Saytni buzish usullari

Barchaga salom, bugun sizlar bilan hakerlar saytlarni buzishda qaysi usullardan foydalanishlarini ko`rib chiqamiz. Mazkur ma`lumot o`quvchiga saytlarni buzishni o`rgatmaydi(bu aniq), shu sabab, meni yomon ko`rishingiz uchun 1 ta sabab kamayadi degan umiddaman.

Har qanday tizim borki, unda xato bor. Xatoni topish orqali oldini olish yoki yovuz maqsadlarda foydalanish mumkin. Quyida, dunyoda eng ko`p tarqalgan “buzg`unchi hakerlar” ning ish vaqtida qo`llaydigan usullari:

FISHING – baliq ovi

Fishing orqali asosan foydalanuvchining login va paroli o`g`irlanadi. Qanday qilib deysizmi ?

Haker, biron saytning tashqi ko`rinish jihatidan kopiyasini yasaydi va yangi sayt ochadi. Sayt nomi ham o`lja saytnikiga deyarli o`xshash bo`lishi kerak. Sayt ochildi – bu qarmoq tashaldi degani. Foydalanuvchi adashib hakerning saytiga kirib qolsa, tashqi ko`rinish jihatida u originaldan qolishmaganligi sabab, login parolini terib, o`z profiliga kirishga urinadi. Natijada, hakerning saytida foydalanuvchi ma`lumotlari qoladi va foydalanuvchi original saytga yo`naltiriladi. Kuf-suf. Foydalanuvchi orada nima bo`lganini xatto tushunmaydi ham.

Bekorga baliq ovi emas. Bunda haker, o`ljasini huddi baliqchi baliqni kutganidek kutadi. Buzg`unchi o`z saytiga foydalanuvchini turli aldovlar bilan taklif qiladi: Oson pul ishlash, qizlar yoki boyib ketish siri va h.k.

Bu usul bilan asosan ijtimoiy tarmoqlardagi profillarni o`g`irlashadi.

XSS — Cross Site Scripting – Saytlar aro skripting

Foydalanuvchilar habar qoldira oladigan har qanday tizim – xss hujum o`ljasiga aylanishi mumkin. Masalan, forumlar, muhokamalar va chatlar. Agar saytdagi fltratsiya yaxshi ishlamasa, haker akamiz undan foydalangan holda, “buzg`unchi Javascript kod” ni habar ko`rinishida qoldirishlari mumkin. Javascript kodlar foydalanuvchi brauzerida ijro bo`lgani sabab, shu kod yozilgan sahifani ochgan har bir foydalanuvchi – o`ljaga aylanishi mumkin.

Brauzerda cookie ma`lumotlar saqlanadi. Cookie da esa, sessiya kodi bilan birga login va parollar ham saqlanishi ehtimoldan holi emas. Haker, XSS kod yordamida foydalanuvchi brazuzerida saqlangan kodlarni o`g`irlab olishi mumkin.

 

SQL inyeksiya – ma`lumotlar bazasiga hujum

Saytga kelayotgan sorovlar to`g`ridan to`g`ri , filtrlanmasdan ma`lumotlar bazasi bilan bog`lansa – bu juda katta xatolik. Hakerlar bu hatolikni SQL inyeksiya deb atashadi.

Buni ham o`qib ko`ring:   Top 10 Hakkerlik hujumlari

Masalan: Sizning muloqot uchun ochilgan chat saytingiz bor. Unda foydalanuvchi “habarni o`chirish” tugmachasiga bosganida u yozgan habar o`chib ketishi kerak. Amalda bu:

http://chat.uz/index.php?xabar=52&delete=yes&user=Olim

Bunda : xabar = xabar ID si, delete = o`chrishga tasdiq, user= Foydalanuvchi nomi

Foydalanuvchi “habarni o`chirish” tugmachasiga bosgana mana shu ssilkadan o`tadi.

Ssilkaga bosganda, saytga quyidagi SQL so`rov ketadi:

Mysql_query(“delete from `chat` where `id` = ‘.$_GET[‘id’].’ & `user` = ‘.$_GET[‘user’].’)

E`tibor bergan bo`lsangiz $_GET[‘id’] va $_GET[‘user’] dan kelayotgan ma`lumotlar filtrlanmadi. Ya`ni to`g`ridan to`g`ri bazaga murojaat qilmoqda. Agar shu joyiga hakerjon:
http://chat.uz/index.php?xabar=86&delete=yes&user=Tohir so`rovini brauzerga kriitsa, Tohir tomonidan yozilgan 86 chi habar o`chib ketadi. Uzoq o`ylab o`tirmasdan, haker barcha foydalanuvchilar yozgan ma`lumotlarni o`chirib tashlashi mumkin.

