การรู้วิธีโจมตีช่วยให้คุณสร้างกลยุทธ์การป้องกันที่มีประสิทธิภาพ - กฎนี้มีความเกี่ยวข้องไม่เฉพาะในแวดวงกองทัพเท่านั้น แต่ยังรวมถึงบนอินเทอร์เน็ตด้วย เมื่อเข้าใจวิธีที่แฮ็กเกอร์แฮ็กเว็บไซต์ คุณจะสามารถปิดช่องโหว่ที่เป็นไปได้ของทรัพยากรของคุณล่วงหน้า
คำแนะนำ
ขั้นตอนที่ 1
"การอัปโหลดเชลล์ไปยังไซต์" หมายถึงการใช้ช่องโหว่บนไซต์เพื่อแทรกสคริปต์ที่เป็นอันตราย (เว็บเชลล์) ที่อนุญาตให้แฮ็กเกอร์ควบคุมไซต์ของบุคคลอื่นผ่านทางบรรทัดคำสั่ง เชลล์ PHP ที่ง่ายที่สุดมีลักษณะดังนี้:
ขั้นตอนที่ 2
แฮ็กเกอร์ไม่จำเป็นต้องสร้างเว็บเชลล์ของตัวเอง โปรแกรมดังกล่าวเขียนมาเป็นเวลานานและมีชุดฟังก์ชันจำนวนมาก งานของแฮ็กเกอร์คือการอัปโหลดเชลล์สำเร็จรูปไปยังไซต์ โดยปกติจะใช้การฉีด SQL และ PHP สำหรับสิ่งนี้
ขั้นตอนที่ 3
การฉีด SQL ใช้ประโยชน์จากข้อผิดพลาดในการเข้าถึงฐานข้อมูล โดยการใส่รหัสลงในคำขอ แฮ็กเกอร์สามารถเข้าถึงไฟล์ฐานข้อมูลได้ เช่น การเข้าสู่ระบบและรหัสผ่าน ข้อมูลบัตรธนาคาร ฯลฯ การฉีด PHP ขึ้นอยู่กับข้อผิดพลาดในสคริปต์ PHP และอนุญาตให้เรียกใช้รหัสบุคคลที่สามบนเซิร์ฟเวอร์
ขั้นตอนที่ 4
คุณจะทราบได้อย่างไรว่าไซต์ของคุณมีช่องโหว่หรือไม่ เป็นไปได้ที่จะป้อนคำสั่งบางอย่างด้วยตนเอง ป้อนค่าให้กับแถบที่อยู่ ฯลฯ แต่ต้องใช้ความรู้บางอย่าง นอกจากนี้ยังไม่มีการรับประกันว่าคุณจะทดสอบทุกตัวเลือกที่เป็นไปได้ ดังนั้น ให้ใช้ยูทิลิตี้เฉพาะสำหรับการตรวจสอบ เช่น โปรแกรม XSpider นี่เป็นโปรแกรมที่ถูกกฎหมายอย่างแท้จริงซึ่งสร้างขึ้นสำหรับผู้ดูแลระบบเครือข่าย ด้วยความช่วยเหลือที่คุณสามารถตรวจสอบไซต์ของคุณเพื่อหาช่องโหว่ได้ สามารถดูการสาธิตได้ทางออนไลน์
ขั้นตอนที่ 5
มีโปรแกรมมากมายสำหรับค้นหาช่องโหว่ที่สร้างโดยแฮกเกอร์ การใช้ยูทิลิตี้เหล่านี้ ผู้ดูแลระบบสามารถตรวจสอบไซต์ของเขาด้วยเครื่องมือเดียวกันกับที่อาจพยายามแฮ็ค หากต้องการค้นหาเครื่องมือเหล่านี้ ให้ค้นหา "SQL Scanner" หรือ "PHP vulnerability scanners" ตัวอย่างของยูทิลิตี้ที่ช่วยให้เมื่อมีช่องโหว่ของ SQL เพื่อรับข้อมูลจากฐานข้อมูลคือ Havij - Advanced SQL Injection Tool คุณสามารถตรวจสอบไซต์ของคุณเพื่อหาช่องโหว่ของ SQL ได้โดยใช้ยูทิลิตี้แฮ็กเกอร์ NetDeviLz SQL Scanner ช่องโหว่ที่ระบุควรถูกกำจัดทันที