So hacken Sie eine Website: Beispiel für das Hacken von Websites online

Inhaltsverzeichnis:

Anonim

Mehr Menschen haben Zugang zum Internet als jemals zuvor. Dies hat viele Organisationen dazu veranlasst, webbasierte Anwendungen zu entwickeln, mit denen Benutzer online mit der Organisation interagieren können. Schlecht geschriebener Code für Webanwendungen kann ausgenutzt werden, um unbefugten Zugriff auf vertrauliche Daten und Webserver zu erhalten.

In diesem Tutorial lernen Sie, wie Sie Websites hacken, und wir stellen Ihnen die Hacking-Techniken für Webanwendungen und die Gegenmaßnahmen vor, die Sie zum Schutz vor solchen Angriffen ergreifen können .

In diesem Tutorial behandelte Themen

  • Was ist eine Webanwendung? Was sind Web-Bedrohungen?
  • Wie schützen Sie Ihre Website vor Hacks?
  • Website-Hacking-Tricks: Hacken Sie eine Website online!

Was ist eine Webanwendung? Was sind Web-Bedrohungen?

Eine Webanwendung (auch bekannt als Website) ist eine Anwendung, die auf dem Client-Server-Modell basiert. Der Server stellt den Datenbankzugriff und die Geschäftslogik bereit. Es wird auf einem Webserver gehostet. Die Clientanwendung wird im Client-Webbrowser ausgeführt. Webanwendungen werden normalerweise in Sprachen wie Java, C # und VB.Net, PHP, ColdFusion Markup Language usw. geschrieben. Zu den in Webanwendungen verwendeten Datenbankmodulen gehören MySQL, MS SQL Server, PostgreSQL, SQLite usw.

Die meisten Webanwendungen werden auf öffentlichen Servern gehostet, auf die über das Internet zugegriffen werden kann. Dies macht sie aufgrund ihrer einfachen Zugänglichkeit anfällig für Angriffe. Im Folgenden sind häufige Bedrohungen für Webanwendungen aufgeführt.

  • SQL Injection - Das Ziel dieser Bedrohung könnte darin bestehen, Anmeldealgorithmen zu umgehen, die Daten zu sabotieren usw.
  • Denial-of-Service-Angriffe - Das Ziel dieser Bedrohung könnte darin bestehen, legitimen Benutzern den Zugriff auf die Ressource zu verweigern
  • Cross Site Scripting XSS - Das Ziel dieser Bedrohung könnte darin bestehen, Code einzufügen, der im clientseitigen Browser ausgeführt werden kann.
  • Cookie- / Sitzungsvergiftung - Ziel dieser Bedrohung ist es, Cookies / Sitzungsdaten eines Angreifers zu ändern, um unbefugten Zugriff zu erhalten.
  • Formularmanipulation - Ziel dieser Bedrohung ist es, Formulardaten wie Preise in E-Commerce-Anwendungen so zu ändern, dass der Angreifer Artikel zu reduzierten Preisen erhalten kann.
  • Code-Injection - Das Ziel dieser Bedrohung ist das Injizieren von Code wie PHP, Python usw., der auf dem Server ausgeführt werden kann. Der Code kann Hintertüren installieren, vertrauliche Informationen preisgeben usw.
  • Verunstaltung - Ziel dieser Bedrohung ist es, die auf einer Website angezeigte Seite zu ändern und alle Seitenanforderungen auf eine einzelne Seite umzuleiten, die die Nachricht des Angreifers enthält.

Wie schützen Sie Ihre Website vor Hacks?

Eine Organisation kann die folgenden Richtlinien anwenden, um sich vor Webserverangriffen zu schützen.

