標題: 怎麼入侵網站,實例示範!
作者: 如何駭進網站, 駭客平台, 駭客接送單
日期: 2022-10-24
比以往任何時候都更多的人可以上網。這促使許多組織開發基於Web 的應用程序,用戶可以在線上使用這些應用程式與組織進行互動。 Web 應用程式編寫不良的程式碼可被利用來獲得對敏感資料和Web 伺服器的未經授權的存取。
在本教程中,您將學習如何入侵網站,我們將向您介紹Web 應用程式駭客技術以及您可以採取的防範此類攻擊的對策。
本教程涵蓋的主題
什麼是網頁應用程式?什麼是網路威脅?
Web 應用程式(又稱網站)是基於用戶端伺服器模型的應用程式。伺服器提供資料庫存取和業務邏輯。它託管在Web 伺服器上。客戶端應用程式在客戶端Web 瀏覽器上運行。 Web 應用程式通常使用Java、C# 和VB.Net、PHP、ColdFusion 標記語言等語言編寫。 Web 應用程式中使用的資料庫引擎包括MySQL、MS SQL Server、PostgreSQL、SQLite 等。
大多數Web 應用程式都託管在可透過網路存取的公共伺服器上。由於易於訪問,這使得它們容易受到攻擊。以下是常見的Web 應用程式威脅。
SQL 注入——這種威脅的目標可能是繞過登入演算法、破壞資料等。拒絕服務攻擊——這種威脅的目標可能是拒絕合法使用者存取資源Cross Site Scripting XSS——這種威脅的目標可能是注入可以在客戶端瀏覽器上執行的程式碼。Cookie/會話中毒——這種威脅的目標是攻擊者修改cookie/會話資料以獲得未經授權的存取。表單竄改——這種威脅的目標是修改電子商務應用程式中的價格等表單數據,以便攻擊者能夠以較低的價格獲取商品。程式碼注入——這種威脅的目標是注入可以在伺服器上執行的程式碼,例如PHP、Python 等。該代碼可以安裝後門、洩漏敏感資訊等。污损——此威脅的目標是修改網站上顯示的頁面,並將所有頁面請求重新導向至包含攻擊者訊息的單一頁面。
如何保護您的網站免受駭客攻擊?
組織可以採用以下策略來保護自己免受Web 伺服器攻擊。
SQL 注入– 在將使用者參數提交到資料庫進行處理之前對其進行清理和驗證可以幫助減少透過SQL 注入受到攻擊的機會。 MS SQL Server、MySQL等資料庫引擎支援參數和prepared statements。它們比傳統的SQL 語句安全得多拒絕服務攻擊——如果攻擊是簡單的DoS,防火牆可用於丟棄來自可疑IP 位址的流量。正確配置網路和入侵偵測系統也有助於降低DoS 攻擊成功的機會。跨站點腳本——驗證和清理標頭、透過URL 傳遞的參數、表單參數和隱藏值可以幫助減少XSS 攻擊。Cookie/會話中毒——這可以透過加密cookie 的內容、在一段時間後使cookie 逾時、將cookie 與用於建立它們的客戶端IP 位址相關聯來防止。表單回火——這可以透過在處理之前驗證和驗證使用者輸入來防止。程式碼注入——這可以透過將所有參數視為資料而不是可執行程式碼來防止。清理和驗證可用於實現這一點。污損——一個好的Web 應用程式開發安全策略應該確保它密封存取Web 伺服器的常用漏洞。這可以是開發Web 應用程式時對作業系統、Web 伺服器軟體和最佳安全實踐的正確配置。
網站駭客技術:線上駭客網站
在這個網站黑客實際場景中,我們將劫持位於www.techpanda.org的Web 應用程式的使用者會話。我們將使用跨網站腳本來讀取cookie 會話ID,然後使用它來模擬合法使用者會話。
假設攻擊者有權訪問Web 應用程序,並且他想劫持使用相同應用程式的其他使用者的會話。假設攻擊者的存取帳戶是有限的,此攻擊的目標可能是取得對Web 應用程式的管理員存取權。
入門
打開http://www.techpanda.org/出於實踐目的,強烈建議使用SQL 注入來取得存取權限。有關如何執行此操作的更多信息,請參閱本文。登入郵箱是admin@google.com,密碼是Password2010如果您已成功登錄,那麼您將獲得以下儀表板
怎麼入侵網站
點擊新增聯絡人輸入以下內容作為名字
黑暗
這裡,
上面的程式碼使用JavaScript。它添加了一個帶有onclick 事件的超鏈接。當不知情的使用者點擊連結時,該事件會檢索PHP cookie 會話ID 並將其與URL 中的會話ID 一起傳送至snatch_sess_id.php 頁面
輸入其餘詳細信息,如下所示點擊儲存更改
您的儀表板現在看起來像以下螢幕
由於跨站腳本程式碼儲存在資料庫中,因此每次有存取權限的使用者登入時都會載入假設管理員登入並點擊顯示Dark 的超鏈接他/她將獲得會話ID 顯示在URL 中的窗口
注意:腳本可能會將值傳送到儲存PHPSESSID 的某個遠端伺服器,然後使用者重定向回網站,就好像什麼都沒發生一樣。
注意:您獲得的值可能與本網頁黑客教程中的值不同,但概念相同
使用Firefox 和Tamper Data 外掛程式進行會話模擬
下面的流程圖顯示了完成此練習必須採取的步驟。
怎麼入侵網站,入侵網站教學
您將需要Firefox Web 瀏覽器來瀏覽此部分和Tamper Data 插件開啟Firefox 並安裝add,如下圖所示
搜尋篡改數據,然後按一下安裝,如上圖所示
點選接受並安裝…
安裝完成後點選立即重啟如果未顯示功能表欄,請在Firefox 中啟用
按一下工具選單,然後選擇篡改數據,如下所示
您將獲得以下視窗。注意:如果Windows 不為空,請點選清除按鈕
點選開始篡改選單切換回Firefox 瀏覽器,輸入http://www.techpanda.org/dashboard.php然後按回車鍵載入頁面您將從Tamper Data 中彈出以下訊息
彈出視窗具有三(3) 個選項。Tamper 選項可讓您在將HTTP 標頭資訊提交至伺服器之前對其進行修改。點擊它您將獲得以下窗口
複製您從攻擊URL 複製的PHP 會話ID,並將其貼上到等號之後。您的值現在應該如下所示
PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2
點選確定按鈕您將再次獲得Tamper data 彈出窗口
取消選取詢問是否繼續篡改的複選框?完成後點擊提交按鈕您應該可以看到如下所示的儀表板
注意:我們沒有登錄,我們使用我們使用跨站點腳本檢索的PHPSESSID 值模擬了一個登入會話
百年
Web 應用程式基於伺服器-用戶端模型。客戶端使用網頁瀏覽器存取伺服器上的資源。Web 應用程式通常可以透過Internet 存取。這使他們容易受到攻擊。Web 應用程式威脅包括SQL 注入、程式碼注入、XSS、污損、Cookie 中毒等。開發Web 應用程式時的良好安全策略有助於確保它們的安全。
逆水寒铜币多久可以到账 藏宝阁审核机制永恒一幕,梅西手捧世界杯照片获伊斯坦布尔摄影奖体育类第一