10 ابزار هکر ها برای هک سایت ها

10 ابزار هکر ها برای هک سایت ها

 

هکرها هر زمان که بخواهند اطلاعات شخصی خود را جمع آوری کنند، کنترل کامپیوتر شما را انجام دهند یا وب سایت شما را خاموش کنند، هکرها می توانند به طور جدی بر هر کسب و کار تاثیر بگذارند. از آنجایی که آن را در بردارنده های احتمال حمله مختلف ممکن است، از تجزیه و تحلیل دقیق استفاده شده است و از این رو با استفاده از یک رکورد برای امنیت برنامه های وب در هند ثابت شده است و در حال حاضر جهانی است. مشخصاتی وجود دارد که Defensely در آن مشغول به کار بوده است و راه را برای ایجاد نام در پروژۀ CIO برای موفقیت فوق العاده ای با امنیت فناوری اطلاعات به عنوان یک ارائه دهنده خدمات ارائه می دهد. به طور شگفت انگیز، Defencely نه تنها در گذشته مشتری آن را پشت سر گذاشت، بلکه در حال حاضر تحقیقاتی را برای همه مشتریان ارائه داده است که محصولات خاصی را از Defencely انتخاب کرده اند. اما یک طرف وجود دارد که Defencely تصمیم گرفته است تا به منظور بهبود دنیای وب تصمیم گیری کند و آن را HACKING WHITE HATE ETHICAL Hacking می کند که این راه را از طریق دنیای کسب و کار شرکت های بزرگ و ارائه خدمات عمیق امنیتی برای حفاظت از امنیت کلی وب به ارزش آن مشتریان جدا از هر یک از خدمات ارائه شده توسط Defencely، آن را به یک استاندارد عاقلانه در شکار باگ و به همین ترتیب برتری اثبات شده برای نتایج کیفیت آن که کارشناسان تیم امنیتی سرخ. تیم قرمز این مسئولیت را دارد که نماینده Defensely در گرایش های مختلف، از جمله در مورد گسترش نگرانی های امنیتی اطلاعات، شرکت در کنفرانس های امنیتی اطلاعات برای فراهم کردن هزینه های صنعتی غیر رایگان در آزمون نفوذ برای یک رویکرد اولیه استفاده کند و این تنها منجر به کسر خردمندانه چگونگی امنیت فقط می تواند یک توهم برای دنیای شرکت ها و چگونگی خراب شدن کسب و کارها در طول شب باشد.

هکرها می توانند به روش های مختلف حمله کنند، اما در اینجا ده روش محبوب ترین آنها می تواند امنیت سایت شما و کسب و کار شما را تهدید کند:

 

1. ATTACK DDOS – توزیع شده از حملات سرویس

DDoS یا Denial of Services توزیع شده است، جایی که یک سرویس دهنده یا یک سرویس دهنده به کاربران آن دسترسی ندارند.

هنگامی که این سیستم آفلاین است، هکر به نفع خودش برای به دست آوردن هر وسیله ای از وب سایت و یا یک تابع خاص از یک وب سایت به خطر می اندازد.

این نوعی شبیه داشتن ماشین شما به سرقت رفته است، زمانی که واقعا نیاز به سرعت جایی دارید.

دستور کار معمول یک کمپین DDoS این است که به طور موقت یک سیستم با موفقیت اجرا را قطع یا کامل کند.

رایج ترین نمونه از حمله DDoS می تواند ارسال چندین درخواست URL به یک وب سایت یا یک صفحه وب در زمان بسیار کمی باشد. این باعث می شود تنگنا در سمت سرور به دلیل CPU فقط از منابع خارج شد.

حملات انکار سرویس به عنوان نقض قوانین استفاده مناسب از اینترنت در هیئت مدیره معماری اینترنتی مطرح شده و همچنین سیاست های قابل قبول استفاده از تقریبا تمام ارائه دهندگان خدمات اینترنتی را نقض می کند.

2. ATTACKS اجرایی CODE ردیف

یک حمله اتفاقی کد از راه دور از نقاط ضعف امنیتی یا سمت سرور یا سمت سرویس گیرنده است.

