ATAK “GŁĘBOKIE UKRYCIE”
Metoda polega na znalezieniu dostępu do danych, które nie są zabezpieczone na serwerze. Mowa tu np. o plikach z rozszerzeniem .doc, które nie powinny zostać zaindeksowane w wyszukiwarce internetowej, bądź niezabezpieczone katalogi o standardowych nazwach katalogów np. /admin.
ATAK BRUTE-FORCE I SŁOWNIKOWY
Atak brute-force tzn. atak siłowy polega na ciągłym wprowadzaniu do pola tekstowego użytkownika i hasła każdej możliwej kombinacji znaków. Metoda jest nieskuteczna dla trudnych haseł (np. $3@has$o&udne), ponieważ złamanie hasła zajmie tysiące lat :) Alternatywą dla ataku siłowego jest atak słownikowy, w którym do przeprowadzenia ataku wykorzystuje się słownik słów (innymi słowy słownik potencjalnych haseł).
ACCOUNT LOCKOUT
Tutaj nie ma co się rozpisywać. Metoda polega na blokowaniu kont np. konta na portalach aukcyjnych, czy też konta w bankach itp.
WEB PARAMETER TAMPERING
Modyfikowanie zmiennych, które przekazywane są do skryptu np. metodami GET lub POST, w celu doprowadzenia do nieprzewidzianego działania skryptu.
PATH I INFORMATION DISCLOSURE
Jest to jedna z najprostszych metod ataku na strony www, więc szkodliwość też jest znikoma :) Dzięki path disclosure hacker jest w stanie poznać umiejscowienie witryny w strukturze katalogowej serwera oraz nazwy plików wraz z kodem źródłowym. Information disclosure to nic innego jak wyświetlenie informacji odnośnie szczegółów działania aplikacji. Może to być na przykład błąd z zapytania SQL.
FORCED BROWSING
Atak polega na spreparowaniu adresu url, w celu zdobycia tajnych informacji, które nie są przeznaczone dla każdego użytkownika.
PATH TRAVERSAL
Atak Path traversal polega na zmienieniu przez użytkownika parametrów, które są przekazywane do aplikacji internetowej, w celu wpłynięcia jaki plik zostanie otworzony przez ów aplikację.
UNICODE ENCODING
Atak polega na m.in wstrzyknięciu zakodowanego kodu przez formularze internetowe itp.
PARAMETER DELIMITER
Manipulowanie strukturą tekstowej bazy danych, w której dane (np. login i hasło) rozdzielone są wybranym znakiem separatora.
PHP INJECTION
PHP injection polega na zmianie parametrów, które przekazywane są do aplikacji internetowej, w celu uruchomienia złośliwego kodu PHP.
DIRECT STATIC CODE INJECTION
Atak polega na wstrzyknięciu statycznego kodu do aplikacji internetowej.
SQL INJECTION
Chyba większość słyszała o ataku SQL injection. Atak polega na wstrzykiwaniu wywołań SQL za pośrednictwem danych wejściowych danej aplikacji. Mnóstwo stron jest podatnych na atak SQL injection.
XSS – CROSS SITE SCRIPTING
Atak XSS zalicza się do najniebezpieczniejszych ataków na strony www. Wyróżniamy dwa rodzaje ataku XSS: reflected XSS oraz stored XSS. Atak XSS stosuje się najczęściej do wstrzyknięcia kodu HTML przez niefiltrowanie danych, które przesyłane są metodą GET lub POST.
XST – CROSS SITE TRACING
Atak XST polega na obejściu zabezpieczeń stosowanych przez witryny internetowe z wykorzystaniem TRACE i XSS.
XSRF – CROSS SITE REQUEST FORGERY
Atak XSRF polega na zmuszeniu osoby zalogowanej w pewnej aplikacji internetowej do wykonania jakiejś akcji w obrębie danej aplikacji.
CLICK JACKING
Atak Click jacking polega na zachęceniu użytkownika do kliknięcia myszą na wybrane elementy strony.
SESSION HIJACKING
Atak Session hijacking polega na przechwyceniu sesji zalogowanego użytkownika danego serwisu, w celu uzyskania dostępu do tego serwisu z pominięciem autoryzacji. W tej metodzie hacker musiał poznać identyfikator sesji ofiary.
SESSION FIXATION
Atak Session fixation jest odmianą ataku Session hijacking. W tej metodzie Hacker dysponuje poprawnym identyfikatorem sesji i znajduje sposób na ustawienie takiego identyfikatora ofierze, która posiada dostęp do atakowanej strony www.
PHISHING
Atak Phishing polega na podszyciu się pod konkretne firmy w celu uzyskania tajnych danych np. hasła.
Teoria bywa nudna, ale chyba nie jeżeli chodzi o ataki na strony internetowe ? :) Więcej o atakach i co najważniejsze ciekawych przykładach znajdziesz w polecanym przeze mnie kursie. Cena jest śmieszna jak na wiedzę w niej zawartą. Oczywiście kupiłem wersję rozszerzoną, bo jestem łasy na wiedzę :)
Jeżeli ktoś będzie wstrzykiwał linki do formularzy itp. niech liczy się z konsekwencjami i z faktem, że łamie prawo! Art. 267, 268, 268a, 269, 269a, 269b.
Nie uwzględniłem wszystkich ataków na strony internetowe. Brakuje np. ataku DDoS itp.
