1.1.2. Взлом WWW-сервера
1.1.2. Взлом WWW-сервера
При взломе WWW-сервера есть свои особенности. Если на нем выполняются CGI/PHP или иные скрипты, то взлом проводится совершенно по-другому. Для начала нужно просканировать сервер на наличие уязвимых CGI-скриптов. Вы не поверите, но опять же по исследованиям различных компаний в Интернете работает большое количество "дырявых" скриптов. Это связано с тем, что при разработке сайтов изначально вносятся ошибки. Начинающие программисты очень редко проверяют входящие параметры в надежде, что пользователь не будет изменять код странички или адрес URL, где серверу передаются необходимые данные для выполнения каких-либо действий.
Ошибку с параметрами имела одна из знаменитых систем управления сайтом — PHP-nuke. Это набор скриптов, позволяющих создать форум, чат, новостную ленту и управлять содержимым сайта. Все параметры в скриптах передаются через строку URL браузера, и просчет содержался в параметре ID. Разработчики предполагали, что в нем будет передаваться число, но не проверяли это. Хакер, знающий структуру базы данных (а это не сложно, потому что исходные коды PHP-nuke доступны), легко мог поместить SQL-запрос к базе данных сервера в параметр ID и получить пароли всех зарегистрированных на сайте пользователей. Конечно, клиенты будут зашифрованы, но для расшифровки не надо много усилий, и это мы рассмотрим чуть позже (см. разд. 14.10).
Проблема усложняется тем, что некоторые языки (например, Perl) изначально не были предназначены для использования в сети Интернет. Из-за этого в них существуют опасные функции для манипулирования системой, и если программист неосторожно применил их в своих модулях, то злоумышленник может воспользоваться такой неосмотрительностью.
Потенциально опасные функции есть практически везде, только в разных пропорциях. Единственный более или менее защищенный язык — Java, но он очень сильно тормозит систему и требует много ресурсов, из-за чего его не охотно используют Web-мастера. Но даже этот язык в неуклюжих руках может превратиться в большие ворота для хакеров с надписью: "Добро пожаловать!".
Но самая большая уязвимость — неграмотный программист. Из-за нехватки специалистов в этой области программированием стали заниматься все, кому не лень. Многие самоучки даже не пытаются задуматься о безопасности, а взломщикам это только на руку.
Итак, ваша первостепенная задача — запастись парочкой хороших CGI-сканеров. Какой лучше? Ответ однозначный — ВСЕ. Даже самый дрянной сканер может найти брешь, о которой неизвестно даже самому лучшему хакеру. А главное, что по закону подлости именно она окажется доступной на сервере. Помимо этого, нужно посещать все тот же сайт www.securityfocus.com, где регулярно выкладываются описания уязвимостей различных пакетов программ для Web-сайтов.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Совет 52: Взлом смартфона
Совет 52: Взлом смартфона Современные мобильные ОС несколько ограничивают свободу владельца смартфона, например не дают ему возможность изменять системные файлы. Сбросить эти оковы помогает «взлом» смартфона и получение прав администратора — эта операция называется
1.1.7. Взлом паролей
1.1.7. Взлом паролей Когда взломщик пытается проникнуть в систему, то он чаще всего использует один из следующих способов:? если на атакуемом сервере уже есть аккаунт (пусть и гостевой), то можно попытаться поднять его права;? получить учетную запись конкретного
4.3.6. Взлом паролей
4.3.6. Взлом паролей Я еще раз хочу напомнить о недопустимости использования простых паролей не только для администратора, но и для всех пользователей системы. Если проследить за уязвимостями, которые находят в Linux-системах, то очень часто можно увидеть сплоиты, которые
14.10. Взлом паролей
14.10. Взлом паролей Очередной идиотизм, который могли придумать хакеры, — это подбор паролей. Когда взломщик не может изобрести ничего оригинального, он запускает подбор паролей. Об этом мы уже говорили в разд. 1.1.7, но тогда мы затронули эту тему только вскользь, а сейчас
14.13. Обнаружен взлом
14.13. Обнаружен взлом Если вы обнаружили, что в системе есть посторонний, а сервер содержит секретную информацию, потеря которой может оказаться фатальной для вас, я рекомендую остановить сетевой интерфейс, чтобы компьютер отключился от сети, и начать анализ системных
Глава 6 Взлом во имя любви
Глава 6 Взлом во имя любви Kyoo olxi rzr Niyovo Cohjpcx ojy dn T apopsy? [31] Ленни Ди-Чикко рассказал мне, что на этот раз, работая в авиакомпании Hughes, он завязал очень близкие отношения с одной девушкой из службы безопасности. Я должен был прийти в компанию ночью, когда эта девушка дежурила, и
12.6. Взлом
12.6. Взлом В заключение мы рассмотрим один из методов вскрытия шифров. Здесь мы попытаемся реализовать приложение, которое будет способно взломать шифр Цезаря. Оно будет основываться на одном довольно распространенном методе криптоанализа, который называется частотным
«Страшная анатомия» смарт – возможен ли взлом?