اجزای آسیب پذیر ممکن است شامل کتابخانه ها، دایرکتوری های از راه دور بر روی یک سرور که تحت نظارت نیستند، قاب ها و دیگر ماژول های نرم افزاری که بر اساس دسترسی کاربر تأیید شده اجرا شوند. برنامه هایی که از این اجزا استفاده می کنند، همیشه تحت حمله هستند مانند اسکریپت ها، نرم افزارهای مخرب و خطوط فرعی کوچک که اطلاعات را استخراج می کنند.

اجزای آسيبپذير زير در سال 2011 22 ميليون بار دانلود شد:

Apache CXF Authentication Bypass

با عدم ارائه یک شناسه هویت، مهاجمان می توانند هر سرویس وب را با مجوز کامل درخواست کنند.

3. درخواست انتقادات و پیشنهادات از سایت های مختلف(Cross Site Request Forgery Attacks)

درخواست متقابل سایت Request Forgery حمله زمانی اتفاق می افتد که یک کاربر به یک جلسه (یا حساب) وارد شود و یک هکر از این فرصت استفاده می کند تا درخواست HTTP جعلی برای جمع آوری اطلاعات کوکی خود را ارسال کند.

در اغلب موارد، کوکی زمانی معتبر است که کاربر یا مهاجم به حساب کاربری وارد شده باشد. به همین دلیل است که وب سایت ها پس از پایان کار از شما می خواهند از حساب خود خارج شوند – بلافاصله این جلسه را منقضی می کند.

در موارد دیگر، هنگامی که جلسه مرورگر کاربر به مخاطره می افتد، هکر می تواند درخواست هایی را برای برنامه ایجاد کند که نمی تواند بین یک کاربر معتبر و یک هکر تمایز قائل شود.

4. نشانه گذاری – حمله مهاجم

Symlink اساسا یک فایل خاص است که به یک پیوند سخت در یک سیستم فایل متصل اشاره می کند. حملات لینک کردن زمانی اتفاق می افتد که هکر یک لینک Symantec را به گونه ای قرار می دهد که کاربر یا برنامه هایی که به نقطه پایانی دسترسی دارند، فکر می کنند که آنها در حال دسترسی به فایل درست هستند، در حالی که واقعا نیستند.

اگر فایل نقطه پایانی یک خروجی باشد، نتیجه حمله سیم لینک این است که می تواند جایگزین فایل در مکان مورد نظر شود. تغییرات در فایل نقطه پایانی میتواند شامل افزودن، نوشتن مجدد، خرابکاری یا حتی تغییر مجوزها باشد.

در تغییرات مختلف حمله حمله لینک، یک هکر ممکن است قادر به کنترل تغییرات در یک فایل، دسترسی به دسترسی های پیشرفته خود، وارد کردن اطلاعات نادرست، افشای اطلاعات حساس و یا فاسد شدن یا نابود کردن سیستم حیاتی یا فایل های برنامه باشد.

5. تهاجم مهندسی اجتماعی

یک حمله مهندسی اجتماعی به لحاظ فنی “هک” نیست.

این اتفاق زمانی رخ می دهد که اطلاعات خصوصی با حسن نیت، مانند شماره کارت اعتباری، از طریق تعاملات رایج آنلاین مانند ایمیل، چت، سایت های رسانه های اجتماعی یا تقریبا هر وب سایت، افشا شود.

البته، البته، این است که شما به چیزی فکر نمی کنید که وارد می شوید.

یک نمونه کلاسیک از یک حمله مهندسی اجتماعی «کلاهبرداری فنی مایکروسافت» است.

این زمانی است که یک نفر از یک مرکز تماس وانمود می کند که یک عضو پشتیبانی فنی MS باشد که می گوید کامپیوتر شما آهسته و یا آلوده است و البته می تواند به راحتی ثابت باشد – البته با هزینه ای.

6. DNS CACHE POISONING

مسمومیت با DNS Cache شامل اطلاعات حافظه کش است که ممکن است فکر کنید دیگر در رایانه شما وجود ندارد، اما در واقع “سمی” است.

همچنین به عنوان DNS Spoofing شناخته می شود، هکرها می توانند آسیب پذیری ها را در یک سیستم نام دامنه شناسایی کنند، که به آنها اجازه می دهد تا ترافیک را از سرور های قانونی به وب سایت و / یا سرور جعلی منحرف کنند.

