Социальная инженерия

Здравствуйте, читатели блога Сайт с нуля. Сегодня немножко расскажем об социальной инженерии и взломе данных, чтобы вы были в курсе и могли вовремя защитить себя.

Социальная инженерия — это атака не на сервер и не на машину клиента, а на мозг клиента. Грубо говоря это можно назвать разводом. Если ты хочешь получить нужную информацию, например пароль, можно поступить несколькими способами:

  • смотрим форму восстановления пароля, находим секретный вопрос и пытаемся узнать ответ на этот вопрос у нашей жертвы в каком либо чате или личных сообщениях;
  • отправляем письмо жертве с просьбой прислать в письме логин/ пароль/ новый пароль / новый вопрос и т.д.

Письмо должно быть оформлено в стиле сервиса,
которому может поверить пользователь, таким вот образом,
имея контакт с жертвой, можно просто всё узнать и идти взламывать незаморачиваясь на поиск информации или привлечения программных средств.

СИ + Троян

Троян или троянский конь — это шпионская программа которая может отправить пароли жертвы вам на почту, запомнить все нажатые клавиши, дать вам доступ к харду жертвы и тд. Для того чтобы подсунуть жертве трой мы используем СИ, говорим что это фотка(предварительно склеив троян с картинкой), последний супер мега патч на винду и т.д. Здесь всё зависит только от твоей фантазии. Чтобы троян не палился антивирусом его нужно закриптовать, криптор надо использовать приватный, так как пабликовые палятся антивирусом. Один из наиболее мощных троянов это Pinch.

Брутфорс
Брутфорс — самый грубый метод взлома, попросту тупой перебор.
То есть, программа, с помощью словаря, перебирает всевозможные комбинации и когда найдёт подходящую, сообщит вам об этом и покажет найденное, таким образом можно перебирать как месяц так и год, если у вас есть хороший словарь, то процент удачи увеличивается, если вы знаете из чего состоит пароль к примеру, только буквы или только цифры, перебора понадобится меньше, но я лично считаю это самый муторный способ, если у вас есть много времени и безлимитный интернет + отличный словарь (искать в гугле или купить) ставим брут и ждём неизвестно сколько, ах да, перебор это тоже что и спам атака, служба безопасности сайта обязательно заметит эту атаку и если вы не скрыли себя в сети, то ваш айпи будет заблокирован и внесён в спам базу.

XSS атака
XSS атака – это атака на уязвимость, которая существует на сервере, позволяющая внедрить в генерируемую сервером HTML-страницу некий произвольный код, в котором может быть вообще все что угодно и передавать этот код в качестве значения переменной, фильтрация по которой не работает, то есть сервер не проверяет данную переменную на наличие в ней запрещенных знаков –, <, >, ’, ”. Значение данной переменной передается от генерируемой HTML-страницы на сервер в скрипт, ее вызвавший путем отправки запроса.

А далее начинается самое интересное для взломщика. РНР-скрипт в ответ на данный запрос генерирует HTML-страницу, в которой отображаются значения требующихся взломщику переменных,
и отправляет данную страницу на браузер взломщика.

То есть, говоря проще, XSS атака – это атака с помощью уязвимостей на сервере, на компьютеры клиентов.

XSS атака чаще всего используется для кражи Cookies (или куки, как их произносят по-русски). В них хранится информация о сессии пребывания пользователя на сайтах, что и бывает нужным взломщикам для перехвата управления личными данными пользователя на сайте в пределах, пока сессия не будет закрыта сервером, на котором размещен сайт. Помимо этого в Cookies хранится зашифрованный пароль, под которым пользователь входит на данный сайт, и при наличии необходимых утилит и желания взломщикам не доставляет особого труда расшифровать данный пароль. А чем это чревато, думаю, всем понятно.

Другие возможности XSS атак:

  • возможно при открытии страницы вызвать открытие большого количества ненужных пользователю окон.
  • возможна вообще переадресация на другой сайт (например, на сайт конкурента).
  • существует возможность загрузки на компьютер пользователя скрипта с произвольным кодом (даже вредоносного) путем внедрения ссылки на исполняемый скрипт со стороннего сервера.
  • зачастую происходит кража личной информации с компьютера пользователя, помимо Cookies в качестве объекта кражи выступает информация о посещенных сайтах, о версии браузера и операционной системе, установленной на компьютере пользователя, да к тому же еще и плюсуется IP-адрес компьютера пользователя.
  • xss атака может быть проведена не только через сайт, но и через уязвимости в используемом программном обеспечении (в частности, через браузеры).

Поэтому рекомендуем почаще обновлять используемое программное обеспечение. Также возможно проведение XSS атак через использование SQL-кода.
SQL injection (внедрение SQL кода)
SQL injection (SQL-инъекция или внедрение SQL-кода) — это один из самых опасных способов взлома сайта. Взлом с помощью SQL injection основан на внедрении в запрос к базе данных произвольного SQL-кода. Самой распространенной причиной возникновения атаки типа SQL injection является некорректная обработка входных данных, передаваемых в SQL-запросы.

В зависимости от типа используемой базы данных и от степени «везения», злоумышленник может получить содержимое любых таблиц, удалить, изменить или добавить данные, а в ряде случаев не только прочитать, но и модифицировать локальные файлы, хранящиеся на атакуемом сервере или выполнить произвольную команду. По сути дела, если на сайте есть возможность выполнить атаку типа SQL injection, то с базой данных сайта можно сделать все, что угодно.

Например, воровство паролей и получение доступа ко всему сайту, либо подмена номеров кредитных карточек, получение услуг сайта без совершения фактической оплаты, и сотни других явных или не явных действий. О некоторых таких действиях вы можете даже и не подозревать. Злоумышленник может грабить вас понемногу, а может просто обрушить ваш бизнес в самый не подходящий момент. Если XSS уязвимость это насморк, то SQL injection- смертельное заболевание и защищаться от него нужно всеми доступными способами.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

  bigmir)net TOP 100  - .  E-mail: sitesnulyaru@gmail.com