации, запутываются и делают серьёзные ошибки в плане безопасности. При устранении уязвимости типа «SQL INJECTION»,не ставятся фильтры на переменные, а всего лишь отключается оповещение об ошибках на страницу, тем самым проблема остаётся, но она не бросается в глаза.

Таким способом возможно защититься только от новичков в плане информационной безопасности, но при обнаружении такой ошибки профессиональным хакером, уязвимость с лёгкостью будет реализована злоумышленником, и он сможет воспользоваться ей в полном объеме.

СЛЕПАЯ ИНЪЕКЦИЯ

Отличие простой SQL INJECTION от слепой в том, что при ошибке не выводятся сообщение, а значит не возможно вывести все полученные по запросу данные на страницу, так как она остаётся пустой. В этом и заключается вся сложность проведения данной атаки для злоумышленника. Но технологии не стоят на месте и у хакеров уже есть множество программ по перебору запросов и с их помощью с лёгкостью проводятся SQL INJECTIONв слепую.

Для того, чтобы разобраться в принципе работы данных программ, следует узнать каким образом программы отправляют запросы серверу. Перед тем как начать разбираться в запросах, необходимо выяснить по какому принципу они действуют.

Страница 1 из 2