LXF170:Взлом сети
|
|
|
Содержание |
ВЗЛОМ СЕТИ
Воровство паролей >>, Взлом WordPress >> Эксплуатация уязвимостей » Атаки DDoS.
Присоединимся к Бену Эверарду в его путешествии на темную сторону*.
Искусство манипулировать чужим компьютером, чтобы делать все что угодно без разрешения... одни называют его хакерством, другие — взломом или тестированием возможности проникновения в систему. Правительства, бизнесмены, диссиденты, скучающие компьютерные профессионалы и преступники атакуют друг друга — и обычных пользователей — ежедневно.
Хакерство бывает разное, но мы рассмотрим здесь сетевые атаки, поскольку именно они больше всего затрагивают обычных людей. Некоторые из этих атак, например, мстительные атаки группы Anonymous, становились широко известны, поскольку переводили сайты в режим оффлайн или добавляли граффити на главные страницы сайтов. О других сообщают очень редко, хотя они происходят что ни день, принося преступникам солидные суммы.
Если у вас есть сайт, вы, без сомнения, наблюдали множество попыток атаки по записям в своем журнале. Будучи пользователем, вы, скорее всего, наблюдали результаты этих атак в виде спама (помните эти завлекательные ссылки?); а может, вам сильно не повезло, и вы лишились некой личной информации, когда был атакован сервер.
В любом случае, мы все живем в тесно связанном мире, в котором все больше и больше наших ценностей хранятся в цифровых хранилищах, а не в физических сейфах. Остается или просто устроиться поудобнее и ждать, когда правительство и провайдеры нас защитят, или самим осознать все возможные угрозы и заняться самозащитой.
Мы покажем вам некоторые хакерские инструменты изнутри, потому что защитить себя можно, только разобравшись, от чего защищаешься.
Мы рассмотрим четыре разных типа атак – отказ в обслуживании (DDoS), «посредник [man-in-the-middle]», межсайтовый скриптинг и атаки внедрения – и покажем, как именно их используют преступники в наше время и что надо сделать, чтобы вы сами или ваш сайт не пали их жертвами.
*Правовое обоснование
В разных странах законы о хакерстве разные, и мы не можем дать конкретных юридических советов. Но будет обоснованно заявить, что применение любой из описываемых здесь технологий к сайту без разрешения от его владельца на таковое во многих странах является незаконным.
Если вы работаете в компании или в организации, у вас должно быть письменное разрешение от соответствующих должностных лиц на проведение указанных мероприятий. Так вы застрахуете себя от возможных проблем при недопонимании происходящего.
«Мы покажем вам хакерские инструменты изнутри.»
СЕТИ
Взлом WordPress
Атака на web-приложение.
По мере роста мощи HTML5 и скорости JavaScript, web-приложения распространяются все шире. Ubuntu и некоторые другие дистрибутивы обращаются с ними, как с приложениями первого ряда, а Mozilla создает смартфон, строящий все свои функции именно на них. Однако вместе с ними на передний план выходят уязвимости, которых раньше не было.
Мы рассмотрим данную область, используя в качестве примера WordPress – не потому, что это плохое приложение, а потому, что его популярность и способность к расширению сделали его мишенью для атак. Ни одна из описываемых здесь атак не уникальна для этой платформы, и они характерны для многих web-приложений, вне зависимости от того, построены ли они на CMS.
Поскольку мы предпочитаем показать, как работает атака, а не пояснять ее, мы создали виртуальную машину (ВМ), на которой работает уязвимая версия WordPress. Она имеется на диске, и ее можно скачать с www.linuxformat.com/content/downloads.
Обзаведясь ею, следуйте нижеприведенному пошаговому руководству по установке. Вам понадобится VirtualBox; в остальном она работает почти на любом дистрибутиве. Мы использовали формат блогов в WordPress, чтобы показать, как ее взломать, так что запускайте ее и приступайте.
Как только вы обнаружите атаку, блог также сообщит вам в подробностях, как защититься, чтобы проверить, удастся ли заделать дыры в системе безопасности, прежде чем двигаться дальше.
Защитите себя
Если вы работаете в web-приложении, вы просто обязаны осознавать все риски. Уязвимости могут зайти дальше самого приложения, поскольку атакующему, возможно, удастся захватить контроль над сервером. Если вы используете готовое ПО (типа WordPress), неплохо запомнить такое правило: чем проще и стандартнее ПО, тем легче быть в курсе дел и постоянно поддерживать обновления. Всегда проверяйте, чтобы у вас была самая последняя версия всех программ.
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить
Intrusion Detection Systems [Система Обнаружения Вторжения] и Intrusion Prevention Systems [Системы Предотвращения Вторжения] (IDSs и IPSs) помогают снизить ущерб, причиняемый атакующим, однако не стоит считать их этакими серебряными пулями, способными разрешить все ваши проблемы с безопасностью. И не менее важно, чтобы у вас были установлены и должным образом настроены SELinux или AppArmour.
Если вы используете специализированное web-приложение, вы должны быть уверены, что вам знакомы разные технологии, используемые атакующими. Отличный стартовый пункт – сайт OWASP (Open Source Web Applications Security Project – Проект безопасности web-приложений с открытым кодом), https://www.owasp.org. Если на вашем сайте хранятся важные данные, стоит посоветоваться со специалистом по поводу обеспечения безопасности их хранения.