نصائح مفيدة

كيفية اختراق موقع على شبكة الإنترنت: جوجل Dorki أو جوجل الثقوب

Pin
Send
Share
Send
Send


لقد كتبنا مرارًا وتكرارًا أن عدد المواقع التي تتعرض لهجمات مجهولة (غير مستهدفة) أكبر بعدة مرات من عدد ضحايا الهجمات المستهدفة. وفقًا لإحصائياتنا ، يتم مهاجمة المتسللين عمداً كل موقع رابع فقط ، أما المواقع المتبقية التي تأتي إلينا للعلاج والحماية فهي نتيجة لاختراق كبير وعدوى.

إن المعاناة نتيجة لهجوم غير مستهدف أمر بسيط للغاية: يكفي أن نلاحظ أو نتجاهل الثغرة الأمنية الحرجة في CMS أو القوالب أو المكونات الإضافية لموقعك. أي فجوة مفتوحة هي فرصة عظيمة لتجد نفسك من بين "رفاقك الذين يعيشون في مصيبة" وتكتسب موطئ قدم قوي في اختيار المتسللين للمرشحين للقرصنة. وفي حالة حدوث هجوم "ناجح" ، استعد لحقيقة أنه سيتم استخدام موقعك بنشاط في إرسال الرسائل غير المرغوب فيها أو إصابة المستخدمين أو استضافة صفحات الخداع أو الهجمات على مواقع أخرى أو كسب المال من الإعلانات.

العثور على مواقع (الآلاف منها) مع معلمات ضعيفة مماثلة ليست صعبة بالنسبة للمتسلل. يمكن دائمًا الوصول إلى المعلومات المتعلقة بالمواقع المعرضة للخطر من خلال قاعدة بيانات Google للقرصنة (GHD) - قاعدة بيانات تحتوي على "dorks" - استعلامات البحث بلغة Google الوصفية ، مما يتيح لك العثور على مواقع عرضة لهجمات معينة من قِبل بعض الخصائص المشابهة. على سبيل المثال ، يمكن للمتسللين العثور على جميع المواقع المفهرسة في محرك البحث باستخدام مكون إضافي ضعيف مثبت أو مواقع تكشف عن محتويات الدلائل ، أي السماح لك بعرض وتنزيل الملفات منها (مع كلمات المرور والإعدادات ، وما إلى ذلك)

إذا كان موقعك يحتوي على رابط ضعيف وكان مشروع الويب عرضة لنوع معين من الهجمات ، فسيتم اختراقك عاجلاً أم آجلاً. يجب أن يفهم هذا من قبل كل مشرفي المواقع ومالك الموقع.

هذا الأخير ، كقاعدة عامة ، لا يعتقد أن العثور على موقع ضعيف وتقطيعه يمكن القيام به في بضع دقائق فقط ، دون أي أدوات قرصنة متخصصة في متناول اليد. لذلك ، كمثال على ذلك ، سنقدم مثالًا بسيطًا على كيفية استخدام المهاجمين لإيجاد مشاريع ويب لاختراقها ، باستخدام إمكانات Google ، لم يهتم أصحابها بحمايتهم في الوقت المناسب أو ارتكبوا أخطاء عند إعداد الاستضافة.

على سبيل المثال ، ضع في اعتبارك "dork" الذي ظهر في Google Hacking Database في 1 سبتمبر 2015. يسمح لك بالعثور على المواقع ذات الدلائل المفتوحة (في هذه الدلائل ، لا يمكنك فقط رؤية قائمة ملفات الخدمة ، ولكن أيضًا عرض محتوياتها ، على سبيل المثال ، البحث عن كلمات المرور).

نرسل هذا الطلب إلى محرك بحث Google ونرى قائمة بالمواقع التي تحتوي على قوائم دليل مفتوحة - هؤلاء هم الضحايا المحتملون للمتسلل. نختار عشوائيًا من المواقع التي تم العثور عليها ، على سبيل المثال ، آخرها في القائمة.

نقر على الرابط - يتم فتح قائمة بالأدلة ، ويمكنك "السير" عبرها كما هو الحال في Explorer ، ونتيجة للتصفح ، يمكنك ملاحظة ملف serverconfig.xml ، والذي يخزن في المجال العام تسجيلات الدخول وكلمات المرور من قاعدة البيانات. نظرًا لأن الحسابات تتزامن أحيانًا مع FTP أو SSH ، وبهذه الطريقة يمكن للمتسلل الوصول غير المصرح به إلى قاعدة البيانات فقط ، ولكن إلى الخادم بأكمله.

