Tuhinga o mua. Tirohia te pae. He hōtaka hei tirotiro i te pae mo te whakaraerae

Ko te raruraru o te haumarutanga o te paetukutuku kaore i roa ake i te rau tau 21. Ko te tikanga, he tika tenei ki te tohatoha matawhānui o te whatunga Ipurangi i roto i nga waahanga katoa me nga waahi. I nga ra katoa, ka kitea e nga kaiwhakangungu me nga tohunga haumarutanga etahi whakaraeraetanga hou o nga pae. Ko te nuinga o enei kua katia e nga rangatira me nga kaihanga, me etahi e noho ana. Engari ka whakamahia e te hunga hara. Engari ma te awhina o tetahi pae hacked, ka taea e koe te kino kino ki ona kaiwhakamahi me nga kaiwhakarato e manaakihia ana.

Ngā momo whakaraeraetanga pae

I te wa e hangaia ana nga paetukutuku, he maha nga hangarau hiko e hono ana. Ko etahi he tino pai, he whakamatautau-waahi, engari he mea hou, engari kaore i te rere. I tetahi take, he maha nga momo o nga pae whakaraerae:

• XSS. He waahi iti noa o ia pae. Ma te awhina, ka tuhia e nga kaiwhakamahi nga raraunga me te whiwhi i nga hua, ka whakahaere i te rēhitatanga, ka tuku karere ranei. Na roto i te whakakapinga o nga uara motuhake ki enei puka, ka taea ki te whakatinana i te mahi o tetahi tuhipoka, ka taea te takahi i te tika o te pae me te whakawhitinga raraunga.
• Hapa SQL. He huarahi tino pai me te whai hua ki te uru atu ki nga raraunga haumaru. Ka taea te puta mai i roto i te pae wāhitau, i nga puka ranei. Ka tukuna te tukanga ma te huri i nga uara e kore e taea te whakakore i nga tuhi me te whakaoti i nga uiuinga i roto i te papaarapu. A ma te mohio tika, ka taea e tenei he raruraru haumarutanga.

• Nga hapa HTML. Tata rawa ki te XSS, engari kaore i te whakauru i te waehere hōtuhi, engari ko te HTML.
• Ko te whakaraerae o nga pae e pa ana ki te whakauru i nga kōnae me nga raupapa whaiaro i nga waahi taunoa. Hei tauira, i te mohio ki te hanganga o nga whārangi tukutuku, ka taea e koe te tiki ki te waehere o te papa whakahaere.
• Ko te whiriwhiringa iti o te haumarutanga pūnaha mahi i runga i te tūmau. Mena he ahuatanga whakaraerae tenei, ka taea e te kaiwhaiwhai te whakaoti i te waehere whaimana.
• Kupuhipa kino. Ko tetahi o nga whakaraeraetanga tino kitea o nga paetukutuku ko te whakamahinga o nga uara ngoikore ki te tiaki i to putea. Rawa ki te mea he tika nga kaiwhakahaere.
• Te parenga o te takitaki. Whakamahia i te whakakapi i nga raraunga mai i te mahara, na ka taea e koe te whakarereke i to huringa. Ka tupu i te wa e whakamahi ana i te rorohiko kore.
• Te whakakapi i nga whārangi o te rauemi tukutuku. Te tuhi i tetahi kape tika o te pae, ma te haere ki te kore e whakaarohia e te kaiwhakamahi he tinihanga paru me te whakauru i ana raraunga whaiaro, i muri i te wa e haere ana ki te kaiwhai.
• Tuhinga o te mahi. Ko te tikanga, ko tenei tau e pa ana ki te whakaeke i runga i te tūmau ina whiwhi ia i te maha o nga tono kaore e taea e ia te tukatuka me te "hinga iho" kaore ranei e taea te whakamahi i nga kaiwhakamahi pono. Ko te whakaraerae ko te kaitautoko IP kaore i te whirihora tika.

Rapua nga whakaraerae pae

Ka whakahaerehia e nga tohungatanga haumaru he tirotiro motuhake o nga rauemi paetukutuku i te aroaro o nga hapa me nga hapa e taea ai te hacking. Ko te tiwhikete o tenei pae ka kiia he pentasting. I roto i te tukanga, te waehere puna e whakamahia ana e te CMS, kei te tohua te aroaro o nga waahanga whakaraerae me te maha atu o nga arowhai pai.

