Чек-лист: насколько легко хакеры взломают ваш интернет-магазин
Есть распространенное убеждение, что хакеры в основном заинтересованы атаковать крупных онлайн-ритейлеров, но отчетам Visa 95% краж данных кредитных карточек приходится именно на малый и средний бизнес. Это объясняется тем, что злоумышленники идут по пути наименьшего сопротивления: владельцы малого бизнеса не знают, как работают хакерские атаки и не держат большой IT-департамент для быстрого отражения и защиты.
В этой статье я постарался раскрыть типичные способы взлома сайтов, как от них защититься и разобрал каждый способ через простые аналогии, которые будут понятны даже без технической подготовки. Поехали?
Аналогия: отец семейства оставляет на столе записку для мамы, на которой написано
Жена, вынь из кошелька 1000 рублей, отдай Васе
Младший брат Петя находит записку, ставит запятую и приписывает к ней «, или Пете, если встретишь его раньше». Получается, что в записке теперь другая инструкция
Mad City Chapter 2 — [ Ограбление Ювелирки ] — [ Robbing a jewelry store ]
Жена, вынь из кошелька 1000 рублей, отдай Васе или Пете, если увидишь его раньше
Теперь дело в шляпе — Пете осталось только подойти к маме с утра и получить наличность. Это классический пример SQL-инъекции.
Хакеры используют точно такую же схему, вводя продолжение команд через формы на сайте: например, форму поиска, обратной связи или логина.
База данных сайта представляет из себя множество простых таблиц. Когда сайту необходимо что-то сделать с данными (вытащить, изменить, добавить новые) сайт формирует запрос на языке SQL, который представляет из себя простую команду, например
Последняя команда выдает все строки из таблицы workers после 3-го номера.
Допустим, программист делает форму поиска — при нажатии на кнопку «Найти», сайт должен взять текст из формы, вставить в команду и обратиться через нее к базе данных.
$name = $_REQUEST[‘name’]; $res = mysqli_query(«SELECT * FROM clothes WHERE clothes_name = » . $name);
Где $name — это текст, который пользователь ввел в поле.
Дальше очень просто — вместо того, чтобы вводить в поле поиска обычный текст, например «мужские носки», хакер ставит закрывающие кавычки » и вводит в поле команду на языке SQL.
Например добавляет в конец команду DROP DATABASE, которая полностью уничтожает базу.
Манипулируя SQL-инъекциями, можно поменять пароль администратора, узнать версию базы данных, выкачивать персональные данные клиентов и многое другое.
Есть специальные сервисы, как например find-xss.net. Если ваш сайт сделан на каком-то классическом движке, то можно поискать плагины защиты — но не стоит доверять плагинам на 100% — дальше в статье мы поговорим, как плагины могут сами принести уязвимость в ваш сайт.
Чтобы закрыть уязвимости к SQL-инъекциям нужно прописать скрипты, которые проверяют и обрабатывают любой введенный пользователем текст, удаляя инъекции.
Как это работает на злоумышленника? Есть несколько способов.
КАК ОГРАБИТЬ ЮВЕЛИРНЫЙ МАГАЗИН БЫСТРО!!! 2 Способ в роблокс джейлбрейк как быстро пройти ювелирку
Cookies — это небольшой кусок данных о пользователе, который хранится в браузере и обычно содержит:
- логин и пароль пользователя
- сведения статистики о пользователях
- персональные предпочтения и настройки пользователя
- отслеживает состояния сеанса доступа пользователя
Самый частый вид XSS-атаки это внедрение скрипта, который при передаче данных из браузера, отправляет копию данных злоумышленнику. А в копии логин и пароль пользователя.
Вживляемый скрипт может быть настроен на то, чтобы отслеживать отправку форм. Например, вы ввели свой логин и пароль, нажали отправить — скрипт мгновенно проснулся, скопировал введенные данные и отправил копию злоумышленнику. Это напоминает фишинг, но данные вводятся на настоящем, а не поддельном сайте, поэтому это намного опаснее — если фишинговый сайт еще может распознать обычный пользователь, то при вводе данных на реальном сайте — очень маловероятно.
