ATAK “GŁĘBOKIE UKRYCIE”
Metoda polega na znalezieniu dostępu do danych, które nie są zabezpieczone na serwerze. Mowa tu np. o plikach z rozszerzeniem .doc, które nie powinny zostać zaindeksowane w wyszukiwarce internetowej, bądź niezabezpieczone katalogi o standardowych nazwach katalogów np. /admin.
ATAK BRUTE-FORCE I SŁOWNIKOWY
Atak brute-force tzn. atak siłowy polega na ciągłym wprowadzaniu do pola tekstowego użytkownika i hasła każdej możliwej kombinacji znaków. Metoda jest nieskuteczna dla trudnych haseł (np. $3@has$o&udne), ponieważ złamanie hasła zajmie tysiące lat :) Alternatywą dla ataku siłowego jest atak słownikowy, w którym do przeprowadzenia ataku wykorzystuje się słownik słów (innymi słowy słownik potencjalnych haseł).
ACCOUNT LOCKOUT
Tutaj nie ma co się rozpisywać. Metoda polega na blokowaniu kont np. konta na portalach aukcyjnych, czy też konta w bankach itp.
WEB PARAMETER TAMPERING
Modyfikowanie zmiennych, które przekazywane są do skryptu np. metodami GET lub POST, w celu doprowadzenia do nieprzewidzianego działania skryptu.
PATH I INFORMATION DISCLOSURE
Jest to jedna z najprostszych metod ataku na strony www, więc szkodliwość też jest znikoma :) Dzięki path disclosure hacker jest w stanie poznać umiejscowienie witryny w strukturze katalogowej serwera oraz nazwy plików wraz z kodem źródłowym. Information disclosure to nic innego jak wyświetlenie informacji odnośnie szczegółów działania aplikacji. Może to być na przykład błąd z zapytania SQL.
FORCED BROWSING
Atak polega na spreparowaniu adresu url, w celu zdobycia tajnych informacji, które nie są przeznaczone dla każdego użytkownika.
PATH TRAVERSAL
Atak Path traversal polega na zmienieniu przez użytkownika parametrów, które są przekazywane do aplikacji internetowej, w celu wpłynięcia jaki plik zostanie otworzony przez ów aplikację.
UNICODE ENCODING
Atak polega na m.in wstrzyknięciu zakodowanego kodu przez formularze internetowe itp.
PARAMETER DELIMITER
Manipulowanie strukturą tekstowej bazy danych, w której dane (np. login i hasło) rozdzielone są wybranym znakiem separatora.
PHP INJECTION
PHP injection polega na zmianie parametrów, które przekazywane są do aplikacji internetowej, w celu uruchomienia złośliwego kodu PHP.
DIRECT STATIC CODE INJECTION
Atak polega na wstrzyknięciu statycznego kodu do aplikacji internetowej.
SQL INJECTION
Chyba większość słyszała o ataku SQL injection. Atak polega na wstrzykiwaniu wywołań SQL za pośrednictwem danych wejściowych danej aplikacji. Mnóstwo stron jest podatnych na atak SQL injection.
XSS – CROSS SITE SCRIPTING
Atak XSS zalicza się do najniebezpieczniejszych ataków na strony www. Wyróżniamy dwa rodzaje ataku XSS: reflected XSS oraz stored XSS. Atak XSS stosuje się najczęściej do wstrzyknięcia kodu HTML przez niefiltrowanie danych, które przesyłane są metodą GET lub POST.
XST – CROSS SITE TRACING
Atak XST polega na obejściu zabezpieczeń stosowanych przez witryny internetowe z wykorzystaniem TRACE i XSS.
XSRF – CROSS SITE REQUEST FORGERY
Atak XSRF polega na zmuszeniu osoby zalogowanej w pewnej aplikacji internetowej do wykonania jakiejś akcji w obrębie danej aplikacji.
CLICK JACKING
Atak Click jacking polega na zachęceniu użytkownika do kliknięcia myszą na wybrane elementy strony.
SESSION HIJACKING
Atak Session hijacking polega na przechwyceniu sesji zalogowanego użytkownika danego serwisu, w celu uzyskania dostępu do tego serwisu z pominięciem autoryzacji. W tej metodzie hacker musiał poznać identyfikator sesji ofiary.
SESSION FIXATION
Atak Session fixation jest odmianą ataku Session hijacking. W tej metodzie Hacker dysponuje poprawnym identyfikatorem sesji i znajduje sposób na ustawienie takiego identyfikatora ofierze, która posiada dostęp do atakowanej strony www.
PHISHING
Atak Phishing polega na podszyciu się pod konkretne firmy w celu uzyskania tajnych danych np. hasła.
Atak DDoS
Wiemy już, że atak DDoS polega na najczęściej na tym, że pewna liczba urządzeń podłączonych do Internetu próbuje zalać jakąś usługę, np. stronę internetową, dużą ilością połączeń w danym czasie. Organizacja VideoLAN (tej od popularnego playera VLC) zwizualizowała taki atak na swoje serwery na poniższym filmie: https://www.youtube.com/watch?v=hNjdBSoIa8k
Każda kolorowa piłka to żądanie, o tym samym kolorze co nazwa hosta, który ją wysłał. Nietrafiona piłka to żądanie, którego obsłużenie przez serwer się nie powiodło. Jak widać DDoS atakuje stronę w jednym konkretnym punkcie, uniemożliwiając prawidłowym żądaniom otrzymanie odpowiedzi.
Jeżeli ktoś będzie wstrzykiwał linki do formularzy itp. niech liczy się z konsekwencjami i z faktem, że łamie prawo! Art. 267, 268, 268a, 269, 269a, 269b.
