درود بر شما عزیزان و کاربران سایت پی وی لرن. با آموزش رایگان هک قانونمند در خدمتتون هستیم.
در این قسمت از آموزش قصد داریم روش هک کردن وبسایت رو توضیح دهیم. برای هک کردن وبسایت به ابزار هایی نیاز است که در ادامه به آن ها خواهیم پرداخت. روش هک کردن وبسایت در دو بخش آماده شده است.
مردم بیش تر از هر زمان دیگری به اینترنت دسترسی دارند. این باعث شده است که بسیاری از سازمان ها برنامه های مبتنی بر وب را توسعه دهند که کاربران می توانند از طریق اینترنت برای ارتباط با سازمان استفاده کنند. کدهای ضعیف برای برنامه های کاربردی وب می تواند باعث دستیابی به دسترسی غیر مجاز به داده های حساس و وب سرورها شود.
در این بخش از آموزش، به شما برنامه های کاربردی وب را معرفی کرده و تکنیک های هک و اقداماتی برای محافظت در برابر چنین حملاتی رو توضیح خواهیم داد
یک برنامه وب (به عنوان وب سایت) برنامه ای کاربردی مبتنی بر مدل client-server است. سرور دسترسی پایگاه داده و منطق کسب و کار را فراهم می کند. این بر روی وب سرور میزبانی شده است. برنامه client یا سرویس گیرنده در مرورگر وب سرویس گیرنده اجرا می شود. برنامه های کاربردی وب معمولا به زبان هایی مانند #Java, C و VB.Net, PHP, ColdFusion Markup Language و غیره نوشته می شوند.
موتورهای پایگاه داده مورد استفاده در برنامه های کاربردی وب عبارتند از MySQL، MS SQL Server، PostgreSQL، SQLite و غیره.
اکثر برنامه های وب در سرورهای عمومی قابل دسترسی از طریق اینترنت میزبانی می شوند. این امر دلیلی بر آسان قرار گرفتن در معرض حملات آسیب پذیر است.
در ادامه تهدیدات رایج برنامه وب را بیان نموده ایم.
هدف از این تهدید می تواند بایپس الگوریتم های ورود، خرابکاری داده ها و غیره باشد.
هدف این حمله می تواند قطع دسترسی کاربران مجاز به منابع باشد.
هدف این حمله می تواند تزریق کد باشد و می تواند بر روی مرورگر وب کلاینت اجرا شود.
هدف این حمله این است که کوکی ها / داده های نشست را توسط یک مهاجم تغییر داده تا دسترسی غیر مجاز به دست آید.
هدف این حمله این است که داده های فرم مانند قیمت ها در برنامه های تجارت الکترونیک را تغییر دهد تا مهاجم بتواند اقلام را با قیمت های پایین دریافت کند.
هدف این حمله این است که کد هایی مانند PHP، Python و غیره تزریق شود تا بر روی سرور اجرا شود. این کد می تواند backdoors را نصب کند و اطلاعات حساس و غیره را افشا کند.
هدف از این حمله این است که صفحه را در یک وبسایت تغییر می دهد و تمام درخواست های کاربران را به آن صفحه هدایت می کند که حاوی پیام مهاجم است.
یک سازمان می تواند سیاست های زیر را برای محافظت از خود در مقابل حملات وب سرور اتخاذ کند.
پاکسازی و اعتبار سنجی پارامترها و داده های کاربر قبل از ارسال آن ها به پایگاه داده برای پردازش می تواند به کاهش شانس حمله از طریق SQL Injection کمک کند. موتورهای پایگاه داده مانند MS SQL Server، MySQL و غیره پارامترها را پشتیبانی می کنند
و اظهارات را مهیا می سازند.
آن ها با SQL statements مرسوم بسیار امن تر هستند.
فایروال ها می توانند ترافیک یک آدرس IP مشکوک را فیلتر کنند، اگر حمله یک DoS ساده باشد.
پیکربندی مناسب شبکه ها و سیستم تشخیص نفوذ می تواند به کاهش احتمال حمله ی DoS کمک کند.
اعتبارسنجی و پاکسازی هدرها، پارامترهای ارسال شده از طریق URL، پارامترهای فرم و مقادیر پنهان می تواند به کاهش حملات XSS کمک کند.
با رمزگذاری محتوی کوکی ها، تاریخ انقضای کوکی ها، وابسته کردن کوکی به آدرس IP مشتری که برای آن ها استفاده می شود، می توان از حملات جلوگیری کرد.
با تأييد ورودي و اعتبارسنجی كاربر قبل از پردازش مي توان از این حملات جلوگيري كرد.
در صورت رفتار با همه پارامترها به عنوان داده ها و نه کد اجرایی می تواند از این حمله جلوگیری کند. Sanitization و Validation برای پیاده سازی آن می تواند مورد استفاده قرار گیرد.
یک سیاست امنیتی مناسب برای توسعه وب باید تضمین کند که آسیب پذیری های رایج مورد استفاده برای دسترسی به وب سرور رفع شده است. این می تواند یک پیکربندی مناسب از سیستم عامل، نرم افزار وب سرور و بهترین شیوه های امنیتی در هنگام توسعه برنامه های وب باشد.
توضیحات مربوط به آموزش روش هک کردن وبسایت از جمله تهدیدات وب و محافظت از وب ها در برابر هکر ها رو با هم مشاهده نمودیم.
در بخش دوم فعالیت هک عملی خواهیم داشت.
با ما همراه باشید.