استغرقت العملية برمتها الموضحة أعلاه حوالي دقيقتين ، ولكن بالنسبة للمتسلل في "ظروف القتال" باستخدام الحلول الآلية ، فإن هذا يستغرق وقتًا أقل ، وعادة ما يصل مقدار الموارد المعرضة للخطر إلى الآلاف.

إنه لأمر مخز أن نكون من بين أولئك الذين تحولوا إلى فريسة سهلة في أيدي أحد المتسللين ، على الرغم من أنه من السهل تجنب هذا الموقف. فكر في حماية مشاريع الويب الخاصة بك مقدمًا. إذا كان موقعك سيكون أكثر أمانًا بقليل من المتوسط ​​(مع وجود CMS خارج المربع والإعدادات الافتراضية) ، فستتجاوزك مشكلة القرصنة غير المناسبة.

لماذا هذا ممكن؟

في كثير من الأحيان ، حتى كثير من مشرفي المواقع ، حتى ينسوا / ينسوا حقيقة أنه بمجرد ظهور المورد في مساحة الإنترنت ، ابحث عن الروبوتات بإذن وبدونه سينقله لأعلى ولأسفل. وصدقوني ، قلة من العناكب على شبكة الإنترنت تتطلع إلى التوجيهات المنصوص عليها في ملفات robots.txt أو htaccess. هذان هما أدوات تحسين SEO خاصة ، ولكن من وجهة نظر أمن الموقع أو المدونة ، فإنهم (صدقوني!) يلعبون نكتة سيئة للغاية مع المسؤول ، الذي يتعين عليه أن يوازن بين تطوير SEO المختص والحماية الموثوقة.

ما الذي يحققه موقع القرصنة؟

يمكن أن يضر القرصنة بأي أعمال متنامية ، سواء كانت صغيرة أو كبيرة. باستخدام طرق القرصنة ، يمكنك سرقة البيانات السرية لأي شركة أو التحكم الكامل في جهاز الكمبيوتر الخاص بك أو حتى إتلاف موقعك في أي وقت.

هناك مدارس تدريب خاصة تم إنشاؤها لضمان أمن المعلومات الكامل لمختلف الشركات ولمنع الهجمات عليها. إجراء دورات عن القرصنة الأخلاقية. بطريقة أو بأخرى ، يعلمون القرصنة.

جميع أساليب القرصنة الأخلاقية التي يتم تدريسها في مثل هذه المؤسسات مهمة جدًا لأي شركة. أنها تساعد في منع سرقة معلوماتها السرية. لضمان أمان أي نظام ، تحتاج إلى معرفة كيفية اختراق موقع ما أو الطرق التي يمكن أن يستخدمها المتسللون لاختراق موقع. لذلك ، دعونا نتعرف على طرق اختراق الموقع.

كيفية اختراق موقع - استكشاف جوجل Dorki.

Google Dorki - استعلامات مختارة خصيصًا يمكنك من خلالها العثور على ملفات أو صفحات غير مرغوب فيها ، ولكن لا يزال يتم فتحها من قبل مالكي الموقع للعرض العام. هذه فرق غريبة (في كثير من الأحيان - مجموعات متعددة من الطلبات ، مرتبة بشكل جيد) والتي ستقود المفرقع الفضولي إلى المكان المحدد الذي يثير اهتمامه على المواقع. ومع ذلك ، فإن قائمة الأوامر إلى مستخدم غير متحيز لن يقول أي شيء. وبالنسبة للمتسلل ، فإن أهم شيء عند استكشاف Dorkov سيكون:

  • الكشف عن البرامج الضعيفة
  • ابحث عن الملفات والدلائل التي يجب إخفاؤها عن أعين المستخدم العادي
  • استغلال نقاط الضعف في الصفحات ورسائل الخطأ وغيرها من عيوب النظام

دوس أو هجوم DDOS: وزعت الحرمان من الخدمة

يعد هجوم DOS أو DDOS أحد أقوى هجمات المتسللين عندما يقومون بإيقاف تشغيل أي نظام عن طريق إرسال قائمة انتظار طلب خادم مع عدد الطلبات المزيفة. يستخدم هجوم DDOS العديد من أنظمة الهجوم. تقوم العديد من أجهزة الكمبيوتر بتشغيل هجمات DOS في نفس الوقت على الخادم الهدف. لأن هجوم DOS يمتد على أجهزة كمبيوتر متعددة ، يطلق عليه هجوم رفض الخدمة الموزع.