  • SQL Injection - Das Bereinigen und Überprüfen von Benutzerparametern vor dem Senden an die Datenbank zur Verarbeitung kann dazu beitragen, die Wahrscheinlichkeit eines Angriffs über SQL Injection zu verringern. Datenbankmodule wie MS SQL Server, MySQL usw. unterstützen Parameter und vorbereitete Anweisungen. Sie sind viel sicherer als herkömmliche SQL-Anweisungen
  • Denial-of-Service-Angriffe - Firewalls können verwendet werden, um Datenverkehr von verdächtigen IP-Adressen zu löschen, wenn es sich bei dem Angriff um ein einfaches DoS handelt. Die ordnungsgemäße Konfiguration von Netzwerken und Intrusion Detection System kann auch dazu beitragen, die Wahrscheinlichkeit eines erfolgreichen DoS-Angriffs zu verringern.
  • Cross Site Scripting - Durch Überprüfen und Bereinigen von Headern, über die URL übergebenen Parametern, Formularparametern und ausgeblendeten Werten können XSS-Angriffe reduziert werden.
  • Cookie- / Sitzungsvergiftung - Dies kann verhindert werden, indem der Inhalt der Cookies verschlüsselt wird, die Cookies nach einiger Zeit abgelaufen sind und die Cookies der Client-IP-Adresse zugeordnet werden, mit der sie erstellt wurden.
  • Form Tempering - Dies kann verhindert werden, indem die Benutzereingaben vor der Verarbeitung validiert und überprüft werden.
  • Code-Injection - Dies kann verhindert werden, indem alle Parameter als Daten und nicht als ausführbarer Code behandelt werden. Desinfektion und Validierung können verwendet werden, um dies zu implementieren.
  • Defacement - Eine gute Sicherheitsrichtlinie für die Entwicklung von Webanwendungen sollte sicherstellen, dass die häufig verwendeten Sicherheitslücken für den Zugriff auf den Webserver beseitigt werden. Dies kann eine ordnungsgemäße Konfiguration des Betriebssystems, der Webserver-Software und bewährter Sicherheitspraktiken bei der Entwicklung von Webanwendungen sein.

Website-Hacking-Tricks: Hacken Sie eine Website online

In diesem praktischen Szenario zum Hacken von Websites werden wir die Benutzersitzung der Webanwendung unter www.techpanda.org entführen. Wir verwenden Cross-Site-Scripting, um die ID der Cookie-Sitzung zu lesen, und verwenden sie dann, um sich als legitime Benutzersitzung auszugeben.

Es wird davon ausgegangen, dass der Angreifer Zugriff auf die Webanwendung hat und die Sitzungen anderer Benutzer entführen möchte, die dieselbe Anwendung verwenden. Das Ziel dieses Angriffs könnte darin bestehen, Administratorzugriff auf die Webanwendung zu erhalten, vorausgesetzt, das Zugriffskonto des Angreifers ist begrenzt.

Einstieg

  • Öffnen Sie http://www.techpanda.org/
  • Aus praktischen Gründen wird dringend empfohlen, über SQL Injection Zugriff zu erhalten. Weitere Informationen dazu finden Sie in diesem Artikel.
  • Die Login-E-Mail lautet Diese E-Mail-Adresse ist vor Spambots geschützt! Zum Anzeigen muss JavaScript aktiviert sein. Das Kennwort lautet Password2010
  • Wenn Sie sich erfolgreich angemeldet haben, erhalten Sie das folgende Dashboard
  • Klicken Sie auf Neuen Kontakt hinzufügen
  • Geben Sie als Vornamen Folgendes ein

Dunkel

HIER,

Der obige Code verwendet JavaScript . Es wird ein Hyperlink mit einem Onclick-Ereignis hinzugefügt . Wenn der ahnungslose Benutzer auf den Link klickt, ruft das Ereignis die PHP-Cookie-Sitzungs-ID ab und sendet sie zusammen mit der Sitzungs-ID in der URL an die Seite snatch_sess_id.php

  • Geben Sie die restlichen Details wie unten gezeigt ein
  • Klicken Sie auf Änderungen speichern
  • Ihr Dashboard sieht nun wie folgt aus
  • Da der standortübergreifende Skriptcode in der Datenbank gespeichert ist, wird er jedes Mal geladen, wenn sich Benutzer mit Zugriffsrechten anmelden
  • Angenommen, der Administrator meldet sich an und klickt auf den Hyperlink Dark
  • Er / sie erhält das Fenster mit der Sitzungs-ID, die in der URL angezeigt wird

Hinweis : Das Skript sendet den Wert möglicherweise an einen Remote-Server, auf dem die PHPSESSID gespeichert ist. Anschließend wird der Benutzer zur Website zurückgeleitet, als wäre nichts passiert.

