Xin chào tất cả mọi người hôm nay vô ưu sẽ hướng dẫn các bạn cách
để tìm kiếm được lỗi exploit trên hệ thống website nào đó mà chúng ta định tấn
công nó.
để tấn công một
website chúng ta cần có kỹ năng tìm lỗi và soát lỗi trên website victim từ đó
kiểm soát cửa sau của website và chiếm quyền admin của website vậy kỹ năng đó
bao gồm những gì và cần nhắm tới những gì trên website? đây là 2 câu hỏi sẽ
được đặt ra cho các bạn khi xác định hack tấn công vào một web nào đó.
Điều đầu tiên các
bạn cần có đó là am hiểu về mã nguồn mà victim đang sử dụng ở đây trong bài
viết này chúng ta sẽ lấy mã nguồn Wordprees để nghiên cứu tìm lỗi và hack đối
với các website khác sẽ tương tự như thế. như vậy để hack được wordprees
thì chúng ta cần am hiểu về nó vậy làm sao để am hiểu về nó các bạn có thể bỏ
thời gian ra để học mã nguồn wordprees để hiểu về nó tuy nhiên theo phương
pháp của mình các bạn không cần học về nó quá nhiều các bạn chỉ cần biết về nó
chút ít là được các bạn có thể tham khảo cái cách của mình hay dùng như sau
+ tải toàn bộ các phiên bản của wordpress về máy tính cái này có
tác dụng để bạn so sánh các phiên bản với nhau và chú ý đối với tất cả mã nguồn mở khi nâng cấp phiên bản nó đều có 1 cái đó là “FIX BUG” nào
đó trên mã nguồn chúng ta hãy ngồi lại xem cái mà nó fix là cái gì để làm gì
lỗi ở đâu và tập khai thác nó trên mã nguồn cũ kỹ đã được công bố lỗi đó từ đó
nâng cao kỹ năng hacking và vô tình nếu victim dùng mã nguồn cũ chúng ta cũng có thể thực hành trên nó theo cách mà chúng ta đã học được từ việc cài mã nguồn lên
localhost và tự thực hành khai thác lỗi
+ phải tìm hiểu và xác định toàn bộ plugin mà web đó đang cài đang
sử dụng đây là bước khó nhất trong hacking yêu cầu các bạn cần tinh ý chú ý các
đường dẫn trên các webpage để phát hiện các plugin đang được cài hoặc các bạn
có thể view-source mã ngồn để tìm kiếm cũng như tìm thấy các link của các
plugin đã được cài trên web đó
+ cài đặt thử các plugin mà victim đang cài để xác định đường dẫn
cho chính xác từng link một của plugin đảm bảo không bỏ sót bất cứ link nào
trên website đối với mã nguồn mở thì link bài viết chúng ta thường bỏ qua vì rất hiếm khi nó lỗi ở đó và lỗi hay gặp ở plugin nên chúng ta tập trung tìm nó
xác định nó sau khi đã xây dựng được tất cả các link theo mô hình giống victim
chúng ta tiên hành truy vấn trên website của victim xem link đó có tồn tại hay
không chú ý chỉ truy vấn các link có thể gây ra các lỗi sql injet., xss,
exploit nào đó… và chúng ta kiểm tra link đó nếu nó lỗi thì chúng ta phang nó
ngay lập tức khai thác lỗi đó và chúng ta sẽ hack được sever của victim
+ ở cách trên mình hướng dẫn các bạn cài plugin và tự check trên
máy tính của mình thông qua localhost nhưng ngoài ra còn một cách nữa là các
bạn có thể seach trên google xem các plugin đang được victim sử dụng có mắc lỗi
nào hay không? Trùng phiên bản mà victim đang dùng hay không?.... và tiến hanh
tấn công thử xem có lỗi đó trên website victim hay không? Nếu có thì chúng ta
sẽ hack web đó thông qua lỗi đã được công bố, còn nếu không chúng ta sẽ tiến
hành về bước trước cài plugin+mã nguồn lên localhost và test trên máy mình để
xác định lỗi website có thể mắc phải
Như vậy chúng ta đã hoàn thành song biện pháp tìm lỗi website có
thể mắc phải để tiến hành tấn công thủ công ở bài sau mình sẽ giới thiệu tiếp
về
Dùng tools để xác định lỗ hổng tấn công website
Xóa dấu vết sau khi tấn công website
0 nhận xét:
Post a Comment