Metoda polega na znalezieniu dostępu do danych, które nie są zabezpieczone na serwerze. Mowa tu np. o plikach z rozszerzeniem .doc, które nie powinny zostać zaindeksowane w wyszukiwarce internetowej, bądź niezabezpieczone katalogi o standardowych nazwach katalogów np. /admin.
ATAK BRUTE-FORCE I SŁOWNIKOWY
Atak brute-force tzn. atak siłowy polega na ciągłym wprowadzaniu do pola tekstowego użytkownika i hasła każdej możliwej kombinacji znaków. Metoda jest nieskuteczna dla trudnych haseł (np. $3@has$o&udne), ponieważ złamanie hasła zajmie tysiące lat :) Alternatywą dla ataku siłowego jest atak słownikowy, w którym do przeprowadzenia ataku wykorzystuje się słownik słów (innymi słowy słownik potencjalnych haseł).
ACCOUNT LOCKOUT
Tutaj nie ma co się rozpisywać. Metoda polega na blokowaniu kont np. konta na portalach aukcyjnych, czy też konta w bankach itp.
WEB PARAMETER TAMPERING
Modyfikowanie zmiennych, które przekazywane są do skryptu np. metodami GET lub POST, w celu doprowadzenia do nieprzewidzianego działania skryptu.
PATH I INFORMATION DISCLOSURE
Jest to jedna z najprostszych metod ataku na strony www, więc szkodliwość też jest znikoma :) Dzięki path disclosure hacker jest w stanie poznać umiejscowienie witryny w strukturze katalogowej serwera oraz nazwy plików wraz z kodem źródłowym. Information disclosure to nic innego jak wyświetlenie informacji odnośnie szczegółów działania aplikacji. Może to być na przykład błąd z zapytania SQL.
FORCED BROWSING
Atak polega na spreparowaniu adresu url, w celu zdobycia tajnych informacji, które nie są przeznaczone dla każdego użytkownika.
PATH TRAVERSAL
Atak Path traversal polega na zmienieniu przez użytkownika parametrów, które są przekazywane do aplikacji internetowej, w celu wpłynięcia jaki plik zostanie otworzony przez ów aplikację.
UNICODE ENCODING
Atak polega na m.in wstrzyknięciu zakodowanego kodu przez formularze internetowe itp.
PARAMETER DELIMITER
Manipulowanie strukturą tekstowej bazy danych, w której dane (np. login i hasło) rozdzielone są wybranym znakiem separatora.
PHP INJECTION
PHP injection polega na zmianie parametrów, które przekazywane są do aplikacji internetowej, w celu uruchomienia złośliwego kodu PHP.
DIRECT STATIC CODE INJECTION
Atak polega na wstrzyknięciu statycznego kodu do aplikacji internetowej.
SQL INJECTION
Chyba większość słyszała o ataku SQL injection. Atak polega na wstrzykiwaniu wywołań SQL za pośrednictwem danych wejściowych danej aplikacji. Mnóstwo stron jest podatnych na atak SQL injection.
XSS – CROSS SITE SCRIPTING
Atak XSS zalicza się do najniebezpieczniejszych ataków na strony www. Wyróżniamy dwa rodzaje ataku XSS: reflected XSS oraz stored XSS. Atak XSS stosuje się najczęściej do wstrzyknięcia kodu HTML przez niefiltrowanie danych, które przesyłane są metodą GET lub POST.
XST – CROSS SITE TRACING
Atak XST polega na obejściu zabezpieczeń stosowanych przez witryny internetowe z wykorzystaniem TRACE i XSS.
XSRF – CROSS SITE REQUEST FORGERY
Atak XSRF polega na zmuszeniu osoby zalogowanej w pewnej aplikacji internetowej do wykonania jakiejś akcji w obrębie danej aplikacji.
CLICK JACKING
Atak Click jacking polega na zachęceniu użytkownika do kliknięcia myszą na wybrane elementy strony.
SESSION HIJACKING
Atak Session hijacking polega na przechwyceniu sesji zalogowanego użytkownika danego serwisu, w celu uzyskania dostępu do tego serwisu z pominięciem autoryzacji. W tej metodzie hacker musiał poznać identyfikator sesji ofiary.
SESSION FIXATION
Atak Session fixation jest odmianą ataku Session hijacking. W tej metodzie Hacker dysponuje poprawnym identyfikatorem sesji i znajduje sposób na ustawienie takiego identyfikatora ofierze, która posiada dostęp do atakowanej strony www.
PHISHING
Atak Phishing polega na podszyciu się pod konkretne firmy w celu uzyskania tajnych danych np. hasła.
Teoria bywa nudna, ale chyba nie jeżeli chodzi o ataki na strony internetowe ? :) Więcej o atakach i co najważniejsze ciekawych przykładach znajdziesz w polecanym przeze mnie kursie. Cena jest śmieszna jak na wiedzę w niej zawartą. Oczywiście kupiłem wersję rozszerzoną, bo jestem łasy na wiedzę :)
Jeżeli ktoś będzie wstrzykiwał linki do formularzy itp. niech liczy się z konsekwencjami i z faktem, że łamie prawo! Art. 267, 268, 268a, 269, 269a, 269b.
Nie uwzględniłem wszystkich ataków na strony internetowe. Brakuje np. ataku DDoS itp.