Fio gurux Sobirov Xurshid
Birinchi Hack va php-includ
Download 0.59 Mb.
|
Sobirov xurshid
|
Birinchi Hack va php-includ
Veb-Hacking-bu saytlar joylashtirilgan veb-saytlar va veb-serverlarni buzish. Xato atamasi (bug) dasturda xato. Ko'pgina veb-zaifliklar veb-sahifalardagi xatolar, ya'ni noto'g'ri yoki xavfli dasturlarning natijasidir. Biroq, ayrim zaifliklar dasturchilarning xatolari yoki beparvoligi bilan bog'liq emas,balki dasturlash tilining o'ziga xos xususiyati (masalan, PHP tili). Turli xil veb-saytlar yozilgan PHP tilida veb-sahifaning matniga ba'zi tashqi faylni kiritish imkonini beruvchi "include" funksiyasi mavjud. Bunday qo'shilish nafaqat PHP-da, balki boshqa dasturlash tillarida ham bo'lishi mumkin. Bu erda inklud nomi (ingliz tilidan. include-o'z ichiga oladi [hech narsa]). Mahalliy fayl (mahalliy faylni o'z ichiga oladi, LFI) yahudiy (masofaviy fayl, shu jumladan, RFI). * Mahalliy deb ataladi, unda yoqilgan fayl uchun yo'l dasturiy ta'minot bilan o'rnatiladi, shuning uchun fayllarni HTTP va FTP protokollari orqali yoqish mumkin emas. * Masofadan turib bunday inklud deb ataladi, unda yo'l aniqlanmagan, shuning uchun yoqish masofadan amalga oshirilishi mumkin. 1.Mahalliy PHP-inklud Mahalliy inklud hacker brauzerga yuklash va serverdagi fayllarni ko'rish imkonini beradi. 2.Uzoq PHP-inklud Mahalliy inklud faqat fayllarni ko'rish imkonini beradi, agar, keyin uzoq, yoki global, inklud boshqa veb-saytlari fayllarni yuklab olish uchun imkon beradi. 3.Saytlararo skript Intersite scripting (Cross-Site Scripting, XSS) - bu interaktiv axborot tizimlarining bunday zaifligi bo'lib, unda server tomonidan yaratilgan sahifalarga ba'zi sabablarga ko'ra maxsus skriptlar kiradi. Saytlararo skriptning qisqartmasi XSS emas, balki CSS-ning belgilaridir, chunki CSS qisqartmasi allaqachon sayt kodini yozishda ishlatiladigan kaskadli uslublar jadvallari (Cascade Style Sheets) bilan band. XSS qisqartmasidagi "X" harfi kesishgan yoki xochni (ingliz tilida-xochda) ifodalaydi, shuning uchun siz bunday qisqarishning qaerdan kelganini tushunasiz. XSS turi xavfsizlik kamomadi skript foydalanuvchi olingan ma'lumotlarni filtrlaydigan emas hollarda skript natijasida tasodifiy HTML / JavaScript / VBScript kodi bir Insert hisoblanadi. Ushbu turdagi hujumlar qiziqarli, chunki serverdan zararli skript mijozning kompyuterida amalga oshiriladi va jabrlanuvchi uni chaqiradi. Ikki xil saytlararo skriptlar mavjud: passiv va faol. Tarixiy jihatdan dasturchilar va ma'murlar ushbu turdagi hujumlarni kam deb hisoblashadi, shuning uchun ko'plab mahsulotlar endi saytlararo skriptlardan aziyat chekmoqda. Hackerlar har doim XSS-dan foydalanmaydi, lekin aslida bu juda xavfli zaiflik turi. XSS ilovalari Ko'pincha, saytlararo skript cookie-fayllarni o'g'irlash va sessiyalarni to'xtatish uchun ishlatiladi. Cookie nima ("Cookie" o'qiladi)? Bu sayt mijoz kompyuterda yaratadi joriy foydalanuvchi haqida ma'lumotga ega bo'lgan fayl. Bu cookie - fayllar tufayli sayt sizni "o'rganadi" va har bir sahifani ko'rganingizda parolni qayta kiritishga majbur qilmaydi. Agar saytlararo skript orqali hacker administrator cookie-faylini sudrab yuborsa, uni kompyuteringizdagi tegishli papkaga qo'yib, Login va parolni kiritmasdan administrator sifatida saytga kira oladi. Biroq, "Hacked by V. Pupkin"yozuvi bilan ochilgan oyna kabi zararli hazil ham mumkin. XSSNI qo'llashning boshqa maqsadlari ham mavjud. Misol uchun, foydalanuvchilarning ommaviy virusini (brauzerda zaiflik orqali) yuqtirish. Hacker JavaScript yoki VBScript ustida troyan yoki qurtni yozsa, ommaviy infektsiya ham amalga oshirilishi mumkin. Keyin zararli kodni zaif veb-saytning har qanday sahifasiga qo'yish mumkin. Shunga ko'ra, ushbu sahifaga kiradigan har bir kishi yuqtiriladi. XSS qurtlari mashhur saytlarda XSS zaifliklari orqali keng tarqalgan holatlar mavjud. Bundan tashqari, o'zaro faoliyat sayt skriptlari qurbonning brauzerini Real vaqtda to'liq nazorat qilish uchun ishlatilishi mumkin. Passiv o'zaro faoliyat sayt skriptlari Passiv o'zaro faoliyat sayt skriptlari faqat foydalanuvchi tomonidan ma'lum ma'lumotlarni uzatishda ishlaydi, ya'ni hujumda hacker foydalanuvchini xssni chaqirishga majbur qilishi kerak. XSSNING bunday turi Hackerning ta'siriga bog'liq, chunki foydalanuvchi xavfli kod bilan bog'lanishga qarab, noto'g'ri narsa haqida shubhalanishi mumkin. Yana bir usul, chunki ishoratlar juda uzoq olingan, deb aslida amalga oshirish uchun noqulay hisoblanadi. Shuning uchun, agar hacker sayt administratoriga yoki oddiygina rivojlangan foydalanuvchiga bunday aloqani surmoqchi bo'lsa, u uni tekshirish mumkin emas.. Aytaylik, bunday qidiruvni amalga oshiradigan skript qidiruv so'rovini qidiruv parametri orqali uzatadi va bu parametr skript tomonidan filtrlanmaydi. Bundan tashqari, berilgan skript so'rov natijalari sahifasida ko'rsatiladi. Keyin link shunday bo'lishi kerak: skript.php?qidiruv=[kerakli satr] Shunga ko'ra, hacker parametr qiymati o'rniga html kodi bilan bog'lanishni yuborishi kerak, masalan: script.php?search=Hacked Agar siz foydalanuvchini ushbu havolani bosishga majbur qilsangiz, u qalin "Hacked"so'zini ko'rsatadigan sahifani ko'radi. Bundan tashqari, kabi boshqa teglardan foydalanishingiz mumkin, keyin matn matn katta harflar bilan ko'rsatilishi uchun ishlaydigan chiziq yoki Download 0.59 Mb. Do'stlaringiz bilan baham: 
|