این نوع حمله می تواند خود را از یک سرور DNS به DNS دیگر گسترش دهد و خود را تکرار کند، همه چیز را در مسیر آن مسموم می کند.

در واقع، در سال 2010، حمله مسمومیت با DNS به طور موقت فایروال بزرگ چین (GFC) را به طور موقت به خطر انداخته و محتوای خاصی را در ایالات متحده آمریکا سانسور کرد تا مشکل حل شود.

7. حملات کلیک کنید

Clickjacking، همچنین به نام UI Redress Attack نامیده می شود، زمانی است که یک هکر از چند لایه مبهم استفاده می کند تا کاربر را به کلیک کردن روی لایه بالا بدون اطلاع آنها سوق دهد.

بدین ترتیب مهاجم “کلیک” را که برای صفحه واقعی نیست، اما برای یک صفحه ای که مهاجم می خواهد شما را داشته باشد.

به عنوان مثال، با استفاده از ترکیبی از شیوه های بافتنی، فریم ها و جعبه های متن، کاربر می تواند به این باور برسد که آنها در رمز ورود برای حساب بانکی خود تایپ می کنند، اما در واقع تایپ کردن به یک قاب نامرئی تحت کنترل مهاجم است.

8. اخذ مجوز و جلسات مديريت جلسه

اگر سیستم تأیید هویت کاربر وب سایت شما ضعیف باشد، هکرها می توانند از مزایای کامل استفاده کنند.

سیستم های تأیید هویت عبارتند از رمزهای عبور، مدیریت کلید، شناسه جلسه و کوکی هایی که می توانند هکر اجازه دسترسی به حساب کاربری خود را از هر کامپیوتر (تا زمانی که معتبر هستند) باشد.

اگر یک هکر از سیستم احراز هویت و سیستم مدیریت جلسه استفاده می کند، می توانند هویت کاربر را در نظر بگیرند.

حقیقتا ترسناک است

خودتان این سؤالات را بپرسید تا دریابید که آیا وب سایت شما به یک تصدیق خرابی و حمله مدیریت جلسه آسیب پذیر است:

آیا اعتبار کاربری ضعیف است (به عنوان مثال با استفاده از هش کردن یا رمزگذاری ذخیره شده)؟
آیا می توان از مدارک حساب کاربری ضعیف (مثلا ایجاد حساب، تغییر رمز عبور، بازیابی رمز عبور، شناسایی جلسات ضعیف)، حدس زد یا رونویسی کند؟
آیا شناسه جلسه در نشانی اینترنتی (مثلا URL بازنویسی) نمایش داده می شود؟
آیا شناسه جلسه آسیب پذیر به حملات قفل جلسه؟
زمان وقفه شناسه جلسه و کاربران می توانند از آن خارج شوند؟
اگر به هر یک از این سؤالات «بله» جواب دهید، سایت شما می تواند به یک هکر آسیب پذیر باشد.

9. حملات CROSS SITE

Scripting Cross Site، همچنین به عنوان یک حمله XSS شناخته می شود، زمانی رخ می دهد که یک برنامه، URL “دریافت درخواست” یا بسته فایل به پنجره مرورگر وب فرستاده می شود و از پروسه اعتبارسنجی عبور می کند. هنگامی که یک اسکریپت XSS فعال می شود، این اموال فریبنده باعث می شود کاربران اعتقاد داشته باشند که صفحه آسیب دیده وب سایت خاص مشروعیت دارد.

10. تهاجم تزریق

 

حمله تزریق زمانی رخ می دهد که در پایگاه داده SQL، کتابخانه های SQL یا حتی سیستم عامل خود نقص وجود داشته باشد. کارکنان فایل های ظاهرا معتبر را با دستورات پنهان یا “تزریق”، به صورت نامفهوم، باز می کنند.

با انجام این کار، هکرها اجازه دسترسی غیرمجاز به داده های خصوصی مانند شماره های امنیت اجتماعی، شماره کارت اعتباری یا سایر اطلاعات مالی را داده اند.

 

درباره نویسنده

مطالب مرتبط

نظر بدهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *