جلسه ۱۳-۰۱ : هک کردن وب سرورها

• جزئیات
• نوع محتواآموزشی

مقدمه

درود بر شما عزیزان و کاربران سایت پی وی لرن. با آموزش رایگان هک قانونمند در خدمتتون هستیم.
در جلسات پیش با انواع حملات DOS و Ping of Death ، DDOS آشنا شدیم . در این قسمت از سری آموزش های هک قصد داریم روش هک کردن وب سرور ها رو با کمک ابزارهای آن مانند Metasploit، MPack و غیره توضیح دهیم. این آموزش در دو بخش تنظیم شده است. بنابراین برای دیدن توضیحات کامل هر دو بخش از مبحث نحوه هک وب سرور رو مطالعه نمایید.

روش هک کردن وب سرور

برای شروع مبحث روش هک کردن وب سرور ابتدا توضیحاتی خواهیم داشت.

مشتریان معمولا برای گرفتن اطلاعات و خریداری محصولات و خدمات به اینترنت مراجعه می کنند. به این ترتیب، بیش تر سازمان ها وب سایت های را دارند. وب سایت های زیادی اطلاعات ارزشمندی مانند شماره کارت اعتباری، آدرس ایمیل و رمز عبور و غیره را ذخیره می کنند. و آن ها را به مهاجمان و هکرها می دهند. وب سایت ها همچنین می توانند برای برقراری ارتباط از ایدئولوژی های مذهبی یا سیاسی و غیره استفاده کنند.

در این بخش به شما تکنیک ها و روش هک کردن وب سرور ها رو معرفی می کنیم و در ادامه چگونگی محافظت از سرور ها از چنین حملاتی را خواهیم داشت.

مباحث تحت پوشش در آموزش نحوه هک وب سرور شامل موارد زیر می باشد:

• آسیب پذیری های وب سرور
• انواع وب سرورها
• انواع حمله به سرورهای وب
• اثرات حملات موفق
• ابزار حمله به سرور وب
• جلوگیری از حملات بر روی سرور وب
• فعالیت هک کردن: هک یک وب سرور

آسیب پذیری های وب سرور

یک وب سرور برنامه ایست که فایل ها (معمولا صفحات وب) را ذخیره می کند و آن ها را از طریق شبکه یا اینترنت قابل دسترس می سازد. سرور وب نیاز به سخت افزار و نرم افزار دارد. مهاجمان معمولا از نرم افزارها سوء استفاده می کنند تا مجوز ورود به سرور هدف را به دست آورند. حال بیایید به نحوه هک وب سرور و برخی از آسیب پذیری های رایج که مهاجمان از آن استفاده می کنند نگاهی بیندازیم.

• تنظیمات پیش فرض – این تنظیمات مانند شناسه پیش فرض کاربر و کلمه عبور است که می تواند به راحتی توسط مهاجمان حدس زده شود. تنظیمات پیش فرض همچنین ممکن است به انجام وظایفی خاص مانند دستورات در حال اجرا بر روی سرور که می تواند مورد سوء استفاده قرار گیرد، اجازه دهد.
• پیکربندی اشتباه سیستم عامل ها و شبکه ها – برخی از پیکربندی ها مانند اجازه دادن به کاربران برای اجرای دستورات در سرور می تواند خطرناک باشد در صورتی که کاربر یک رمز عبور خوب نداشته باشد.
• باگ ها در سیستم عامل و سرورهای وب – همچنین اشکالات کشف شده در سیستم عامل یا نرم افزار وب سرور می توانند برای دستیابی به دسترسی غیر مجاز به سیستم مورد سوء استفاده قرار بگیرند.

علاوه بر آسیب پذیری های وب سرور فوق، همچنین مورد زیر می تواند به دسترسی غیر مجاز منجر شود.

• فقدان سیاست های امنیتی و روش ها – فقدان سیاست های امنیتی و روش ها مانند به روز رسانی نرم افزار آنتی ویروس، پاکسازی سیستم عامل و نرم افزار وب سرور می تواند شکاف امنیتی امنیتی را برای مهاجمان ایجاد کند.

انواع وب سرورها

در زیر لیستی از سرورهای وب معمول رو می بینیم.

• Apache – این وب سرور معمولا در اینترنت مورد استفاده  قرار می گیرد. این پلت فرم متقابل است، اما معمولا در لینوکس نصب می شود. بیش تر وب سایت های PHP در سرورهای آپاچی میزبانی می شوند.
• (Internet Information Services (IIS – توسط مایکروسافت توسعه یافته است. IIS در ویندوز اجرا می شود و دومین وب سرور مورد استفاده در اینترنت است. بیش تر وب سایت های asp و aspx در سرورهای IIS میزبانی می شوند.
• Apache Tomcat – بیش تر وب سایت های (Java server pages (JSP در این نوع سرور وب میزبانی می شوند.
• وب سرورهای دیگر – این شامل وب سرور Novell و سرورهای IBM Lotus Domino است.

انواع حملات به وب سرورها

حملات Directory traversal – این نوع حملات با استفاده از باگ ها در وب سرور، دسترسی غیر مجاز به فایل ها و پوشه ها که در دامنه عمومی نیستند را به دست می آورد. هنگامی که مهاجم دسترسی پیدا می کند، می تواند اطلاعات حساس را دانلود کند، دستورات را بر روی سرور اجرا کند یا نرم افزارهای مخرب را نصب نماید.

• حملات Denial of Service -با این نوع حمله، وب سرور ممکن است کرش شود  یا به کاربران مشروع  اجازه ی دسترسی داده نشود.
• Domain Name System Hijacking – با استفاده از این نوع مهاجم، تنظیمات DNS را برای اشاره به وب سرور مهاجم تغییر می دهد. تمام ترافیکی که قرار بود به وب سرور فرستاده شود به یک صفحه اشتباه هدایت می شود.
• Sniffing – داده های رمزگذاری شده ارسال شده بر روی شبکه ممکن است به دلیل دسترسی غیرمجاز به وب سرور مورد استفاده قرار گیرند.
• Phishing- با استفاده از این نوع حمله، حمله وب سایت ها را جعل می کند و ترافیک را به وب سایت جعلی هدایت می کند. کاربران بی خبر ممکن است را فریب داده و به ارسال داده های حساس مانند جزئیات ورود، شماره کارت اعتباری و غیره ادامه می دهند.
• Pharming- با این نوع حمله، مهاجم به سرورهای (Domain Name System (DNS یا رایانه کاربر متصل می شود تا ترافیک به یک سایت مخرب هدایت شود.
• Defacement – با استفاده از این نوع حمله، مهاجم وبسایت سازمانی را با صفحه دیگری که شامل نام هکرها و تصاویر است، جایگزین می کند و ممکن است شامل موسیقی پس زمینه و پیام ها باشد.

ابزارهای حمله به وب سرور و  نحوه هک وب سرور

برخی از ابزارهای معمول حمله به وب سرورها یا نحوه هک وب سرور عبارتند از:

• Metasploit – این یک ابزار منبع باز برای توسعه، آزمایش و استفاده از کد exploit است. Metasploit می تواند برای شناسایی آسیب پذیری در وب سرورها و نوشتن exploits مورد استفاده قرار گیرد.
• MPack – یک ابزار سوء استفاده از وب است. در PHP نوشته می شود و توسط MySQL به عنوان موتور پایگاه داده پشتیبانی می شود. هنگامی که یک وب سرور با استفاده از MPack به مخاطره می افتد، تمام ترافیک آن به وب سایت های دانلود مخرب هدایت می شود.
• Zeus – این ابزار می تواند برای تبدیل یک کامپیوتر به خطر افتاده در یک ربات یا زامبی مورد استفاده قرار گیرد. یک ربات رایانه ای خطرناک است که برای انجام حملات مبتنی بر اینترنت مورد استفاده قرار می گیرد. یک botnet مجموعه ای از رایانه های آسیب دیده است. پس از آن botnet می تواند در حمله denial of service یا ارسال نامه های اسپم استفاده شود.
• Neosplit – این ابزار می تواند برای نصب برنامه ها، حذف برنامه ها، تکرار آن ها و غیره استفاده شود.

با ابزارهای حمله به وب سرور مبحث روش هک کردن وب سرور رو به پایان می رسونیم.

کلام پایانی

دوستان سایت آموزشی پی وی لرن خوش حالیم که با آموزش روش هک کردن وب سرور نیز همراه ما هستید. چون وب سرورهای اطلاعات شخصی و مهمی را می توانند ذخیره کنند پس ممکن است مورد هجوم مهاجمان قرار گیرند یا این که داده ها توسط خود وب سایت در دسترس عموم قرار گیرد. بنابراین سازمان ها و افراد باید عواملی که موجب هدف قرار گرفتن شان توسط هکرها می شود، بشناسند. به ابزارها و انواع حملات که شامل حملات Denial of Service و Domain Name System Hijacking و غیره نیز اشاره ای شد. ادامه ی نحوه هک وب سرور رو همراه هک عملی در جلسه بعد مشاهده خواهید نمود. موفق باشید.