قراصنة استخدام شبكة غيبوبة لشن هجمات DDOS. شبكة الزومبي هي جميع أجهزة الكمبيوتر المصابة التي قام المتسللون بتثبيت أدوات هجوم DOS عليها بهدوء. كلما زاد عدد المشاركين في شبكة الزومبي ، زاد الهجوم. أي أنه إذا بدأ موظفو الأمن السيبراني ببساطة في حظر عناوين IP الخاصة بالمستخدمين ، فلن يتحقق أي شيء جيد.

هناك العديد من الأدوات المتاحة على الإنترنت والتي يمكن تنزيلها على الخادم مجانًا للقيام بهجوم ، ويعمل عدد قليل فقط من هذه الأدوات على نظام zombie.

كيفية اختراق موقع - من خلال نقاط الضعف البرمجيات

باستخدام Google ، يمكنك بسهولة تحديد ملف تعريف مورد الويب: البرامج التي يعمل عليها الخادم ، ونوع نظام التشغيل ، إلخ. يمكن العثور على الكثير من المعلومات حول هذا الأمر على Netcraft.com. ولكن عندما يصبح Dorki هو الأكثر شعبية ، فإنه عندما يعرف المتسلل كيف يعمل الخادم بالضبط ، والأخطاء المعروفة في البرنامج موجودة بالفعل.

غالبًا ما يشغل البرنامج خصائص فريدة مثل بصمات الأصابع. من الصعب أن تشرح لشخص جاهل ؛ للتشخيص الدقيق ، هناك حاجة إلى القليل من الخبرة بالفعل. ومع ذلك ، في بعض الأحيان يعطي البرنامج نفسه بعيدا. لذلك ، لاحظ مالكي المواقع الذين يستخدمون المحركات والمواضيع الشائعة اسمها في السطر "بدعم من ..."أو"يدير الموقع ..."في بعض الأحيان حتى رقم الإصدار لا تنسى الإشارة. يتم تسجيل هذه الإدخالات على الصفحات تلقائيًا عند استخدام السمات الشائعة أو عند تثبيت البرنامج على الخادم بشكل افتراضي. على الرغم من أنه بالنسبة للمتسلل المتمرس ، فإن اكتشاف إصدار البرنامج ونوعه ليس بالأمر الصعب في بعض الأحيان ، لكني سأشعّ مرة أخرى بهذه المعلومات التي ستساعد على اختراق الموقع ، وأعتقد أنه لا يستحق ذلك. علاوة على ذلك ، يتم حذف هذه الخطوط بسرعة كبيرة ودون أي عواقب على الموقع. خاصة إذا قمت بتغيير مظهر الموضوع أو قمت بتطويره. من السهل تجاوز رمز الصفحات والقوالب للبحث عن هذه الخطوط ، بما في ذلك التعليقات وعلامات التعريف. لا تنس التحقق في كل مرة بعد تحديث الموضوع نفسه لمعرفة ما إذا كان هذا النقش يظهر مرة أخرى.

غالبًا ما تكشف أسرار الموقع عن محتويات العلامة. على الرغم من أن هذا السجل لا يحتوي على علامات تشير بوضوح إلى المشغل ، من حيث المبدأ intitle: سينتج نصًا خاصًا بالبرامج مع حواجب. لذلك إذا كنت مالك الموقع - يتم التحديث كثيرًا ، فلا يتم إصدار التحديثات دون جدوى.

كيفية اختراق موقع - نحن نبحث عن الملفات والدلائل المفتوحة.

حسنا ، هذا هو طعام حقيقي للقراصنة. بعد الوصول إلى هنا ، لن يكون اختراق الموقع أمرًا صعبًا. الدلائل غير المحمية - ما يمكن أن يكون أسهل؟ والمنطق هنا بسيط.

في كل حالة ، عندما يتلقى خادم الويب طلبًا يحتوي على اسم دليل (في كثير من الأحيان اسم ملف معين) ، سيبحث الخادم عن الافتراضي مؤشر ملف - معروف لجميع أصحاب الموارد يسمى index.html و أو بعض مجموعة من الملفات القياسية ، اعتمادا على تكوين الخادم. ولكن إذا لم يعثر عليه (لا أعرف لماذا نسيت تضمينه في الدليل) ، فسوف يعود الخادم استجابةً للطلب ... ماذا؟ هذا صحيح! يعرض قائمة بجميع الدلائل والملفات ، والتي ستكون تفاعلية أيضًا.

