Знать о том, как хакеры ломают сайты – необходимо тем, кто хочет защитить свой сайт от взлома. А также необходимо знать, насколько легко (сейчас в Интернете) раздобыть код для взлома и как можно сайт сломать через подбор пароля. Именно об этом мы и поговорим сегодня. Ведь зная, как действуют хакеры, и какие есть методы взлома, Вы сможете ликвидировать у себя все несовершенства и уязвимости. Все эти знания помогут Вам сохранить свой сайт и свои данные!
Представляем Вам: 4 метода как хакеры ломают сайты, а 1 метод для взлома телефона или компьютера простым (неподкованным в программировании) людям.
Метод 1. Межсайтовый скриптинг или XSS-атака на веб-сайт
Первый метод показывает, как можно что-нибудь взломать, когда у взломщика нет конкретной цели, а Ваш сайт попался ему исключительно потому, что был плохо защищен. Внимание! Если сайт имеет достаточную защиту, этот метод не сработает.
Шаг 1. Хакеры находят из тысячи сайтов уязвимый
Перед тем как сайт сломать, хакеры отыскивают наиболее уязвимый. К таким уязвимым веб-сайтам относятся сайты знакомств, доски объявлений, отзовики. Т.е. те сайты, который предоставляют возможность посетителям писать абсолютно любой текст. Подумайте – не входит ли в этот список Ваш сайт?
Шаг 2. Пишут на сайт текст (пост, отзыв, комментарий, поле поиска)
На хакерском языке это называется «влить в тело код». Заходя на сайт, хакеры вводят в строку для контента (поста, отзыва, комментария, поиска) следующую фразу: <script…>alert(“test”)</…script> . Естественно пишем без троеточий, а вместо слова test – сам текст.
А нужно это для того, чтобы узнать, отсеивается ли системой данный код для взлома. Потом нужно просто нажать на созданный комментарий – если появится предупреждение – все, такой сайт можно взломать, он уязвим.
Шаг 3. Создают и загружают свои скрипты
Этот шаг особенно важен, так как он позволит собрать cookie, в которых хранятся учетные записи пользователей со всеми данными. Вот таким образом можно узнать логины и пароли аккаунтов. Но… если это сайт уязвим, а пароль не проходит хеширование. Т.е. не шифруется самой системой так, чтобы обратно пароль не возможно было расшифровать и перевести в нормальный первоначальный вид.
Для этого используют специальные php-скрипты. Скрипт начинает воровать данные из взломанного сайта и пересылать их на сервис мошенникам.
Шаг 4. Публикуют JavaScript-код
Теперь, как ломать сайты дальше. Хакеры вносят в комментарий (отзыв, в сроку поиск) Джава срипт код. Для взлома он считается самым идеальным. Он ворует куки и переправляет на их сайт. Чтобы редакторы сайта не удалили данный пост, они пишут вполне безобидное сообщение и потом вставляют этот код.
Шаг 5. Получают cookie со всеми данными
Чтобы уберечься от этого метода вскрытия сайтов, Вам нужно знать, что такое JavaScript-код, какой-нибудь язык программирования и хоть немного язык HTML. Если Вы хотите защитить свой сайт от взлома, необходимо постоянно обучаться, разобраться что такое дыры в безопасности сайтов, какие они бывают и как они проявляются.
Теперь вы тоже знаете, как хакнуть сайт при помощи межсайтового сриптинга и как сделать так, чтобы его от этого защитить.
Метод 2. Взлом веб-сайтов с уязвимостью SQL инъекции
Этот метод о том, как вскрыть сайт с обычного смартфона простым, который можно скачать в Плей Маркете, приложением Termux. Этим методом хакеры пользуются также интенсивно.
Шаг 1. Скачивают программу Termux
Скачивают и устанавливают на телефон Termux. В настройках программы прописывают следующие команды: pkg upgrade, pkg update, pkg install git, pkg install python, pkg install wget, python sqlmap.py
Шаг 2. Выставляют параметры
Параметры можно увидеть после того, как вы впишете последнюю команду и добавите – h. Выйдет целая куча различных параметров. Но ничего страшного в них нет. И перед тем, как ломануть сайт, пожалуйста, выучите английский. Он действительно будет нужен.