Hapa SQL

Ko tenei momo tirotiro tirotiro ka whakatauhia mehemea ka tautuhia e te tuhinga te uara i te wa e tuhia ana nga uiuinga ki roto i te papatohu. Ka taea e koe te whakahaere i nga whakamatautau māmā ake. Me pehea te kimi i te whakaraerae SQL i runga i te pae? Na ka whakaarohia tenei.

Hei tauira, he pae kei toku-pae.rf. He pukapuka kei tona wharangi matua. Ka tae atu ki roto, ka kitea e koe i roto i te waahi parekura tetahi mea penei i taku-site.rf /? Product_id = 1. He mea pea he tono tenei ki te paataka. Hei kite i nga whakaraerae o te pae, ka taea e koe te ngana tuatahi ki te whakakapi i tetahi tohu korero kotahi i roto i tenei raina. I te mutunga, me waiho taku-site.rf /? Product_id = 1 '. Mena ka kite koe i te karere hapa ka pati koe i te ki "Tomo" ki te whaarangi, kaore he raruraru.

Na ka taea e koe te whakamahi i nga waahanga rereke hei whiriwhiri i nga uara. Ko nga kaiwhakahaere wehewehenga, nga tuunga, nga korero, me te maha atu o te tono.

XSS

Ko tenei momo whakaraerae e rua nga momo - he kaha me te paahure.

Ko te mahi whakauru ko te whakauru i tetahi waahanga ki roto i te papatohu raraunga ranei, ki tetahi kōnae kei runga i te kaimau. He nui atu te kino me te kore e mohiotia.

Ko te mahinga putea ko te whakatairanga i te patunga ki tetahi tautuhinga motuhake o te pae kei roto i te waehere kino.

Ma te whakamahi i te XSS, ka kahakina e nga kaiwhai nga pihikete. Ka taea hoki e ratou te raraunga kaiwhakamahi nui. Ko nga putanga kino rawa atu ko te tahae o te waahi.

Waihoki, ka taea e te kaitaware te whakamahi i te tuhinga i te pae kia ahei ai te puka i te wa e tukuna ana e te kaiwhakamahi i nga korero tika ki nga ringa o te kaiwhiwhi.

Whakatika i te tukanga rapu

I roto i te whatunga, ka taea e koe te kite i te maha o te pae whakaraerae whakaraerae. Ko etahi e wehe motuhake ana, ka tae mai etahi me te maha o nga mea rite, ka uru ki tetahi ahua noa, penei ko Kali Linux. I muri iho, ka whakaatuhia he tirohanga o nga taputapu tino rongonui mo te tukatuka i te tukanga o te kohikohi korero mo nga whakaraerae.

Nmap

Ko te rapanga whakaraerae rawa o te pae, ka whakaatu i nga taipitopito pēnei i te pūnaha whakahaere, nga awa me nga ratonga e whakamahia ana. Tauira tauira tauira:

Nmap -sS 127.0.0.1, kei hea te IP rohe, me whakakapi i te waahi o te pae whaitake i raro i te whakamatautau.

Ka whakaaturia e te putanga ki a koe nga ratonga e whakahaere ana i reira, a, kei hea nga awa e tuwhera ana i taua wa. I runga i tenei korero, ka taea e koe te ngana ki te whakamahi i nga whakaraeraetanga i tautuhia kua tautuhia.

Anei etahi perepi iti noa mo te karapa nui ake:

• -A. Ko te matawai kino, ka maka i te maha o nga korero, engari ka nui te wa.
• -O. Ngana ki te whakatau i te pünaha mahi e whakamahia ana i runga i te tūmau.
• -D. Ka whakakapi i nga wahitau IP i tohua ai te haki, na, i te wa e kite ana i nga waitohu kaore e taea te whakatau i te wahi i puta mai ai te parekura.
• -p. Rangi o nga awa. Te arowhai i etahi ratonga hei tuwhera.
• -S. Ka āhei koe ki te tautuhi i te wāhitau IP e hiahiatia ana.

WPScan

Ko tenei kaupapa mo te tirotiro i te pae mo te whakaraerae kei roto i te tohatoha o Kali Linux. Kei te arotahi ki te tirotiro i nga rauemi tukutuku i runga i te punaha whakahaere rorohiko. Kua tuhia ki a Ruby, na reira ka timata penei:

Tuhinga ka whai mai ./wpscan.rb --help. Ka whakaatu tenei whakahau i nga taviri me nga reta katoa e wātea ana.