تستخدم الخوادم الشروط القياسية ، وبالتالي يتم اكتشاف هذه الثقوب بسهولة. إليك كيف ، على سبيل المثال ، يمكنك جلب نوع معين من الملفات من الشبكة ، والذي قد يحتوي على معلومات مهمة حول الموقع (يتم تخزينه في ملفات نصية مألوفة مثل النص, دوكإكس, قوات الدفاع الشعبي) ، مع تجاوز المحتوى الرئيسي والمرئي للجميع وبالتالي اختراق محتوى غير مهم مثل الصفحات في التنسيق أتش تي أم أل, هتم، رمز فب الخ:

لإجراء بحث أكثر تفصيلًا ، من أجل اختراق موقع مستخدم معين ، يكفي أن يقوم المتسلل بتكملة الأمر بطلب مثل

مع الانتباه إلى هذه اللحظة ، ستندهش من عدد المواقع التي تتيح الوصول إلى هذه البيانات القيمة ، وهي ملفات تحتوي في بعض الأحيان على بيانات التسجيل.

في معظم الأحيان ، يتم استخدام هذه الاستعلامات للبحث عن شيء مجاني. لذلك ، عادةً ما تتضمن استعلامات بحث الدليل "المخفية" الأكثر شيوعًا وبساطة:

يتم إصدار طلبات مماثلة بواسطة محرك الخادم. يبقى:

  • التحقق من نقاط الضعف الجديدة على https://www.cvedetails.com/ لإصدار أباتشي
  • التقاط وإعداد metasplit

لا تخترق ، لذا على الأقل تسرق ...

بالمناسبة ، تعمل مثل هذه الطلبات على ما يرام حتى يومنا هذا ، إذا كنت ستقوم بتنزيل شيء ما على جهاز الكمبيوتر الخاص بك ، وتجاوز بعض العقبات التي وضعتها إدارة الموقع: التسجيل ، قائمة انتظار التنزيل ، انتظار عرض الإعلانات ، إلخ. بغض النظر عن ما تبحث عنه - الموسيقى أو صورة Windows: قم بطلبك الخاص (غيغابايت) MP3 أو الإصدارات "المحطمة" أو "المحمية بكلمة مرور" لجميع الأنظمة):

ومع ذلك ، سيتعين على "المتسلل" نفسه أن يكون في حالة تأهب ، لأن الأحمال نفسها تتضمن أحيانًا روابط إلى موقع يتحول إلى أنه طعم عادي مثل الجبن في مصيدة فئران. ولكن على أي حال ، حتى إذا أغلق الموقع الوصول إلى الدلائل الحيوية ، ومع ذلك فإن الدلائل التي تحتوي على ملفات الوسائط مفتوحة للوصول ، فإن المتسلل قادر بالفعل على اختراق الموقع ، وتقديم الصورة العامة لكيفية تنظيم الموقع ، وما هي الملفات المرتبطة بما ، وما إلى ذلك. لكن حسنًا ... إليك ما قد يبدو عليه المسار إلى مجلد مسؤول الموقع:

عادة ما يتم حل مشاكل مماثلة بكل بساطة. فقط اجعله قاعدة منفصلة لديك في كل دليل وتحت الدليل index.html و. فليكن فارغًا ، إذا كان الخادم هو الوحيد الذي سيعيده. عادةً ما أقوم بملء مثل هذا الملف برابط بسيط إلى الصفحة الرئيسية للموقع.

كيفية اختراق موقع - البرامج النصية.

بعض الملفات تندرج تحت النظرة العامة عن طريق الخطأ. يُسمح لبعض البرامج النصية بتسجيل الأحداث. لذلك ، إذا كنت مالكًا سعيدًا للبرنامج الذي يتيح ، على سبيل المثال ، التحقق من التحميل على الموقع عبر الإنترنت ، فتأكد من تخزين الصفحات التي تحتوي على التقارير في مجلدات محمية بكلمة مرور.

ينطبق الأمر نفسه على صفحات الخطأ التي يتم إرجاعها بواسطة الخادم إلى متصفح الهاكرز. أنه يحتوي على الكثير من المعلومات المفيدة للشخص الذي يحاول اختراق موقع. لذلك ، في حالة حدوث خطأ ما ، يقدم موقع الويب رمزًا (كبيرًا في بعض الأحيان) ، تقوم Google بفهرسته بعناية ، لتكشف عن أسرار للمراقبين الخارجيين. يستخدم مطورو الويب ميزة سيئة السمعة phpinfo من أجل معرفة ما هو الخطأ في ترميز الموقع. يمكن لهذه الميزة أن تخبر المحترفين كثيرًا على جانبي الحاجز. للاشارة فقط ، ألق نظرة على ميزات ميزة تصحيح الأخطاء. تحقق مع جوجل:

لكن العديد من أنواع البرامج تعرض سيناريو رسالة قياسي (وبالتالي يسهل العثور عليه) إذا واجهت أي خطأ أثناء التشغيل. انظر إلى نتائج البحث:

يمكن أن تحمل رسائل الخطأ هذه معلومات حول قاعدة البيانات والأنماط وأسماء المستخدمين ... بشكل عام ، أساس حقن SQL. يمكن لأنظمة البرمجة النصية مثل PHP و ASP أن تنشئ أخطاء يمكنك من خلالها معرفة بنية المجلد والمجلد للموقع وأسماء ملفات البرامج النصية وشيء آخر مفيد وكافي لاقتحام الموقع. في بعض الأحيان ، يتم تشغيل وظيفة مفيدة في Google أيضًا بين أيدي المهاجمين ، الذي يقوم بتخزين صفحات الموقع مؤقتًا ويعرض العيوب التي اكتشفها مسؤول النظام (والتي تم فهرستها بالفعل بواسطة Google) في أمان.

كيفية اختراق موقع - استنتاجات

الأبواب تعلمنا أهم شيء: إذا كانت بعض المعلومات غير مفهومة لك ولا يمكن الوصول إليها بسبب وجود فجوات في معرفتك ، فهذا يمثل تهديدًا محتملاً للموقع. حتى إذا لم تحتوي dorks على أي تفاصيل ، فسوف يخبرون المتسلل من أين يبدأ من أجل اختراق الموقع. جرب هذا الاستعلام:

وسترى جوانب موارد الويب غير قابلة للوصول إلى الانتقال من المواقع العامة. إذا كنت المسؤول عن مورد مؤسسة بلدية أو تابعة للدولة ، فلا تدع الأمر سهلًا في توزيع الوثائق التي يمكن العثور عليها بسهولة باستخدام الاستعلام:

كيفية اختراق موقع - ألق نظرة على أدوات القرصنة الآلية

  • العمل مع dorks في الوضع اليدوي هو مصير هجوم نقطة على موقع محدد ، حيث يقوم أحد المتسللين بطحن الأسنان لفترة طويلة. للمبتدئين وأولئك الذين يحاولون استخدام أيديهم ، هناك أدوات للبحث تلقائيًا عن نقاط الضعف باستخدام Google. واحد منهم موجود في جوجل نفسها. هو ، الذي لا يزال لا يعرف ، يعرف باسم GoogleHacks:

إذا قررت كل شيء لنفسك ، ابدأ من هناك. هذه هي الأساسيات.

كيفية استخدام أداة LOIC Free لاختراق موقع باستخدام هجمات DOS / DDOS:

LOIC (Low Orbit Ion Canon): تحتاج إلى تنزيل LOIC من مصدر مفتوح مجاني من هنا: http://sourceforge.net/projects/loic/. بمجرد تنزيله ، قم باستخراج الملفات وحفظها على سطح المكتب الخاص بك.

الآن ، في الخطوة الثانية ، افتح البرنامج وستحصل على شاشة مشابهة لما يلي:

أداة إطلاق DDoS: LOIC مجانًا

هنا ، على الشاشة ، ابحث عن النص مع النقش "حدد هدفًا واملأه". الآن اكتب أو انسخ / لصق رابط موقع الويب في المربع. إذا كنت ترغب في شن هجوم على عنوان IP ، فضع عنوان IP في الحقل وانقر فوق زر القفل بجانب حقل النص المملوء.

في المرحلة الثالثة ، فقط تخطي الزر الذي يقول "ima chargin mah lazer" وانتقل إلى القسم الثالث ، أي إلى معلمات الهجوم. اترك الخيارات الأخرى ، مثل المهلة ، والموقع الفرعي ، و http ، وشريط السرعة دون تغيير. قم فقط بتغيير tcp / udp وإدخال بيانات عشوائية.

في نوع المنفذ ، حدد المنفذ الذي ترغب في شن الهجوم عليه ، واختر UDP في حقل الطريقة. إذا كنت ترغب في مهاجمة الموقع ، فاترك المنفذ كما هو ، ولكن قم بتغييره لخوادم minecraft. عادةً ما يكون رقم المنفذ الخاص بـ minecraft هو 25565. وأيضًا ، قم بإلغاء تحديد خانة الاختيار "انتظار إجابة" واترك الخيوط في المستوى 10. إذا كان لدى نظام الكمبيوتر الخاص بك تكوين جيد ، فيمكنك أيضًا جعله يساوي 20 ، ولكن لا يتجاوز 20. على النحو التالي:

تكوين LOIC الحرة

أخيرًا ، الشيء الوحيد المطلوب هو الضغط على زر IMMA CHARGIN MAH LAZER. بعد النقر ، سترى العمود المطلوب في حالة الهجوم ، والتي يجب أن تملأ بأعداد عديدة وأكثر.