«Страшная анатомия» смарт – возможен ли взлом? Согласно объективной статистике, в 2002 году по всему миру было продано почти 2 млрд интеллектуальных карточек со встроенным микрочипом, и в ближайшие годы ожидается рост продаж подобных устройств.В чем заключается такая
Глава 3 Взлом – это настоящее искусство!
Глава 3 Взлом – это настоящее искусство! ? Что движет хакерами? Взлом: некоторые примеры? УК, или Чем может закончиться "детская игра"Цель данной главы – сформировать у читателя общее представление о методах взлома, чтобы научиться
3.2. Взлом: некоторые примеры
3.2. Взлом: некоторые примеры Можно ли говорить о защите в отрыве от методов взлома? Нет, скажут многие из читателей и, несомненно, будут правы.Чтобы постичь суть или хотя бы понять, "как они делают это", рассмотрим следующие вопросы:? какие из уязвимостей вашей системы могут
6.1. Взлом и защита LAN
6.1. Взлом и защита LAN В этом разделе мы поговорим о безопасности локальной сети в контексте возможных вариантов взлома. На конкретном примере рассмотрим, насколько уязвимой может быть система и что предпринять, чтобы превратить ПК в черный ящик для взломщика.В качестве
6.3. Безопасность беспроводных сетей. Взлом и защита WI-FI
6.3. Безопасность беспроводных сетей. Взлом и защита WI-FI Не секрет, что беспроводные сети сравнимы по скорости и гораздо более удобны, чем традиционные проводные сети. Подумайте сами: никаких надоедливых проводов, мобильность и оперативность – вы больше не привязаны к
Взлом и защита локальной сети
Взлом и защита локальной сети Автор: Олег БойцевИсточник: © компьютерная газетаВ рамках данной статьи мы поговорим о безопасности локальной сети. Особое внимание будет уделено вопросам защиты технического уровня и практическим рекомендациям по обеспечению безопасной
Взлом федералов
Взлом федералов Люди часто не думают, какие материалы их организации доступны через Интернет. Для моего еженедельного шоу на KFI Talk Radio, в Лос-Анджелесе продюсер покопался в сети и обнаружил копию руководства для получения доступа к базам данных Национального Центра
Взлом BBS
Взлом BBS Существует большое количество программ, предназначенных для создания и поддержания работы BBS. Рассмотрим самую популярную среди них – Maximus.Несанкционированно проникнуть на BBS, получить доступ к закрытым областям, уничтожить информацию – такие задачи ставит
Взлом FTN-сетей
Взлом FTN-сетей Что можно сказать о широко используемой технологии FTN? Множество лазеек для взлома. Чего стоит почтовый файл PKT, содержащий в себе незашифрованный пароль, узнать который никаких проблем не составляет! А файлы с паролями в уважаемом всеми T-Mail, хранящиеся в