पहले से कहीं ज्यादा लोगों की इंटरनेट तक पहुंच है। इसने कई संगठनों को वेब-आधारित अनुप्रयोगों को विकसित करने के लिए प्रेरित किया है जो उपयोगकर्ता संगठन के साथ बातचीत करने के लिए ऑनलाइन उपयोग कर सकते हैं। वेब एप्लिकेशन के लिए खराब लिखित कोड का उपयोग संवेदनशील डेटा और वेब सर्वर तक अनधिकृत पहुंच प्राप्त करने के लिए किया जा सकता है।
इस ट्यूटोरियल में आप सीखेंगे कि वेबसाइटों को कैसे हैक किया जाता है, और हम आपको वेब एप्लिकेशन हैकिंग तकनीकों से परिचित कराएँगे और ऐसे हमलों से बचाने के लिए आप जो उपाय कर सकते हैं ।
इस ट्यूटोरियल में शामिल विषय
- वेब एप्लिकेशन क्या है? वेब खतरे क्या हैं?
- हैक के खिलाफ अपनी वेबसाइट की सुरक्षा कैसे करें?
- वेबसाइट हैकिंग ट्रिक्स: ऑनलाइन वेबसाइट हैक करें!
वेब एप्लिकेशन क्या है? वेब खतरे क्या हैं?
एक वेब एप्लिकेशन (उर्फ वेबसाइट) क्लाइंट-सर्वर मॉडल पर आधारित एक एप्लीकेशन है। सर्वर डेटाबेस एक्सेस और व्यावसायिक तर्क प्रदान करता है। यह एक वेब सर्वर पर होस्ट किया गया है। क्लाइंट एप्लिकेशन क्लाइंट वेब ब्राउज़र पर चलता है। वेब एप्लिकेशन आमतौर पर जावा, सी #, और वीबी.नेट, पीएचपी, कोल्डफ्यूजन मार्कअप लैंग्वेज आदि भाषाओं में लिखे जाते हैं, वेब अनुप्रयोगों में उपयोग किए जाने वाले डेटाबेस इंजनों में MySQL, MS SQL Server, PostgreSQL, SQLite आदि शामिल हैं।
अधिकांश वेब अनुप्रयोगों को इंटरनेट के माध्यम से सुलभ सार्वजनिक सर्वरों पर होस्ट किया जाता है। यह आसान पहुंच के कारण उन्हें हमलों के लिए असुरक्षित बनाता है। निम्नलिखित सामान्य वेब अनुप्रयोग खतरे हैं।
- एसक्यूएल इंजेक्शन - इस खतरे का लक्ष्य लॉगिन एल्गोरिदम को बायपास करना, डेटा को तोड़फोड़ करना आदि हो सकता है।
- सेवा हमलों से इनकार - इस खतरे का लक्ष्य वैध उपयोगकर्ताओं को संसाधन तक पहुंच से वंचित करना हो सकता है
- क्रॉस साइट स्क्रिप्टिंग XSS - इस खतरे का लक्ष्य कोड को इंजेक्ट करना हो सकता है जिसे क्लाइंट साइड ब्राउज़र पर निष्पादित किया जा सकता है।
- कुकी / सत्र विषाक्तता - इस खतरे का लक्ष्य अनधिकृत पहुंच प्राप्त करने के लिए एक हमलावर द्वारा कुकीज़ / सत्र डेटा को संशोधित करना है।
- फॉर्म टैम्परिंग - इस खतरे का लक्ष्य ई-कॉमर्स अनुप्रयोगों में कीमतों जैसे फॉर्म डेटा को संशोधित करना है ताकि हमलावर को कम कीमतों पर आइटम मिल सकें।
- कोड इंजेक्शन - इस खतरे का लक्ष्य PHP, Python, आदि जैसे कोड को इंजेक्ट करना है जो सर्वर पर निष्पादित किया जा सकता है। कोड बैकडोर स्थापित कर सकता है, संवेदनशील जानकारी प्रकट कर सकता है, आदि।
- डिफेसमेंट - इस खतरे का लक्ष्य एक वेबसाइट पर पेज को संशोधित करना है और हमलावर के संदेश वाले एक पेज पर सभी पेज अनुरोधों को पुनर्निर्देशित करना है।
हैक के खिलाफ अपनी वेबसाइट की सुरक्षा कैसे करें?