Hei whakahaere i tetahi whakamatautau maatauka, ka taea e koe te whakamahi i te whakahau:

Ruby ./wpscan.rb --url some-site.ru

I te nuinga o te wa, ko te WPScan he mea tinowari-ki-te whakamahi mo te tirotiro i to pae i runga i te WordPress mo nga whakaraerae.

Nikto

Ka tirotiro te papatono i te pae mo te whakaraerae, kei te kitea hoki i te tohatoha o Kali Linux. Kei a ia he mahi nui mo tona ahuatanga katoa:

• Te tirotiro i nga kawa HTTP me HTTPS;
• Te takahi i te maha o nga taputapu hanga-i roto;
• Ko te maha o nga taatai taatai, tae noa ki te waahanga kore-paerewa;
• Tautoko mo te whakamahi i nga tūmau takawaenga;
• He whai waahi ki te whakatinana me te hono i nga mono-mai.

Ki te whakahaere i te nikto, me uru koe ki te rorohiko. Koinei te waahanga o te waahanga o te nuinga:

Perl nikto.pl -h 192.168.0.1.

Ka taea e te papatono te "whangai" i te kōnae kuputuhi, e whakariterite ana i nga wahitau o nga tūmau tukutuku:

Perl nikto.pl -h file.txt

Kaore tenei kaupapa e awhina i nga kaitohutohu haumaru ki te whakahaere i nga whakataunga, engari me nga kaiwhakahaere whatunga me nga rauemi hei pupuri i te mahi o nga pae.

Pikitia Kaitiko

He taputapu tino kaha mo te tirotiro i nga pae anake, engari ka aroturuki i tetahi whatunga. He mahi hangaia hei whakarereke i nga tono tuku ki te tūmau i raro i te whakamatautau. He matawai atamai, ka taea te rapu aunoa i nga momo whakaraerae i te wa kotahi. Ka taea te whakaora i te hua o te ngohe o naianei, a ka whakahoki ano. Maehe, e kore e taea e koe te whakamahi noa i nga mono-mai-tuatoru, engari ano hoki ki te tuhituhi i a koe ake.

Ko te utanga he taangata whakairoiro mona, he mea tino tika, he tino mo nga kaiwhakamahi novice.

SQLmap

Koinei te taputapu tino watea me te kaha hei rapu i nga whakaraeraetanga SQL me te XSS. Ka taea te whakaatu i te rarangi o ona hua penei:

• Te tautoko mo te nuinga o nga momo whakahaere whakahaere paerewa;
• Te kaha ki te whakamahi i nga tikanga taketake e ono hei tautuhi me te whakamahi i nga injections SQL;
• Aratau mo te tautuhi i nga kaiwhakamahi, o ratou haumaru, kupuhipa, me era atu raraunga.

I mua i te whakamahi i SQLmap, ka kitea i te nuinga o te pae he pae whakaraerae mā te whakamahi i nga engines rapu, nga uiui rapu e awhina ana i te wero i nga rauemi tukutuku e tika ana.

Na ka hurihia te korero o nga whārangi ki te papatono, a ka arowhaihia e ia. Mena kua kitea pai te whakaraerae, ka taea e te whakamahinga te whakamahi me te uru atu ki te rauemi.

Kaipupuri

He taonga iti e taea ai e koe te whakahaere i te whakaeke i te kaha o te kaha. Ka taea e "nga kino" te ahua o te rauemi, te waahi, nga tawhito o te pae. Kei te tautoko i te multithreading, he pai hoki mo te mahi. Ka taea hoki e ia te tohu i nga kupuhipa i roto i nga whaarangi whakauru. Kei te tautoko i te takawaenga.

Ngā Rauemi Whakamana

He maha nga taputapu a te whatunga mo te whakamatautau i te whakaraerae o nga pae ipurangi:

• Coder-diary.ru. He paewari mo te whakamatautau. He nui ki te whakauru i te waahi o te rauemi whakamatautau ka panui "Tirohia". Ka roa te waahi ka taea e koe te rapu, na ka taea e koe te tautuhi i to wahitau īmēra kia ka oti te haki, ka tukuna tika te hua ki te pouaka. Ko te pātengi raraunga e pā ana ki te 2500 nga whakaraerae i mohiotia.
• Https://cryptoreport.websecurity.symantec.com/checker/. Ratonga tuihono mo te tirotiro mo nga tiwhikete SSL me TLS mai i Symantec. Ko te kounga o te rauemi kei te aroturukihia e hiahiatia ana.
• Https://find-xss.net/scanner/. Ka tirotirohia e te kaupapa tetahi kōnae motuhake o nga pae PHP i runga i te whakaraerae, i to raatau puranga ranei i te whakatakotoranga ZIP. Ka taea e koe te tautuhi i nga momo o nga kōnae hei tirotiro me nga horopaki e mawhiti ai nga raraunga o te tuhinga.
• Http://insafety.org/scanner.php. He kaitohu mo nga waahi whakamatautau i runga i te paparanga "1C-Bitrix." Atangawari me te ngawari.

Te Algorithm hei whakamatautau i te whakaraerae

Ko tetahi tohunga haumarutanga whatunga e mahi ana i te arotakenga whakawhitinga algorithm:

1. Tuatahi, ma te ringa ranei, ma te awhina ranei o nga taputapu automatics e tirotiro ana mehemea he raruraru kei runga i te pae. Mena na, ka whakatauhia e ia te momo.
2. I runga i te ahua o te whakaraerae kei reira, ka hangaia e ia etahi atu waahanga. Hei tauira, ki te mohiotia te CMS, ka whiriwhiria te tikanga whakaeke tika. Mena he taangata SQL tenei, ka tohua nga uiuinga ki roto i te papatohu.
3. Ko te mahi nui ko te whiwhi huarahi whai hua ki te roopu whakahaere. Mena kaore tenei e taea te whakatutuki, ka pai pea te whakamatautau i te puka me te pokanoa o te wahitau me te whakauru i te tuhinga i roto i te waahanga me te whakawhiti atu i te mate.
4. Mena ka angitu tetahi whakaeke, ka uru mai te kohinga o nga raraunga: mehemea he whakaraerae tonu pea, he aha nga whaainga kei reira.
5. I runga i te raraunga o te raraunga i whakawhiwhia, ka whakamōhio te tohungatanga haumaru ki te rangatira o te pae e pā ana ki nga raruraru o mua me nga huarahi o to ratou whakakorenga.
6. Ka whakakorehia nga whakahekenga e ona ringa, ki te awhina ranei o nga rangatira tuatoru.

He torutoru tohutohu haumaru

Ko te hunga e whakawhanake ana i to raatau ake paetukutuku ka whai hua mai i nga tohutohu me nga kupu tohutohu.

Me tautuhi nga raraunga taumai kia kore e taea e nga tuhipoka me nga uiuinga te timata i runga i te paerewa ka hoki mai i nga raraunga mai i te papanga.

Whakamahia nga kupuhipa matatini me te tohe tonu ki te tomo ki te röpü whakahaere kia kore ai e taea te whakauru.

Mena kei te hangahia te pae i runga i te kaupapa o tetahi CMS, me whakahou ano e koe i nga wa katoa ka taea te whakamahi i te mono-ins, profiles and modules. Kaua e whakarahi i te pae ki nga waahanga whaitake.

He mea noa ki te tirotiro i nga raupapa o nga kaimahi mo nga waahi, mo nga mahi ranei.

Tirohia tō pae me te maha o nga matakite me nga ratonga.

Ko te whiriwhiringa tika o te tūmau he tohu mo tona mahi haumaru me te haumaru.

Ki te taea, me whakamahi koe i tetahi tiwhikete SSL. Ma tenei ka aukati i te whakawhitinga o te raraunga whaiaro me te raraunga i waenganui i te tūmau me te kaiwhakamahi.

Ngā taputapu haumaru. He mea tika ki te whakauru, ki te hono ranei i te rorohiko ki te aukati i nga whainga me nga tuma o waho.

Whakamutunga

I puta mai te tuhinga ki te puhoi, engari kaore i te nui ki te whakaahua i nga waahanga katoa o te haumaru whatunga. Hei whakatutuki i te mahi o te tiaki i nga korero, me ako koe i te maha o nga rauemi me nga tohutohu. Ma te rangatira ano hoki o te taputapu me nga hangarau. Ka taea e koe te rapu tohutohu me te awhina mai i nga kamupene ngaio e whai hua ana ki te whakahaere i nga whakamutu me te tirotiro i nga rauemi tukutuku. Ahakoa ka pupuhi nga ratonga ki te nui o te moni, ka nui atu te utu o te haumarutanga o te pae i te taha ahuru me te ingoa pai.