باستخدام SQL Injection Attack لاختراق موقع في 2019:

طريقة أخرى ناجحة اختراق الموقع في عام 2018 هو هجوم حقن SQL. في هذه الطريقة ، يمكننا إدراج عبارات SQL الضارة في السجل المقدم للتنفيذ. لإكمال حقن SQL بنجاح ، تحتاج إلى معرفة الثغرة الأمنية في برنامج التطبيق. يمكن للقراصنة استغلال نقاط الضعف في هذه الأنظمة. غالبًا ما تسمى حقن SQL لاختراق موقع ويب بأنه ناقل موقع ويب ، ولكن يمكن استخدامه لمهاجمة أي قاعدة بيانات SQL.

يمكن إجراء معظم هجمات حقن SQL على قاعدة بيانات SQL في العديد من مواقع ASP.

خطوات اختراق موقع ويب في 2019 باستخدام حقن SQL:

  1. تصفح Google وأدخل "admin / login.asp" في محرك البحث. استخدم خيار البحث في بلدنا ،

ابحث عن نموذج لدخول الموقع

  • Найдите какой-нибудь веб-сайт, на котором есть страница «Adminlogin.asp», как показано на рисунке выше,
  • Теперь попробуйте ввести имя пользователя какالمشرفи пароль как 1’or’1 ‘=’ 1, как показано на рисунке ниже:

    Форма для авторизации

    Вот и все, теперь вы вошли в админку.

    Если указанный выше пароль не работает, вы можете использовать приведенный ниже список паролей для атак SQL-инъекций. Однако стоит помнить, что данный пример взят с иностранного источника и пароли могут отличаться. Тут наверное все-таки банальный подбор. У нас в РФ, скорее всего самые популярные пароли другие. Я писал про это в одной из статей.

    Список паролей для зарубежных ресурсов:

    Что такое XSS?

    تعد هجمات XSS ، والتي تُعرف أيضًا باسم هجمات البرمجة النصية عبر المواقع ، واحدة من الثغرات الموجودة في تطبيقات الويب التي توفر للمتسللين استخدام البرمجة النصية من جانب العميل ، وغالبًا ما تكون جافا سكريبت ، على صفحات الويب التي يزورها المستخدمون. عندما يزور الزائرون رابطًا ضارًا ، يتم تشغيل جافا سكريبت. بمجرد أن يستغل المتسللون مشكلة عدم حصانة XSS ، يمكنهم بسهولة شن هجمات تصيد أو هجمات طروادة أو دودة أو حتى سرقة الحسابات.

    على سبيل المثال ، افترض أن أحد المهاجمين اكتشف ثغرة أمنية في XSS في Gmail وقام أيضًا بحقن برنامجًا ضارًا فيها. في كل مرة يزور فيها الموقع ، يتم تنفيذ برنامج نصي ضار وتعيد التعليمات البرمجية توجيه المستخدم إلى صفحة Gmail وهمية أو حتى التقاط ملفات تعريف الارتباط. بعد أن يسرق القراصنة ملفات تعريف الارتباط ، يمكنه إما تسجيل الدخول إلى حساب Gmail للآخرين ، أو حتى تغيير كلمة المرور.

    كيفية تنفيذ هجمات XSS على موقع الويب في 2019:

    الخطوة 1: البحث عن موقع عرضة للخطر. لبدء هجوم XSS ، يمكن للمتسللين استخدام Google dork للعثور على موقع ويب ضعيف ، على سبيل المثال: استخدام dork "؟ البحث = "أو" .php؟ س = ". سيعرض هذا الوضع المعتوه بعض المواقع المحددة في نتائج بحث Google التي يمكنك استخدامها للاختراق.

    Google dork هو موظف يكشف عن معلومات سرية خاصة بالشركة على الإنترنت. كلمة "معتوه" هي عامية لخداع أو شخص غير كفء.

    تعرض Google dorks معلومات الشركة للخطر لأنها تنشئ عن غير قصد أبوابًا سوداء تسمح للمهاجمين بدخول الشبكة دون إذن و / أو الوصول إلى المعلومات غير المصرح بها. للعثور على معلومات حساسة ، يستخدم المهاجمون سلاسل بحث متقدمة تسمى استعلامات Google dork.

    يتم إنشاء استعلامات Google dork باستخدام مشغلات البحث المتقدمة التي يستخدمها مسؤولو تقنية المعلومات والباحثون وغيرهم في عملهم اليومي لتضييق نطاق نتائج البحث. تتضمن عوامل تشغيل البحث الشائعة الاستخدام:

    site: يقيد نتائج الاستعلام إلى موقع أو مجال معين.
    نوع الملف: حدود نتائج الاستعلام لملفات PDF أو أنواع ملفات محددة أخرى.

    intext: يقيد النتائج لإدخالات المحتوى التي تحتوي على كلمات أو عبارات محددة.