Есть универсальный способ защиты от SQL-инъекций и XSS-атак — обрабатывать все, что вводится в поля ввода до того, как записывать текст из них в базу или выполнять.
Брутфорс это не самый простой, но эффективный способ подбора паролей методом простой подстановки. Специальный скрипт пробегается по списку самых популярных паролей, пробуя каждый из них. Часто для подстановки используются ворованные базы логинов и паролей — людям нравится использовать одни и те комбинации на разных сайтах.
Чтобы защититься от брутфорса, достаточно не повторять ошибки Волан-де-морта, который делал крестражи из объектов культурного наследия. Если бы Темный Лорд заложил частички своей души в старую бутылку из под лимонада и камни на берегу моря, которые не значат абсолютно ничего — Гарри Поттер в жизни бы их не нашел.
Поэтому не стоит делать осмысленные пароли, длинная мешанина из символов, цифр и знаков препинания — ваша лучшая защита.
От длины такого пароля зависит скорость перебора всех символов — перебрать все комбинации символов 10-значного слова практически невозможно за осмысленный срок. Поэтому, если вы хотите защитить себя от брутфорса, создавайте длинные пароли через специальные генераторы.
Самый распространенный вид атаки, когда злоумышленник отправляет множество запросов на атакуемый сайт и сервер не справляется их обработкой. Сначала падает скорость, потом сайт становится недоступен.
В некоторых случаях перед падением система выдает критически-важные данные: версию ПО, части кода.
Но чаще всего DDoS используется как способ экономического или политического давления, например, в 2011 году политически настроенная молодежь сделала специальный сайт для обрушения DDoS-атак на про-правительственные СМИ и сайты.
Собрать сразу тысячу человек, готовых участвовать в DDoS-атаке сложно, поэтому хакеры заражают вирусами компьютеры и любые умные устройства, которые могут отправлять запросы и имеют доступ к интернету: часы, смартфоны, даже умный чайник, если он способен отправить запрос.
Вирусы могут быть зашиты в торрент-файлы, пиратские копии игр, программу обновления Windows. Они никак себя не выявляют и не ничего не требуют от пользователя, поэтому владелец устройства чаще всего даже не в курсе, что участвует в DDoS-атаке. Атакующее устройство называют зомби-компьютером.
Существует два основных вида DDoS-атак: атаки на сетевую часть и на программную .
Во время сетевой атаки хакеры пытаются забить канал жертвы: допустим, ее сервер может принять 1 Гб трафика или 10 000 пользователей одновременно. Задача злоумышленника — преодолеть этот барьер и делать это как можно дольше, чтобы реальные пользователи не могли прорваться на сайт.
Во время программной атаки хакер пытается исчерпать какой-то из ресурсов сервера: мощность процессора, оперативную память, допустимое количество процессов или подключений к базе данных. Когда какой-то из ресурсов заканчивается, сервер начинает тормозить или зависает.
Сервер использует какой-то из ресурсов каждый раз, когда посетитель совершает на сайте какое-то действие. Например, когда посетитель вводит детали входа в аккаунт, сервер проверяет их и отправляет в ответ следующую страницу или показывает ошибку.
Для ответа на разные запросы нужно разное количество ресурсов. Задача злоумышленника — найти запрос, на который сервер тратит максимум ресурсов, а потом закидать его запросами, пока тот не отключится.
DDoS-атака стоит денег и чем мощнее сервер, на который происходит атака, тем она дороже.
На средние и небольшие бизнесы не ведется дорогая и массированная атака, поэтому среднему и малому бизнесу подойдут программы защиты вроде Cloudflare и DDoS-guard. Они работают как сетевые фильтры, откидывая большинство хакеских запросов и блокируя трафик от явных злоумышленников.
У нас защита от DDoS идет в подарок в первый месяц, после будет стоить 800 рублей в месяц.