एक संगठन वेब सर्वर हमलों के खिलाफ खुद को बचाने के लिए निम्न नीति अपना सकता है।
- एसक्यूएल इंजेक्शन - प्रसंस्करण के लिए डेटाबेस में जमा करने से पहले उपयोगकर्ता मापदंडों को साफ करना और मान्य करना SQL इंजेक्शन के माध्यम से हमला होने की संभावना को कम करने में मदद कर सकता है। MS SQL सर्वर, MySQL आदि जैसे डेटाबेस इंजन मापदंडों का समर्थन करते हैं, और तैयार किए गए कथन। वे पारंपरिक एसक्यूएल बयानों की तुलना में अधिक सुरक्षित हैं
- सेवा हमलों से इनकार - अगर हमले एक साधारण DoS है तो संदिग्ध IP पते से ट्रैफ़िक छोड़ने के लिए फ़ायरवॉल का उपयोग किया जा सकता है। नेटवर्क और इंट्रूज़न डिटेक्शन सिस्टम का उचित कॉन्फ़िगरेशन भी DoS हमले के सफल होने की संभावनाओं को कम करने में मदद कर सकता है।
- क्रॉस साइट स्क्रिप्टिंग - हेडर को मान्य और प्रमाणित करना, URL के माध्यम से पारित पैरामीटर, फॉर्म पैरामीटर और छिपे हुए मान XSS हमलों को कम करने में मदद कर सकते हैं।
- कुकी / सत्र विषाक्तता - यह कुकीज़ की सामग्री को एन्क्रिप्ट करने से रोका जा सकता है, कुछ समय बाद कुकीज़ को समय पर बाहर निकालना, कुकीज़ को क्लाइंट आईपी पते के साथ जोड़ना जो उन्हें बनाने के लिए उपयोग किया गया था।
- फॉर्म टेम्परिंग - इसे उपयोगकर्ता इनपुट को सत्यापित करने और संसाधित करने से पहले सत्यापित करके रोका जा सकता है।
- कोड इंजेक्शन - इसे निष्पादन योग्य कोड के बजाय सभी मापदंडों को डेटा के रूप में मानकर रोका जा सकता है। इसे लागू करने के लिए स्वच्छता और वैधता का उपयोग किया जा सकता है।
- डिफेसमेंट - एक अच्छा वेब एप्लिकेशन डेवलपमेंट सिक्योरिटी पॉलिसी यह सुनिश्चित करना चाहिए कि यह वेब सर्वर तक पहुंचने के लिए आमतौर पर उपयोग की जाने वाली कमजोरियों को सील करता है। यह वेब एप्लिकेशन विकसित करते समय ऑपरेटिंग सिस्टम, वेब सर्वर सॉफ्टवेयर और सर्वोत्तम सुरक्षा प्रथाओं का उचित विन्यास हो सकता है।
वेबसाइट हैकिंग ट्रिक: ऑनलाइन वेबसाइट हैक करें
व्यावहारिक परिदृश्य को हैक करने वाली इस वेबसाइट में, हम www.techpanda.org पर स्थित वेब एप्लिकेशन के उपयोगकर्ता सत्र को हाईजैक करने जा रहे हैं। हम कुकी साइट आईडी को पढ़ने के लिए क्रॉस साइट स्क्रिप्टिंग का उपयोग करेंगे, फिर इसका उपयोग वैध उपयोगकर्ता सत्र को लागू करने के लिए करेंगे।
बनी धारणा यह है कि हमलावर के पास वेब एप्लिकेशन तक पहुंच है और वह उसी एप्लिकेशन का उपयोग करने वाले अन्य उपयोगकर्ताओं के सत्रों को हाईजैक करना चाहेगा। इस हमले का लक्ष्य वेब एप्लिकेशन तक व्यवस्थापक पहुंच प्राप्त करना हो सकता है, यह मानते हुए कि हमलावर का एक्सेस अकाउंट सीमित है।
शुरू करना
- Http://www.techpanda.org/ खोलें
- अभ्यास उद्देश्यों के लिए, SQL इंजेक्शन का उपयोग करके इसे प्राप्त करने के लिए दृढ़ता से अनुशंसा की जाती है। यह कैसे करें के बारे में अधिक जानकारी के लिए इस लेख का संदर्भ लें।
- लॉगिन ईमेल यह ईमेल पता spambots से संरक्षित किया जा रहा है। आपको यह देखने के लिए जावास्क्रिप्ट सक्रिय होना चाहिए।, पासवर्ड Password2010 है
- यदि आपने सफलतापूर्वक लॉग इन किया है, तो आपको निम्नलिखित डैशबोर्ड मिलेगा
- Add New Contact पर क्लिक करें
- पहले नाम के रूप में निम्नलिखित दर्ज करें
यहां,
