KọmputaNchekwa

Ọma na saịtị. Weebụsaịtị atule. Program ka iṅomi saịtị ahụ maka vulnerabilities

website nche nke dịtụbeghị dị ka nnukwu dị ka narị afọ nke 21. N'ezie, nke a bụ n'ihi na mbara mgbasa nke Internet na fọrọ nke nta niile ọrụ na ubi. Kwa ụbọchị, hackers na nche ọkachamara hụrụ ole na ole ọhụrụ ọma saịtị. Ọtụtụ n'ime ha bụ ozugbo mechiri emechi nwe na mmepe, ma ụfọdụ ịnọgide dị ka bụ. Nke na-eji ndị mwakpo ahụ. Ma na-eji a hacked saịtị ahụ nwere ike ime ka oké nsogbu ma ya ọrụ na sava na nke ya na-chọpụtara.

Types of saịtị ọma

Mgbe ị mepụtara Web peeji nke na-eji a otutu yiri electronic teknụzụ. Ụfọdụ bụ ndị ọkaibe na oge-anwale, na ụfọdụ ndị ọhụrụ na-emeghị eyi. Na nke ọ bụla, e nwere ọtụtụ iche nke saịtị nke ọma:

  • XSS. Saịtị ọ bụla nwere a obere ụdị. Ha na-enyere ọrụ tinye data ma na-a N'ihi ya, aha a rụrụ ma ọ bụ zipu ozi. Nnọchi n'ụdị pụrụ iche ụkpụrụ nwere ike ịkpalite ogbugbu nke a ụfọdụ script, nke nwere ike ime ka a mebiri nke eziokwu nke saịtị na o megideghị data.
  • SQL-ogwu ogbugba. A nnọọ nkịtị irè ụzọ inweta ohere ka nzuzo data. Nke a nwere ike ime ma site na adreesị mmanya, ma ọ bụ site na ụdị. The usoro a na-rụrụ site n'ọnọdụ ụkpụrụ a na-apụghị ẹdụk scripts na ajụjụ na nchekwa data. Na na kwesịrị ekwesị ihe ọmụma o nwere ike ime ka a nche iro.

  • HTML-njehie. Fọrọ nke nta ka otu ihe ahụ nke XSS, ma ọ bụghị agbakwunyere script koodu, na HTML.
  • The vulnerability nke saịtị ndị a na-pụrụ isi chọta nke faịlụ na directories na ndabere ebe. Dị ka ihe atụ, ebe ọ maara na Ọdịdị nke ibe weebụ, ị nwere ike iru ochichi panel koodu.
  • Ezughi oke nchedo Mbido nke sistemụ na ihe nkesa. Ọ bụrụ na ọ bụla, na vulnerability bụ ugbu a, mgbe ahụ ebibi ga-enwe ike imezu ihe e kpere akwagide na koodu.
  • Bad okwuntughe. Otu n'ime ndị kasị doro anya ọma saịtị - na-eji na-adịghị ike ụkpụrụ iji chebe ha. Karịsịa ma ọ bụrụ na ọ bụ onye nchịkwa.
  • Echekwa nile. Ọ na-eji mgbe dochie data si na ebe nchekwa, nke mere na ị nwere ike ime ka ha onwe ha mgbanwe. Ọ na-adị mgbe ndị aka nke na-ezughị okè software.
  • Dochie ngalaba nke gị na saịtị. Recreating kpọmkwem oyiri nke website site na-egbu osisi na onye ọrụ na-agaghị enyo enyo a atọ na-abanye na gị onwe onye nkọwa, mgbe oge ụfọdụ na-agafe ebibi.
  • Agugo nke ọrụ. N'ozuzu a okwu na-ghọtara agha na ihe nkesa mgbe ọ na-enweta a ọnụ ọgụgụ buru ibu nke na-arịọ na ike aka, na nanị "tụlee" ma ọ bụ na-enwekwaghị ike ijere ndị a ọrụ. The vulnerability idu ke eziokwu na ihe IP nyo na-ahazi nke ọma.

Vulnerability iṅomi Site

Security ọkachamara mụụrụ a pụrụ iche oditi nke web akụ maka njehie na ntụpọ ahụ nke pụrụ iduga cracking. Dị otú ahụ nkwenye saịtị akpọ pentesting. The usoro eneme iyi koodu ji site CMS, ọnụnọ nke mwute modul na ọtụtụ ndị ọzọ na-akpali ule.