Очень мощный вид атаки через cookies: в некоторых случаях через нее можно полностью захватить аккаунт пользователя на атакуемом сайте и творить, что хочется.
Таким способом в свое время были атакованы Netflix, Youtube и приложение банка ING Group. На Netflix хакеры добавляли DVD в подписку пользователей, вываливали в открытый доступ логины и пароли пользователей, а в случае с банком просто переводили деньги со счетов жертв себе.
Проще всего объяснить на примере: хакер Вася в курсе, каким банком пользуется Маша и что она всегда в нем авторизована. Cookies Маши хранят данные об ее авторизации на сайте банка.
Тогда Вася размещает на каком-то сайте или форуме ссылку, в которую зашит HTTP-запрос к банку Маши и кидает Маше ссылку в телеграм.
Что такое HTTP-запрос: проще говоря, это запрос к серверу. Вы делаете это каждый божий день: когда вы заходите на какой-то сайт, ваш компьютер отсылает HTTP-запрос к серверу, на котором крутится сайт. Сайт отвечает на запрос и присылает контент страницы, а ваш браузер его показывает.
Возвращаясь к Васе: его хакерская задача в том, чтобы браузер Маши отправил банку запрос, а банк его послушно выполнил, так как Маша авторизована благодаря кукам.
Чтобы браузер Маши выполнил HTTP-запрос, Маше даже не придется кликать на ссылку — Вася может зашить запрос в картинке со смешным мемом — Машин браузер загрузит картинку, банк примет запрос и сделает перевод на счета Васи.
Вот пример такой атаки
Боб: Привет, Алиса! Посмотри, какой милый котик:
Если ваш сайт хранит важные персональные данные и вы хотите защитить своих клиентов — нужно генерировать секретные ключи для каждой сессии, без которых нельзя выполнить запрос.
Если вы не хотите оказаться на месте Маши — разлогинивайтесь на всех важных сайтах после посещения, даже на домашнем компьютере.
Чтобы хакер успешно мог использовать инструменты из черного чемоданчика, он сначала ищет уязвимое ПО: роется в движках, панелях управления сайтом, старых версиях PHP и MySQL, установленных на сервере жертвы.
Например, в панели управления сайтом Plesk, в одной из старых версий была обнаружена уязвимость, позволяющая взломать систему, увеличить уровень доступа хакера до администратора и завладеть базой данных полностью, включая всех соседей на сервере. Этот способ атаки был подробно расписан в журнале Хакер.
В 2012 году хакеры взломали сайт Reuters и опубликовали на нем фальшивые новости о Сирии. Все благодаря тому, что редакция использовала старую версию WordPress 3.1.1, у которой было уже много известных уязвимостей, выложенных в открытый доступ.
ИсточникКод для взлома или как что-нибудь взломать
Разговор пойдет о хакерстве и о том, как взломать что-либо (пароль, аккаунт, страницу, сайт, телефон). Код для взлома – на самом деле это не так и сложно. Вскрыть сайт или телефон – это доступно даже простым пользователям. Не верите? Попробуйте сами.
Представляем Вашему вниманию Обзор лучших шпионских приложений для смартфонов Андроид . Здесь Вы увидите самые лучшие программы для слежения, которые позволят не просто так взломать что-либо или кого-либо, а конкретно нужное устройство конкретного человека (мужа, жены, ребенка, друга, подруги).
Сейчас речь идет о хакерстве и о том, где можно найти код для взлома и как взломать страницу без установки специализированных программ…
Как взломать что-либо простому человеку…
А что делать простым смертным, которым тоже нужно знать, как что-нибудь взломать – сайт, например, или аккаунт, телефон или компьютер друга или подруги. Вот для этого и существует масса обычных программ для слежения.
Благодаря этим программам Вы сможете проникнуть внутрь устройства без всякого кода для взлома, без создания страниц или муторного подбирания пароля.