    نظرًا لأن مشغلي البحث يمكن أن يرتبطوا ببعضهم البعض ، يمكن للمهاجمين استخدام الاستعلامات المعقدة للبحث عن المعلومات التي تم نشرها على الإنترنت ولكن لم يكن من المفترض البحث فيها. أحيانًا ما يطلق على Google dorking أو Google hacking استخدام مشغلي البحث المتقدم للعثور على معلومات ليس من السهل الوصول إليها من خلال بحث بسيط.

    الخطوة 2: تحقق من الضعف:

    نحتاج الآن إلى العثور على حقل الإدخال الذي يمكننا من خلاله تضمين برنامج نصي ضار ، على سبيل المثال ، حقل البحث أو اسم المستخدم أو حقل كلمة المرور أو أي حقل آخر ذي صلة.

    البحث في الموقع

    الآن اختبار مشكلة عدم الحصانة عن طريق وضع بعض الخطوط في الحقل ، على سبيل المثال ، أدخل "BTS" في حقل الإدخال. سيتم عرض النتائج على النحو التالي:

    النتائج في القائمة المنسدلة

    الآن انقر بزر الماوس الأيمن على الصفحة وعرض الكود المصدر للصفحة. ابحث عن السطر الذي أدخلته ، وهذا هو "BTS". ضع علامة أيضًا على المكان الذي توجد به بيانات الإدخال.

    الآن نحن بحاجة لمعرفة أن الخادم يعقم مدخلاتنا أم لا؟ الصق العلامة للتحقق من ذلك.

    خدمات المتسللين المحترفين في روسيا.

    - قاعدة كبيرة من العملاء العادية ،
    - كل شيء سري تمامًا ،
    - ميزة رائعة وضمان 100 ٪ ،
    - تحطيم أي صفحات في الشبكات الاجتماعية ، فكونتاكتي ، أودنوكلاسنيكي ، الفيسبوك ، تويتر ، وأكثر من ذلك بكثير.
    - مجرد كسر .ICQ
    - Instagram
    - فايبر
    - برقية
    - واتس اب
    - سكايب
    - مواقع التعارف
    - القرصنة البريد.
    - @ mail.ru • @ inbox.ru • @ list.ru • @ bk.ru • @ yandex.ru • @ rambler.ru • @ gmail.ru ، إلخ

    - اكتشفنا اسم المستخدم وكلمة المرور الأصليين ، الضحية لا تعرف شيئًا عن الاختراق
    - يمكنك دائمًا طلب خدمة التطفل هذه ، يكفي أن تعرف عنوان URL أو معرف الصفحة ،

    هناك أيضًا إمكانية حذف معلوماتك في قاعدة بيانات محفوظات الائتمان (BKI) ، وبأسعار معقولة ، لمدة 3 إلى 7 أيام ، وسوف تختفي إلى الأبد من القائمة السوداء لـ BKI ، إلخ.

    "نفس الشيء" المطبوعات من أرقام الرسائل القصيرة الواردة ، وكذلك مكالماتهم.
    - هاك البرامج بأي تعقيد.
    - نبيع الفيروسات وأحصنة طروادة ، ونقوم باختراق المواقع وإصابةها وفقًا لتقديرك ، بالإضافة إلى العمل مع هجمات dos.
    - القرصنة وعدوى المواقع حسب تقديرك
    - هاك المواقع ، الجذر الخادم لطلبك ،
    - ندمج قواعد البيانات وفقًا لمعاييرك المواضيعية ،
    - نحن ندمج المواقع المشار إليها بواسطتك ،
    - اختراق أي كمبيوتر عن بعد والوصول إلى أي بيانات أو معلومات على الكمبيوتر ، أو اختراق أي برنامج ،
    - إزالة المعلومات على الشبكة - خدمات لإزالة مقاطع الفيديو والمقالات وأية معلومات ،
    - يعتمد سعر الخدمة على الوقت والجهد المبذول.

    نحن نعمل 24 ساعة في طرق. عنوان الاتصال [email protected]

    يمكنني المساعدة في هذا ،
    إذا كان أي شخص يحتاج
    الكتابة إلى البريد: [email protected]


    القرصنة واختيار كلمة المرور على خدمات البريد الإلكتروني
    والشبكات الاجتماعية.