Шаг 3. Вскрывают нужную информацию
Итак, хакеры получили параметры и теперь они, прописав команду python sqlmap.py-u, вскрыли базу данных. Английская буква «u» показывает, что хакеров интересуют юзеры, а точнее пользователи данного сайта, а еще точнее – их конфиденциальные данные.
Всё, если пароль не прошел на этом сайте хеширование, то больше хакерам делать нечего – вся необходимая информация у них уже на руках. Сайт успешно взломан.
Метод 3. Таблицы возможных паролей
Существует огромное количество таблиц (целых баз) где прописаны всевозможные пароли. Вернее не паролей в чистом виде, как привыкли видеть мы, простые люди, а прошедшие хеширование (своего рода шифрование), которое невозможно расшифровать обратно.
Шаг 1. Взламывают веб-сайт и копирую себе все данные
Сначала хакеры ломают базу данных веб-сайтов. Там вытаскивают конфиденциальную информацию пользователей (Ф.И.О, возраст, адрес почты и логин). Но пароль там виден, только в хешированном виде.
Шаг 2. Вводят пароль в «радужную таблицу»
Заносят нужный пароль в таблицу и ждут, пока программа не найдет похожий хеш. Как только похожий пароль найден, это значит, что у хакера на руках появляется нормальный вид пароля (так, как ввел его пользователь при регистрации).
Шаг 3. Продают или взламывают аккаунт
Теперь, имея на руках логин и пароль, хакеры используют их по своему усмотрению. Однако… если логин достаточно сложный и не похож на стандартный, то отыскать его хеш в таблице – невозможно! В таблице находятся миллиарды стандартных паролей.
Запомните! Бессмысленный набор цифр и букв – это самый надежный пароль, который взломать – невозможно!
Метод 4. Фишинговая страница
Это еще один метод, позволяющий осуществлять вскрытие сайтов. Он основан на создании фишинговой (ложной) страницы для входа в определенную социальную сеть. Человек вносит туда свои данные, хакер перехватывает их – всё! Об этом очень подробно описано в статье «Как самостоятельно взломать Инсту: 7 рабочих методов» и «Как прочитать чужой Контакт».
Метод 5. Специальные программы для слежения
Теперь и Вы знаете, как хакеры ломают сайты. Вы видите, что для этого нужны определенные знания и навыки. Но… если Вы далеки от программирования, воспользуйтесь специальными программами для слежения, которые нужно просто установить на подконтрольное устройство (телефон, планшет, ноутбук или компьютер).
С ними Вы сможете ознакомиться в статье «Топ 15 лучших программ для слежки за телефоном» – это тоже поможет понять, как взломать что-либо. Это своего рода взлом сайтов, только доступный обычным пользователям, таким как ревнивым супругам, заботливым родителям или руководителям компаний и организаций:
— зарегистрироваться можно здесь,
Одним словом, людям, далеких от программирования и хакерских заморочек!
Как защитить свой сайт от хакеров
Защита сайта должна ложиться на плечи разработчика, хостера и администратора. Самые простые, но очень действенные способы защиты (которые почему-то часто игнорируют) – это типа, мойте руки и фрукты перед едой, но многие не моют, а потом болеют глистами, желтухой и еще фиг знает какой заразной дрянью.
Простые (примитивные), но очень действенные способы защиты от вскрытия сайтов:
- не хранить, а запоминать все данные доступа к сайту;
- пользоваться только комплексными паролями (цифры, буквы, символы) и не стандартными (фамилия, имя, дата рождения, клички питомцев и т.д);
- периодически менять пароли доступа;
- обновлять скрипты при каждом обновлении;
- когда выбираете компонент, обязательно проверять его на уязвимости;
- отслеживать права на файлы скриптов, постоянно мониторить критические файлы конфигурации;
- разрешать доступ к веб-сайт только с Вашего IP;
- смените стандартные адреса;
- периодически проверяйте доступность разделов Вашего сайта;
- позаботиться о локальных разделах сайтов;
- воспользуйтесь услугами «белых хакеров» — они помогут убрать все уязвимости и закрыть все дыры.
В заключении хочется отметить, что данная статья написана исключительно для ознакомления возможных методов взлома. Просто описана сама суть взлома, без какой либо технической информации. Это сделано специально, чтобы не знающие, так и не поняли, как ломать сайты, а знающие увидели, как защитить сайты.
Есть вопросы? Пишите нашим консультантам. Мы рады помочь Вам!