उपरोक्त कोड जावास्क्रिप्ट का उपयोग करता है । यह ऑनक्लिक ईवेंट के साथ हाइपरलिंक जोड़ता है । जब अप्रशिक्षित उपयोगकर्ता लिंक पर क्लिक करता है, तो ईवेंट PHP कुकी सेशन आईडी को पुनः प्राप्त करता है और इसे URL में सेशन आईडी के साथ snatch_sess_id.php पेज पर भेजता है।
- शेष विवरण नीचे दिखाए अनुसार दर्ज करें
- सेव चेंजेस पर क्लिक करें
- अब आपका डैशबोर्ड निम्न स्क्रीन की तरह दिखाई देगा
- चूंकि क्रॉस साइट स्क्रिप्ट कोड को डेटाबेस में संग्रहीत किया जाता है, इसलिए इसे हर बार उपयोगकर्ताओं को एक्सेस अधिकार लॉगिन के साथ लोड किया जाएगा
- मान लीजिए कि व्यवस्थापक लॉगिन और डार्क कहने वाले हाइपरलिंक पर क्लिक करता है
- उसे URL में सेशन आईडी के साथ विंडो मिलेगी
नोट : स्क्रिप्ट कुछ दूरस्थ सर्वर पर मान भेज सकता है जहां PHPSESSID संग्रहीत है तो उपयोगकर्ता वेबसाइट पर वापस अप्रत्यक्ष कर देता है जैसे कि कुछ भी नहीं हुआ।
नोट : आपको मिलने वाला मूल्य इस वेबपेज हैकिंग ट्यूटोरियल में एक से भिन्न हो सकता है, लेकिन अवधारणा समान है
फ़ायरफ़ॉक्स और टैम्पर डेटा ऐड-ऑन का उपयोग करते हुए सत्र प्रतिरूपण
नीचे दिया गया फ़्लोचार्ट उन चरणों को दिखाता है जिन्हें आपको इस अभ्यास को पूरा करने के लिए करना चाहिए।
- इस अनुभाग और छेड़छाड़ डेटा ऐड-ऑन के लिए आपको फ़ायरफ़ॉक्स वेब ब्राउज़र की आवश्यकता होगी
- फ़ायरफ़ॉक्स खोलें और नीचे दिए गए आरेख में दिखाए गए अनुसार इंस्टॉल करें
- छेड़छाड़ डेटा के लिए खोजें फिर ऊपर दिखाए अनुसार इंस्टॉल पर क्लिक करें
- एक्सेप्ट एंड इंस्टॉल पर क्लिक करें ...
- स्थापना पूर्ण होने पर अभी पुनरारंभ करें पर क्लिक करें
- यदि यह नहीं दिखाया गया है तो फ़ायरफ़ॉक्स में मेनू बार को सक्षम करें
- टूल मेनू पर क्लिक करें और फिर नीचे दिखाए अनुसार टेम्पररी डेटा चुनें
- आपको निम्न विंडो मिलेगी। नोट: यदि विंडोज खाली नहीं है, तो स्पष्ट बटन दबाएं
- स्टार्ट टैम्पर मेनू पर क्लिक करें
- फ़ायरफ़ॉक्स वेब ब्राउज़र पर वापस जाएं, http://www.techpanda.org/dashboard.php लिखें और फिर पेज लोड करने के लिए एंटर की दबाएं
- आपको टैम्पर डेटा से निम्नलिखित पॉप अप मिलेगा
- पॉप-अप विंडो में तीन (3) विकल्प हैं। छेड़छाड़ विकल्प आपको सर्वर पर सबमिट करने से पहले HTTP हेडर जानकारी को संशोधित करने की अनुमति देता है ।
- इस पर क्लिक करें
- आपको निम्न विंडो मिलेगी
- हमले के URL से कॉपी किए गए PHP सत्र आईडी को कॉपी करें और समान चिह्न के बाद पेस्ट करें। आपका मूल्य अब इस तरह दिखना चाहिए
PHPSESSID = 2DVLTIPP2N8LDBN11B2RA76LM2
- ओके बटन पर क्लिक करें
- आपको फिर से टैम्पर डेटा पॉपअप विंडो मिलेगी
- चेकबॉक्स को अनचेक करें, जो जारी छेड़छाड़ को पूछता है?
- पूरा होने पर सबमिट बटन पर क्लिक करें
- आपको डैशबोर्ड देखने में सक्षम होना चाहिए जैसा कि नीचे दिखाया गया है
नोट : हमने लॉगिन नहीं किया था, हमने PHPSESSID मान का उपयोग करके एक लॉगिन सत्र लगाया था जिसे हमने क्रॉस साइट स्क्रिप्टिंग का उपयोग करके पुनर्प्राप्त किया था
सारांश
- एक वेब एप्लिकेशन सर्वर-क्लाइंट मॉडल पर आधारित है। क्लाइंट साइड सर्वर पर संसाधनों तक पहुंचने के लिए वेब ब्राउज़र का उपयोग करता है।
- वेब एप्लिकेशन आमतौर पर इंटरनेट पर सुलभ होते हैं। यह उन्हें हमलों के लिए असुरक्षित बनाता है।
- वेब एप्लिकेशन के खतरों में एसक्यूएल इंजेक्शन, कोड इंजेक्शन, एक्सएसएस, डीफेसमेंट, कुकी विषाक्तता आदि शामिल हैं।
- वेब एप्लिकेशन विकसित करते समय एक अच्छी सुरक्षा नीति उन्हें सुरक्षित बनाने में मदद कर सकती है।