    نحن نعمل مع جميع خدمات البريد الإلكتروني المجانية ،
    وكذلك مع جميع الخدمات الاجتماعية. الشبكات ، مواقع التعارف ،
    بلوق ، ICQ ، تويتر ، وكذلك
    طباعة الرسائل القصيرة ، WATSAPP ، VIBER
    تفاصيل الاتصال (جديد).

    مهنيا
    سرية.
    الدفع عند الانتهاء من النظام.
    المصطلحات التشغيلية.
    أسعار فردية من 500 فرك.
    [email protected]

    سوف نساعد

    قررت إلغاء الاشتراك كما كان معي ، والهدف من ذلك هو التحذير من أولئك الذين حصلوا على الربح على حسابي ، وأيضًا معرفة من ساعد بالفعل ، حتى لا يتم رمي المحتالين بالمال.
    وهكذا ، سأكون مختصرا ، فقد كان عليّ منذ نصف عام تقريبًا قراءة المراسلات اليومية لزوجة من القانون العام بشأن فكونتاكتي ، ولن أخوض في التفاصيل ، وهذا ليس مهمًا في الأساس.
    من المهم أن وصلت إلى الإنترنت مع خداع والتفت إلى أول قراصنة يصادفهم ، كان البريد الخاص به هو [email protected] ، بالمناسبة ، ثم قام بتغيير هذا البريد ، اكتشفت ذلك.
    ونتيجة لذلك ، لم يكن هناك أي أموال أو معلومات حول المراسلات ، بشكل عام ، تم تفويت اللحظة وتسجيلها وقررت المحاولة مرة أخرى ، هذه المرة ذهبت في الاتجاه الآخر.
    يعمل الرفاق في صناعة الكمبيوتر ، وطالب بريد الشخص ، كما قال ، وهو يشارك في إنشاء أنظمة مكافحة الفيروسات للشركات ولديه حق الوصول إلى القرصنة المختلفة
    الحسابات في الشبكات الاجتماعية ، المرسلين ، إلخ. قررت التوقف مؤقتًا وتحولت بعد شهر تقريبًا ، ولن أرسم منذ فترة طويلة ماذا وكيف ، سأقول ما هي النتيجة.
    نتيجة لذلك ، مقابل مبلغ محسوب تمامًا ، لدي (أو بالأحرى كان لدي ، ثم غادرت عندما اكتشفت كل ما أحتاج إليه) الوصول إلى فكونتاكتي ، بالإضافة إلى المراسلات المستلمة مع Watsap’a.
    لحظات مثل: تم الكشف عن عدم الكشف عن هويته والرد عليه وقبول الطلب على الفور ، وفعلت كل شيء في نفس اليوم (لا أرغب في الانتظار لأيام وليس لي) ، والأهم من ذلك أنني حصلت على كل ما أردت
    بسعر منخفض. ما هو مكتوب أعلاه ليس كذبة ولن أترك اتصالات هذا الشخص ، لأنني إلى حد كبير لا يهمني من سيتجه إليه.
    لقد شعرت بالإهانة لفقد المال وأردت مشاركة ما اكتسبته في النهاية ، فإذا كان شخص ما يعاني من مشكلات حقيقية ، على سبيل المثال في علاقة أو مراسلات ، فهي أمر حيوي
    لقد حدث ذلك ، فهمت ذلك بمفردي ، يمكنني أن أخبر تفاصيل الاتصال الخاصة به وما هو اسمه وأين يكتب. من فضلك لا تكتب لي هؤلاء من أجل الغباء أو الوقاحة
    اخترق شخصًا وألحق به الأذى ، وأنا لا أوافق على ذلك ، فإذا كان الوضع استثنائيًا أو غير ذلك ، فيمكنك الكتابة إلي على عنوان بريدي الإلكتروني ، وسأجيب دائمًا على سؤال مناسب وسأكون سعيدًا للمساعدة
    (بريدي هو [email protected])

    خدمات هاكر ، اختراق شبكات التواصل الاجتماعي ، اختراق شبكة الوكاب ، قرصنة فكونتاكتي وأكثر

    القرصنة واختيار كلمة المرور على خدمات البريد الإلكتروني
    والشبكات الاجتماعية.

    نحن نعمل مع جميع خدمات البريد الإلكتروني المجانية ،
    وكذلك مع جميع الخدمات الاجتماعية. الشبكات ، مواقع التعارف ،
    بلوق ، ICQ ، تويتر ، وكذلك
    طباعة الرسائل القصيرة ، WATSAPP ، VIBER
    تفاصيل الاتصال (جديد).

    شاهد الفيديو: طريقة اختراق أي موقع تريده بسهولة (مارس 2020).

    Pin
    Send
    Share
    Send
    Send