Metoda polega na znalezieniu dostępu do danych, które nie są zabezpieczone na serwerze. Mowa tu np. o plikach z rozszerzeniem .doc, które nie powinny zostać zaindeksowane w wyszukiwarce internetowej, bądź niezabezpieczone katalogi o standardowych nazwach katalogów np. /admin.
ATAK BRUTE-FORCE I SŁOWNIKOWY
Atak brute-force tzn. atak siłowy polega na ciągłym wprowadzaniu do pola tekstowego użytkownika i hasła każdej możliwej kombinacji znaków. Metoda jest nieskuteczna dla trudnych haseł (np. $3@has$o&udne), ponieważ złamanie hasła zajmie tysiące lat :) Alternatywą dla ataku siłowego jest atak słownikowy, w którym do przeprowadzenia ataku wykorzystuje się słownik słów (innymi słowy słownik potencjalnych haseł).
ACCOUNT LOCKOUT
Tutaj nie ma co się rozpisywać. Metoda polega na blokowaniu kont np. konta na portalach aukcyjnych, czy też konta w bankach itp.
WEB PARAMETER TAMPERING
Modyfikowanie zmiennych, które przekazywane są do skryptu np. metodami GET lub POST, w celu doprowadzenia do nieprzewidzianego działania skryptu.
PATH I INFORMATION DISCLOSURE
Jest to jedna z najprostszych metod ataku na strony www, więc szkodliwość też jest znikoma :) Dzięki path disclosure hacker jest w stanie poznać umiejscowienie witryny w strukturze katalogowej serwera oraz nazwy plików wraz z kodem źródłowym. Information disclosure to nic innego jak wyświetlenie informacji odnośnie szczegółów działania aplikacji. Może to być na przykład błąd z zapytania SQL.
FORCED BROWSING
Atak polega na spreparowaniu adresu url, w celu zdobycia tajnych informacji, które nie są przeznaczone dla każdego użytkownika.
PATH TRAVERSAL
Atak Path traversal polega na zmienieniu przez użytkownika parametrów, które są przekazywane do aplikacji internetowej, w celu wpłynięcia jaki plik zostanie otworzony przez ów aplikację.
UNICODE ENCODING
Atak polega na m.in wstrzyknięciu zakodowanego kodu przez formularze internetowe itp.
PARAMETER DELIMITER
Manipulowanie strukturą tekstowej bazy danych, w której dane (np. login i hasło) rozdzielone są wybranym znakiem separatora.
PHP INJECTION
PHP injection polega na zmianie parametrów, które przekazywane są do aplikacji internetowej, w celu uruchomienia złośliwego kodu PHP.
DIRECT STATIC CODE INJECTION
Atak polega na wstrzyknięciu statycznego kodu do aplikacji internetowej.
SQL INJECTION
Chyba większość słyszała o ataku SQL injection. Atak polega na wstrzykiwaniu wywołań SQL za pośrednictwem danych wejściowych danej aplikacji. Mnóstwo stron jest podatnych na atak SQL injection.
XSS – CROSS SITE SCRIPTING
Atak XSS zalicza się do najniebezpieczniejszych ataków na strony www. Wyróżniamy dwa rodzaje ataku XSS: reflected XSS oraz stored XSS. Atak XSS stosuje się najczęściej do wstrzyknięcia kodu HTML przez niefiltrowanie danych, które przesyłane są metodą GET lub POST.
XST – CROSS SITE TRACING
Atak XST polega na obejściu zabezpieczeń stosowanych przez witryny internetowe z wykorzystaniem TRACE i XSS.
XSRF – CROSS SITE REQUEST FORGERY
Atak XSRF polega na zmuszeniu osoby zalogowanej w pewnej aplikacji internetowej do wykonania jakiejś akcji w obrębie danej aplikacji.
CLICK JACKING
Atak Click jacking polega na zachęceniu użytkownika do kliknięcia myszą na wybrane elementy strony.
SESSION HIJACKING
Atak Session hijacking polega na przechwyceniu sesji zalogowanego użytkownika danego serwisu, w celu uzyskania dostępu do tego serwisu z pominięciem autoryzacji. W tej metodzie hacker musiał poznać identyfikator sesji ofiary.
SESSION FIXATION
Atak Session fixation jest odmianą ataku Session hijacking. W tej metodzie Hacker dysponuje poprawnym identyfikatorem sesji i znajduje sposób na ustawienie takiego identyfikatora ofierze, która posiada dostęp do atakowanej strony www.
PHISHING
Atak Phishing polega na podszyciu się pod konkretne firmy w celu uzyskania tajnych danych np. hasła.
Atak DDoS
Wiemy już, że atak DDoS polega na najczęściej na tym, że pewna liczba urządzeń podłączonych do Internetu próbuje zalać jakąś usługę, np. stronę internetową, dużą ilością połączeń w danym czasie. Organizacja VideoLAN (tej od popularnego playera VLC) zwizualizowała taki atak na swoje serwery na poniższym filmie: https://www.youtube.com/watch?v=hNjdBSoIa8k
Każda kolorowa piłka to żądanie, o tym samym kolorze co nazwa hosta, który ją wysłał. Nietrafiona piłka to żądanie, którego obsłużenie przez serwer się nie powiodło. Jak widać DDoS atakuje stronę w jednym konkretnym punkcie, uniemożliwiając prawidłowym żądaniom otrzymanie odpowiedzi.
Jeżeli ktoś będzie wstrzykiwał linki do formularzy itp. niech liczy się z konsekwencjami i z faktem, że łamie prawo! Art. 267, 268, 268a, 269, 269a, 269b.