SQL-ọgwụ

Nke a na ụdị ule na saịtị na-ekpebi ma edemede nzà ndị natara ụkpụrụ ke nkwadebe nke na-arịọ na nchekwa data. Ẹda a dị mfe ule nwere ike ịbụ aka. Olee otú ịchọta SQL vulnerability na saịtị? Ònye ga-atụle.

Dị ka ihe atụ, e nwere a saịtị my-sayt.rf. N'ihu ya page nwere a katalọgụ. Na-aga n'ime ya, i nwere ike ịchọta adreesị mmanya ihe dị ka m-sayt.rf /? Product_id = 1. O yiri ka nke a bụ a arịrịọ ka nchekwa data. Iji chọta a saịtị ọma nwere ike mbụ na-agbalị ịnọchi anya ke n'usoro a otu see okwu. N'ihi ya, ga-abụ nke m-sayt.rf /? Product_id = 1 '. Ọ bụrụ na ị pịa "Tinye" button na peeji nke, njehie ozi, na vulnerability dị.

Ugbu a, i nwere ike iji ọtụtụ nhọrọ maka nhọrọ nke ụkpụrụ. Eji Nchikota rụọ wezụga, na-aza ajụjụ na ọtụtụ ndị ọzọ.

XSS

Nke a na ụdị vulnerability nwere ike nke abụọ ụdị - arụsi ọrụ ike na n'ezinụlọ.

Active pụtara iwebata a mpempe koodu ke database ma ọ bụ na faịlụ na ihe nkesa. Ọ bụ ihe ize ndụ na-ejighị n'aka.

N'ezinụlọ mode agụnye rafuru na aja na a kpọmkwem okwu nke saịtị na e dere obi koodu.

Iji XSS ebibi nwere ike na-ezu ohi Kuki. Na ha nwere ike ịnwe mkpa ọrụ data. Ọbụna ihe imebi ihe nke zuru nnọkọ.

Ọzọkwa, ebibi nwere ike iji script na saịtị ka na-etolite na oge nke na-ezipụ na o nyere ọrụ ndị ozi ozugbo n'aka otu ebibi.

Akpaaka nke search usoro

The na netwọk nwere ike ịchọta a otutu akpali vulnerability scanners saịtị. Ụfọdụ-abịa naanị ya, ụfọdụ na-abịa na ọtụtụ yiri na merged n'ime otu image, dị ka Kali Linux. Ga-anọgide na-enye otu nnyocha nke ndị kasị ewu ewu ngwaọrụ machiini usoro nke-achịkọta ihe ọmụma banyere ọma.

Nmap

Ihe kacha website vulnerability nyocha na ike na-egosi ihe ndị dị ka sistemụ arụmọrụ na-eji ụgbọ mmiri na ọrụ. Ahụkarị ngwa:

nmap -sS 127.0.0.1, ebe kama nke obodo IP address dị mkpa ịnọchi anya na ezigbo ule na saịtị.

Mmechi akụkọ na ihe ọrụ na-agba na ya, na nke ọdụ ụgbọ mmiri na-emeghe n'oge a. Dabere na ozi a, ị nwere ike na-agbalị iji chọpụtala vulnerability.

Ebe a na-a ole na ole mkpịsị ugodi a nmap Doppler echiche ọjọọ:

  • -Ọ. Ike ike iṅomi na kposara a ọtụtụ ihe ọmụma, ma ọ pụrụ iwe oge buru.
  • -O. Ọ na-agbalị ime ka a mata na sistemụ na-eji na gị na ihe nkesa.
  • -D. Spoof ihe IP address nke a na ego e mere ka mgbe ị na-ele ọ gaghị ekwe omume na ihe nkesa na ndekọ na-ekpebi ebe agha mere.
  • -p. The iche iche nke na ọdụ ụgbọ mmiri. Ịlele ọtụtụ ọrụ maka oghe.
  • -S. Ọ na-ekwe gị ezipụta na ziri ezi IP address.

WPScan

Nke a na usoro bụ ka iṅomi saịtị ahụ maka ọma gụnyere Kali Linux nkesa. E na-elele web ego na WordPress CMS. na e dere Ruby, otú na-agba ọsọ dị ka nke a:

rubi ./wpscan.rb --help. Iwu a ga-egosi niile dị nhọrọ na akwụkwọ ozi.

iwu ike ga-eji na-agba ọsọ a dị mfe ule:

rubi ./wpscan.rb --url some-sayt.ru

Ke ofụri ofụri WPScan - mara mma mfe iji na ịba uru iji nwalee gị na saịtị na "wordpress" ọma.