CSRF — Cross-Site Request Forgery – Nima bo`lganini o`zim ham bilmayman

Foydalanuvchi hakerning saytiga kirib, o`zi bilmagan holda u ro`yhatdan o`tgan boshqa saytda habar qoldirishi mumkin

Masalan:

  • Tohir vkontakte.ru saytida ro`yhatdan o`tgan
  • Haker, Tohirni o`zining buzg`unchi saytiga taklif qiladi
  • Saytga kirganida, vkontakte.ru dagi habar yozish formasining 100% kopiyasi bo`ladi
  • Haker, Tohir saytga kirishi bilan Javascript kod orqali “form.submit” metodini qo`llaydi va vontakte.ru saytiga formadagi yashirin matnni jo`natmoqchi bo`ladi
  • ru sayti Tohirdan habar kelganini biladi, chunki Tohir bu saytda ro`yhatdan o`tgan va cookiesi brauzerda saqlanib turibdi.
  • Formadagi o`zgaruvchilar original saytniki bilan bir hil bo`lgani sabab, Vkontaktedagi Tohirning habarlarida hakerning forma orqali jo`natgan yashirin matni qo`shilib qoladi.
  • Ana shundan keyin, haker Tohirning nomidan Vkontakteda turli habarlarni qoldirishni boshlaydi. O`yin boshlandi!

 

DOS — Denial Of Service – HUJUM – server javob bermayapti

Saytga bir vaqtning o`zida judayam ko`p marotaba murojaat qilinsa u qotib qoladi va so`rovlarga javob bera olmaydi. Natijada saytning serveri yo kuyadi yoki 1 2 soat balki kunga ishdan chiqadi. Bu vaqt ichida saytga hech kim kira olmaydi.

Masalan: Siz do`konda sotuvchisiz. Haridorlar birma-bir kelib sizdan biron maxsulotni narxini so`rashadi. Tasavvur qiling, bir vaqtning o`zida 1000 ta odam kelib “mana bu nech puldan”, “mana buni narxini aytib yuboring”, “kilosimi yoki donasi ?” degan savollarni berishsa. Siz qaysi biriga javob berishni bilmay, kassa ortiga berkinib olasiz.

Buni ham o`qib ko`ring:   Blockchain sodda tilda

Har bir sayt ma`lum bir serverda joylashgan bo`ladi. Unda belgilangan maksimal so`rovlar limidan oshib ketsa, server so`rovlarga javob qaytara olmaydi

Hakerlar asosan bir necha kompyuterlardan maxsus dasturlar orqali saytlarga shunaqa hujumlar uyushtirib turishadi. Ishtaha ochish uchun juda yaxshi usul.

Brutfors – parollarni terib chiqish

Haker o`ljaning saytdagi paroli to`g`ri kelmaguncha turli kombnatsiyalarni terib chiqadi.

Masalan, vkontakte.ru saytida sizning parolingiz : 123456. Haker sizni loginingizni bilgan holda, vkontakte.ru saytiga kirib:

Loginga — Tohir

Parolga – 000001 teradi.

Vkontakte sayti bunday login parolli foydalanuvchi mavjud emas deydi. Shunda u parolni 000002 qiladi va shu yo`sinda 123456 gacha urinib ko`radi.

Albatta, haker bu ishni qo`lda emas, bir necha kompyuter va maxsus dastur orqali amalga oshiradi. Parol qanchalik sodda bo`lsa, uni topish shunchalik oson kechadi.

Ijtimoiy injeneriya – o`zimizni tilda shpionlik

Bu usul haqiqiy san`at asari. Bunda o`lja bilan tanishib, undagi ma`lumotlardan foydalangan holda, saytdagi parolini topish orqali profil o`g`irlanadi.

Masalan, Tohirning vkontakte dagi parolini o`g`irlamoqchisiz. Bunda haker vkontakte da ketvorgan jonon qizni rasmini qo`yib, qiz bola nomidan profil ochadi va Tohir bilan tanishadi. Ularning ishqiy romanlari davomida haker Tohirning telefon raqamini, tug`ilgan yilini, yaxshi ko`rgan ovqatiyu kinolarini, E-mail pochtasini bilib oladi va ularning turli kombinatsiyasidan foydalanib vkontaktedagi Tohirning parolini aniqlashga urinadi. Oramizda, parolga telefon raqamini yoki tug`ilgan yilini qo`yadiganlar kammi ? Deyarli hamma.

Xulosa:

Maqoladan:

  1. Ijtimoiy tarmoqlardagi va tanishuv saytdagi qizlarning hammasi ham “qiz bola” emasligini
  2. Parollani iloji boricha murakkabroq qilishni
  3. Biron saytga kirganda, har ehtimolga qarshi domenni to`g`ri yozilganligini tekshirishni o`rganib oldingiz degan umiddaman.
  4. Namunalardagi Tohir ismi shunchaki tasodif, meni Tohirlarga hech qanday adovatim yo`q

O`zingizni ehtiyot qiling , ma`lumotlar asri o`ljasiga aylanib qolmang.

11 комментариев

  1. Masalan men lark.ru sayti mehmonxonasini buzuvchi dastur yasadim, java telda. Ma’lumki, Lark.ru meh.ining admin paneliga kirish lark.ru/gb.lm?u=sayt&secret=xxxxx linki orqali amalga oshiriladi. xxxxx bu 5 raqamdan iborat mahviy kod. Meni dasurim aynan o’shani oldin 00000 keyin 00001 va hokazo terib boradi. Lekin taxminan 3 kunlarda kodni topsa kerak 🙂

Leave a Reply

Ваш e-mail не будет опубликован.