Hinweis : Der Wert, den Sie erhalten, unterscheidet sich möglicherweise von dem in diesem Tutorial zum Hacken von Webseiten, aber das Konzept ist das gleiche

Identitätswechsel mit dem Add-On Firefox und Tamper Data

Das folgende Flussdiagramm zeigt die Schritte, die Sie ausführen müssen, um diese Übung abzuschließen.

  • Für diesen Abschnitt benötigen Sie den Firefox-Webbrowser und das Add-On "Manipulationsdaten"
  • Öffnen Sie Firefox und installieren Sie das Add wie in den folgenden Abbildungen gezeigt
  • Suchen Sie nach Manipulationsdaten und klicken Sie dann wie oben gezeigt auf Installieren
  • Klicken Sie auf Akzeptieren und installieren ...
  • Klicken Sie nach Abschluss der Installation auf Jetzt neu starten
  • Aktivieren Sie die Menüleiste in Firefox, wenn sie nicht angezeigt wird
  • Klicken Sie auf das Menü Extras und wählen Sie Manipulationsdaten wie unten gezeigt
  • Sie erhalten das folgende Fenster. Hinweis: Wenn das Windows nicht leer ist, klicken Sie auf die Schaltfläche Löschen
  • Klicken Sie auf das Menü Manipulation starten
  • Wechseln Sie zurück zum Firefox-Webbrowser, geben Sie http://www.techpanda.org/dashboard.php ein und drücken Sie die Eingabetaste, um die Seite zu laden
  • Sie erhalten das folgende Popup von Tamper Data
  • Das Popup-Fenster verfügt über drei (3) Optionen. Mit der Option "Manipulation" können Sie die HTTP-Header-Informationen ändern, bevor sie an den Server gesendet werden .
  • Klick es an
  • Sie erhalten das folgende Fenster
  • Kopieren Sie die PHP-Sitzungs-ID, die Sie von der Angriffs-URL kopiert haben, und fügen Sie sie nach dem Gleichheitszeichen ein. Ihr Wert sollte jetzt so aussehen

PHPSESSID = 2DVLTIPP2N8LDBN11B2RA76LM2

  • Klicken Sie auf OK
  • Sie erhalten erneut das Popup-Fenster "Manipulationsdaten"
  • Deaktivieren Sie das Kontrollkästchen "Weiter manipulieren?".
  • Klicken Sie auf die Schaltfläche "Senden", wenn Sie fertig sind
  • Sie sollten das Dashboard wie unten gezeigt sehen können

Hinweis : Wir haben uns nicht angemeldet. Wir haben uns als Anmeldesitzung mit dem PHPSESSID-Wert ausgegeben, den wir mithilfe von Cross Site Scripting abgerufen haben

Zusammenfassung

  • Eine Webanwendung basiert auf dem Server-Client-Modell. Die Clientseite verwendet den Webbrowser, um auf die Ressourcen auf dem Server zuzugreifen.
  • Webanwendungen sind normalerweise über das Internet zugänglich. Dies macht sie anfällig für Angriffe.
  • Zu den Bedrohungen für Webanwendungen gehören SQL Injection, Code Injection, XSS, Defacement, Cookie-Vergiftung usw.
  • Eine gute Sicherheitsrichtlinie bei der Entwicklung von Webanwendungen kann dazu beitragen, diese sicher zu machen.