Скачать программу слежения можно здесь >>
Скачать руководство по установке можно здесь >>
Как можно взломать пароль…
Вскрытие сайтов происходит в подавляющем своем большинстве через взлом пароля. Абсолютно на любом сайте пароли не хранятся в виде букв и цифр, как это происходит с логинами, адресом электронной почты и других данных. Пароль хранится, в так сказать, зашифрованном виде. Но это не простое шифрование, которое можно расшифровать – это хеширование.
Хеширование – это необратимый процесс, делающийся только в одну сторону. Т.е. можно пароль зашифровать, но нельзя расшифровать (перевести обратно в символы). Именно хеширование не дает простым пользователям понять, как вскрыть сайт через взлом пароля.
Для наглядности приведем пример. Вы решили зарегистрироваться на Фейсбуке. Вы придумываете себе логин (имя, никнейм), пароль, указываете свой возраст, существующую почту или номер телефона, к которым будет привязана данная страничка.
После регистрации все Ваши данные попадают в базу данных сайта и сохраняются вот в таком виде:
Если предположить, что хакеры взломали сайт и завладели данными пользователей, то они всё равно не смогут ими воспользоваться, так как пароль скрыт. И после хеширования выйдет на сам пароль, а его хеш (например, пароль имеет вид 12345, а его hash 827ccb0eea8a706c4c34a16891f84e7b).
Другими словами – заиметь данные серверной базы сайта – это еще полдела, нужно теперь расшифровать пароль. Именно поэтому, самая сложная проблема – узнать пароль! Так как остальные данные можно узнать и у самого человека.
Что будут делать хакеры…
Так как хакеры ломают сайты? Они будут переводить хеш (эти бесконечные буквы-цифры вместо пароля) в нормальный вид. Но, как мы уже знаем, хеширование это односторонняя функция.
Вариант 1. Радужные таблицы и базы паролей
Вот для этого и существуют различные таблицы и огромные базы данных возможных хешированных паролей. И хакеры это знают и они знают как хакнуть сайт – нужно запустить в поиск хеш пароля и подождать, когда таблица найдет идентичный. На это уйдет от силы 3 минуты. Но… чем сложнее будет у Вас пароль, тем сложнее его будет отыскать и подобрать в этих таблицах. И здесь уже речь будет идти о месяцах поиска.
Внимание! В таких «радужных таблицах» находятся только самые используемые пароли. Если у Вас действительно уникальный пароль, все эти базы данных с их миллиардами возможных вариантов, будут бесполезными.
Вариант 2. Брутофорс
Этот метод тоже поможет понять, как сайт сломать. Брутофорс – это своего рода перебор всех возможных вариантов паролей, конкретно для каждого аккаунта.
Чтобы было проще понять, можно представить себе документ, где написаны самые разные пароли и их хеши. Хакер, сравнивает возможный пароль данного аккаунта и сравнивает хеш, который он видит в базе сервиса данной соцсети. Если они совпали – всё, код для взлома сайта успешно найден и Вы теперь можете заходить спокойно на страничку.
В список возможных паролей, для того чтобы ломать сайты входит:
- девичья фамилия хозяйки (если нужно хакнуть аккаунт подруги);
- номер телефона;
- Ф.И.О;
- дата рождения хозяина страницы;
- дата рождения детей;
- клички питомцев;
- майл почты;
- простой набор последовательных цифр или букв;
- стандартные слова;
- и т.д.
Чем больше известно личной информации о хозяине аккаунта, тем быстрее подберется нужный пароль, чтобы вскрыть сайт.
А как же службы безопасности…
Служба безопасности сервисов тоже не лыком сшиты и они прекрасно знают как хакеры ломают сайты – хеширование и брутофорс – это давно известные методы взлома.
И поэтому, чтобы наиболее затруднить вскрытие сайтов они уже давно используют метод Salting (соление). Если простыми словами, то на пути хеширования пароля сначала его солят другими символами. У каждого сервиса своя «соль».
Например, соль какого-то сервиса fhttps://reptilicus.net/kod-dlya-vzloma-ili-kak-chto-nibud-vzlomat/» target=»_blank»]Источник[/mask_link]