Nikto

Program saịtị achọpụta ọma, bụ nke na-dị na Kali Linux nkesa. Ọ na-enye ike ike n'ihi ya niile mfe:

  • Iṅomi protocol na HTTP na https;
  • gafere ọtụtụ wuru na-nchọpụta ngwaọrụ;
  • multiple port ịgụ isiokwu, ọbụna na-abụghị ọkọlọtọ nso;
  • akwado ojiji nke zighachi akwụkwọ nnọchiteanya sava;
  • ọ bụ ike ime eme na njikọ nkwụnye ins.

Iji malite nikto mkpa ka usoro e arụnyere Perl. The mfe analysis na rụrụ dị ka ndị a:

Perl nikto.pl -h 192.168.0.1.

The omume nwere ike "nri" a ederede faịlụ na depụtara na Web server adreesị:

Perl nikto.pl -h file.txt

Ngwá ọrụ a ga-bụghị naanị enyere nche ọkachamara na-eduzi Pentest, ma netwọk ọchịchị na ego ha na-ịnọgide na-enwe ahụ ike na saịtị.

Burp Suite

A nnọọ dị ike ka ngwá ọrụ iji na-elele bụghị naanị site, ma nlekota nke ọ bụla na netwọk. Ọ a wuru na-ọrụ nke mgbanwe arịrịọ a gabiga ule nkesa. Smart nyocha ike nke na-akpaghị aka na-ele anya maka ọtụtụ ụdị nke ọma ozugbo. Ọ bụ omume na-azọpụta n'ihi na ugbu a na-eme na mgbe ahụ na-maliteghachi ya. Mgbanwe bụghị nanị iji nke atọ ọzọ nkwụnye ins, ma dee na gị onwe gị.

Mmekọ nwere ya onyeōzi ọrụ interface, nke bụ ịrụ ụka adịghị adaba, karịsịa maka novice ọrụ.

SQLmap

Eleghị anya ndị kasị adaba na ndị dị ike na ngwá ọrụ na-enyocha SQL na XSS ọma. Dee ya uru ga-owụt dị ka:

  • Nkwado fọrọ nke nta niile iche iche nke database management usoro;
  • ikike iji isii isi ụzọ chọpụta ihe na-na ngwa ma SQL-injection;
  • Users busting mode, ha hashes, okwuntughe na ndị ọzọ data.

Tupu iji SQLmap emekarị mbụ hụrụ a ngwangwa saịtị via a dork - oghere ajụjụ search engines na-enyere gị ewepụkwa ihe e mere atụmatụ na ihe onwunwe dị mkpa web.

Mgbe adreesị nke page na-agafere nke usoro ihe omume, na ọ leruo. Ọ bụrụ na ihe ịga nke ọma, na-definition nke vulnerability mmekọ nwere onwe ya na ya iji nweta zuru ohere ka akụ.

Webslayer

A obere mmekọ na-enye gị ohere na-awakpo arụrụala ike. Nwere ike "arụrụala ike" dị ndụ, na nnọkọ parameters nke saịtị. Ọ na-akwado multi-threading, nke na-emetụta arụmọrụ bụ magburu onwe. Ị nwekwara ike ịhọrọ okwuntughe recursively kpara akwụ peeji nke. E proxy support.

Resources maka ịlele

Ke netwọk e nwere ọtụtụ ngwaọrụ iji nwalee vulnerability nke online saịtị:

  • coder-diary.ru. Simple saịtị maka ule. Dị nnọọ tinye adreesị, na akụ na pịa "Lelee". The search pụrụ iwe ogologo oge, otú i nwere ike dee gị email address iji bịa na njedebe nke na n'ihi na na na drawer ule. e nwere ihe 2,500 mara vulnerabilities na saịtị.
  • https://cryptoreport.websecurity.symantec.com/checker/. Online Service ego maka SSL na TLS akwụkwọ si ụlọ ọrụ Symantec. Ọ na-achọ naanị adreesị, na akụ.
  • https://find-xss.net/scanner/. Ngo bụ a iche iche PHP file enyocha kwa weebụsaịtị maka ọma ma ọ bụ ZIP Archive. I nwere ike dee ụdị nke faịlụ na-scanned na akara, nke na-echebekwa site data ke edemede.
  • http://insafety.org/scanner.php. Nyocha nwalee saịtị n'elu ikpo okwu "1ch-Bitrix". Dị Mfe na kensinammuo interface.

