|
I kirish ma’lumki, O‘zbekiston Respublikasi Prezidentining «Raqamli O‘zbekiston 2030»
|
| bet | 18/26 | | Sana | 01.02.2024 | | Hajmi | 2,07 Mb. | | #150023 |
1.10.Hacking 7 qadam tahlili
Ishning maqsadi: Hack qadam tahlili
Saytning asosiy sahifasini "Hacked by-hacker nomi" deb nomlangan oddiy sahifa bilan almashtirish mumkin. Biroq, ba'zan defeys tomonidan sayt ma'lum siyosiy shiorlarni (urushga qarshi, Islomiy va boshqalar) targ‘ib qilishga harakat qilmoqda. Defeysni san'at kabi, internetda grafit kabi narsalarni yoqtiradigan odamlar bor. Ushbu Defeys natijasida asosiy sahifada chiroyli bezatilgan rasmlar, ba'zan esa kulgili belgilar paydo bo‘ladi.
Maxfiy ma'lumotlarni o‘g‘irlash. Ko‘pincha maxfiy ma'lumotlar uni sotish uchun o‘g‘irlanadi. Misol uchun, pochta serveri bazasini nusxalash orqali hacker uni spamerlarga sotishi mumkin. Yana bir misol: bir necha yil oldin men "hacker" jurnalida bir rus hackerining mijozlar buyurtmasi bo‘yicha genetik muhandislik bo‘yicha eng yangi tadqiqot ma'lumotlarini Evropa kuchlaridan biri ilmiy institutining serveridan qanday olib tashlanganini o‘qidim.
Serverni to‘liq nazorat qilish. Bu maqsad, ehtimol, defeysdan keyin ikkinchi eng mashhur. Ko‘pincha, qo‘lga olingan server o‘z maqsadlari uchun ishlatiladi yoki boshqa hackerlarga sotiladi. To‘liq nazorat ostida administrator huquqlarini (Windows uchun) yoki superuser (*nix uchun) olishni anglatadi. Bundan tashqari, hacker kompyuterni ishlatishi mumkin, masalan, parollarni buzish yoki boshqa serverlarni skanerlash; bundan tashqari, u o‘z ehtiyojlari uchun qo‘lga olingan proksi-serverni joylashtirishi mumkin.
Qasos. Yaqin xorijdagi banklardan birining mijozi (kasbi bo‘yicha tizim ma'muri) bankirlarning nohaq xatti-harakati uchun qasos olish uchun bank saytiga kirib, bankning mahalliy tarmog‘iga kirishga muvaffaq bo‘ldi. Shunga ko‘ra, u maxfiy ma'lumotlarga, shu jumladan uning hisobiga kirishga muvaffaq bo‘ldi. Bu unga olingan kreditni darhol "to‘lash" imkoniyatini berdi, lekin u hech narsaga tegmadi, balki bank ma'muriyatini xavfsizlik tizimidagi kamchiliklar haqida yozdi.
Birinchi Hack va php-includ
Web-Hacking-bu saytlar joylashtirilgan Web-saytlar va Web-serverlarni buzish. Xato atamasi (bug) dasturda xato. Ko‘pgina Web-zaifliklar Web sahifalardagi xatolar, ya'ni noto‘g‘ri yoki xavfli dasturlarning natijasidir. Biroq, ayrim zaifliklar dasturchilarning xatolari yoki beparvoligi bilan bog‘liq emas,balki dasturlash tilining o‘ziga xos xususiyati (masalan, PHP tili).
Turli xil Web-saytlar yozilgan PHP tilida Web-sahifaning matniga ba'zi tashqi faylni kiritish imkonini beruvchi "include" () funksiyasi mavjud. Bunday qo‘shilish nafaqat PHP-da, balki boshqa dasturlash tillarida ham bo‘lishi mumkin. Bu erda inklud nomi (ingliz tilidan. include-o‘z ichiga oladi [hech narsa]). Mahalliy fayl (mahalliy faylni o‘z ichiga oladi, LFI) yahudiy (masofaviy fayl, shu jumladan, RFI).
* Mahalliy deb ataladi, unda yoqilgan fayl uchun yo‘l dasturiy ta'minot bilan o‘rnatiladi, shuning uchun fayllarni HTTP va FTP protokollari orqali yoqish mumkin emas.
* Masofadan turib bunday inklud deb ataladi, unda yo‘l aniqlanmagan, shuning uchun yoqish masofadan amalga oshirilishi mumkin.
1.Mahalliy PHP-inklud
Mahalliy inklud hacker brauzerga yuklash va serverdagi fayllarni ko‘rish imkonini beradi.
2.Uzoq PHP-inklud
Mahalliy inklud faqat fayllarni ko‘rish imkonini beradi, agar, keyin uzoq, yoki global, inklud boshqa Web-saytlari fayllarni yuklab olish uchun imkon beradi.
3.Saytlararo skript
Intersite scripting (Cross-Site Scripting, XSS) - bu interaktiv axborot tizimlarining bunday zaifligi bo‘lib, unda server tomonidan yaratilgan sahifalarga ba'zi sabablarga ko‘ra maxsus skriptlar kiradi. Saytlararo skriptning qisqartmasi XSS emas, balki CSS-ning belgilaridir, chunki CSS qisqartmasi allaqachon sayt kodini yozishda ishlatiladigan kaskadli uslublar jadvallari (Cascade Style Sheets) bilan band. XSS qisqartmasidagi "X" harfi kesishgan yoki xochni (ingliz tilida
xochda) ifodalaydi, shuning uchun siz bunday qisqarishning qaerdan kelganini tushunasiz. XSS turi xavfsizlik kamomadi skript foydalanuvchi olingan ma'lumotlarni filtrlaydigan emas hollarda skript natijasida tasodifiy HTML / JavaScript / VBScript kodi bir Insert hisoblanadi. Ushbu turdagi hujumlar qiziqarli, chunki serverdan zararli skript mijozning kompyuterida amalga oshiriladi va jabrlanuvchi uni chaqiradi. Ikki xil saytlararo skriptlar mavjud: passiv va faol. Tarixiy jihatdan dasturchilar va ma'murlar ushbu turdagi hujumlarni kam deb hisoblashadi, shuning uchun ko‘plab mahsulotlar endi saytlararo skriptlardan aziyat chekmoqda. Hackerlar har doim XSS-dan foydalanmaydi, lekin aslida bu juda xavfli zaiflik turi.
XSS ilovalari
Ko‘pincha, saytlararo skript cookie-fayllarni o‘g‘irlash va sessiyalarni to‘xtatish uchun ishlatiladi. Cookie nima ("Cookie" o‘qiladi)? Bu sayt mijoz kompyuterda yaratadi joriy foydalanuvchi haqida ma'lumotga ega bo‘lgan fayl. Bu cookie - fayllar tufayli sayt sizni "o‘rganadi" va har bir sahifani ko‘rganingizda parolni qayta kiritishga majbur qilmaydi. Agar saytlararo skript orqali hacker administrator cookie-faylini sudrab yuborsa, uni kompyuteringizdagi tegishli papkaga qo‘yib, Login va parolni kiritmasdan administrator sifatida saytga kira oladi. Biroq, "Hacked by V. Pupkin"yozuvi bilan ochilgan oyna kabi zararli hazil ham mumkin. XSSNI qo‘llashning boshqa maqsadlari ham mavjud. Misol uchun, foydalanuvchilarning ommaviy virusini (brauzerda zaiflik orqali) yuqtirish. Hacker JavaScript yoki VBScript ustida troyan yoki qurtni yozsa, ommaviy infektsiya ham amalga oshirilishi mumkin. Keyin zararli kodni zaif Web-saytning har qanday sahifasiga qo‘yish mumkin. Shunga ko‘ra, ushbu sahifaga kiradigan har bir kishi yuqtiriladi. XSS qurtlari mashhur saytlarda XSS zaifliklari orqali keng tarqalgan holatlar mavjud. Bundan tashqari, o‘zaro faoliyat sayt skriptlari qurbonning brauzerini Real vaqtda to‘liq nazorat qilish uchun ishlatilishi mumkin.
|
| |