The algọridim maka ịgụ isiokwu maka vulnerabilities

Netwọk ọ bụla nche ọkachamara anamde a ego na a mfe algọridim:

  1. Na mbụ ya aka ma ọ bụ site na iji akpaghị aka ngwaọrụ nyochaa ma e nwere ọ bụla online vulnerability. Ọ bụrụ na ee, mgbe ahụ, ọ na-ekpebi ha ụdị.
  2. Dabere na umu ugbu vulnerability ewuli n'ihu Nkea. Ka ihe atụ, ọ bụrụ na anyị maara na CMS, mgbe ahụ na-ahọpụta ndị kwesịrị ekwesị usoro nke agha. Ọ bụrụ na ọ bụ a SQL-ogwu ogbugba, họrọ gbara ajụjụ na nchekwa data.
  3. Ebumnobi bụ isi bụ inweta ihe ùgwù ohere ka ndutịm panel. Ọ bụrụ na ọ bụ ekwe omume iji nweta ndị dị otú ahụ, ma eleghị anya ọ bụ ọnụ ahịa na-agbalị na-etolite a adịgboroja address na iwebata ya script na ụdi nyefe nke aja.
  4. Ọ bụrụ na ọ bụla agha ma ọ bụ penetration ada ada, ọ na-amalite obon data: na-e ọzọ vulnerability nke ntụpọ bụ ugbu a.
  5. Dabere na data nche ọkachamara na-ekwu na saịtị nwe banyere nsogbu na-esi edozi ya.
  6. Ọma na-tutu amama ya aka ma ọ bụ na-enyemaka nke-atọ ndị ọzọ nwe.

A ole na ole nchekwa Atụmatụ

Ndị na-onwe-amalite ya website, ga-enyere nke a dị mfe Atụmatụ na usoro.

Abata na data ga-ẹdụk nke na scripts ma ọ bụ gbara ajụjụ nwere ike na-agba ọsọ-eguzo-naanị ma ọ bụ na-enye data si database.

Jiri mgbagwoju na ike okwuntughe iji nweta ochichi panel, iji zere a kwere omume arụrụala ike.

Ọ bụrụ na ndị website dabeere a na CMS, mkpa ka anya dị ka pụtara plugins, ndebiri na modul nwere ike ịbụ ugboro ugboro imelite ya ma na-eme. Ekwela bufee saịtị na-enweghị isi mmiri.

Ọtụtụ mgbe ịlele server ndekọ maka ihe ọ bụla-enyo anyị enyo pụtara ma ọ bụ omume.

Lelee na gị onwe gị na saịtị ọtụtụ scanners na ọrụ.

The ezi nkesa nhazi - isi ihe na ya anụ ma na-adịghị ize ndụ-arụ ọrụ.

Ọ bụrụ na o kwere omume, na-eji ihe SSL akwụkwọ. Nke a ga-egbochi interception nke onwe onye ma ọ bụ ihe nzuzo data n'etiti ihe nkesa na onye ọrụ.

Ngwá nche. Ọ na-eme uche iji wụnye ma ọ bụ jikọọ software iji gbochie intrusion na mpụga egwu.

ọgwụgwụ

Isiokwu tụgharịa mma Ndahie, ma, ọbụna ọ bụ ezughị na-akọwa n'ụzọ zuru ezu na akụkụ nile nke netwọk nche. Iji nagide nsogbu nke ozi nche, ọ dị mkpa na-amụ a otutu ihe na ntụziaka. Na-na-na-amụta a ụyọkọ ngwaọrụ na teknụzụ. I nwere ike na-achọ ndụmọdụ ma na-enyere site na ọkachamara ụlọ ọrụ ndị na ipuiche Pentest na oditi web ego. Ọ bụ ezie na ọrụ ndị a, na ga ghọọ a ezigbo ego, niile na otu saịtị nche nwere ike ịbụ ihe ndị ọzọ dị oké ọnụ na aku usoro na na reputational.

Similar articles

 

 

 

 

Trending Now

 

 

 

 

Newest

Copyright © 2018 ig.unansea.com. Theme powered by WordPress.