Взлом сайта через браузер — часть 6 — производим настоящий взлом
Вот парочку программ которые на сегодняшний день пользуются популярностью для взломов сайтов. Данными программами были найдены ошибки на сайтах типа mmotop / depositfiles / tele2.lv и так далее.
______________________________________________
Acunetix Web Vulnerability Scanner 6
______________________________________________
Данная программа сканирует весь сайт, ищет любые ошибки в том числе SQL Inj, XSS, сканирует порты, брутит фтп/ssh. Проверяет ошибки сервера, сканирует все директории. Очень актуальная программа, советую для начала взлома какого-нибудь сайта использовать именно ее. Скачать можно от меня: тык .
______________________________________________
DirBuster
______________________________________________
Данная программа сканирует каталоги, и файлы. Например для поиска адреса админки или (для очень тупых случаев) папки с бекапами.. Ссылка: тык .
______________________________________________
PasswordPro
______________________________________________
Если вам удалось спереть базу но все пароли в ней в хеше (95% случаев) берем данную программу и расшифровываем пароли. Умеет очень многое, брут, брут по правилам, перебор по словарям. Скачать: тык . И мой собственный словарь (2гб архив — 14 гб текстовой файл) скачать (делал его сутки ).
______________________________________________
DOS софт
______________________________________________
1. HttpDosTool данная программа использует уязвимость Slow HTTP POST тут можно почитать об этом:
Оффтоп
КАК СТАТЬ ХАЦКЕРОМ И КРЯКНУТЬ САЙТ
Как и все гениальное, технология этой атаки очень изящна и проста. Атака базируется на уязвимости в протоколе HTTP. Slow HTTP POST атака работает следующим образом: злоумышленник отправляет POST заголовок с легитимным полем «Content-Length», которое позволяет веб серверу понять, какой объём данных к нему поступает.
Как только заголовок отправлен, тело POST сообщения начинает передаваться с очень медленной скоростью, что позволяет использовать ресурсы сервера намного дольше, чем это необходимо, и, как следствие, помешать обработке других запросов. Несколько тысяч таких соединений могут положить веб сервер на несколько минут. Если ваша система имеет веб интерфейс, то данный вид атак позволит «положить» его без особых проблем.
Атака была впервые продемонстрирована широкой публике на OWASP 2010 Application Security Conference. Исследователь Wong Onn Chee первый обнаружил атаку в 2009 совместно с командой исследователей из Сингапура. Позже были проведены исследования атаки (в том числе компанией Microsoft). Уязвимость в протоколе сейчас официально признана. Изначально атаки такого рода проводились в Китае.
Для рекрутинга ботов использовались онлайн игры — компьютеры незадачливых игроков использовались для отправки специально сформированных HTTP-запросов целевой системе.
Простота реализации атаки позволила эффективно использовать для этого простой Java аплет, который запускался во время онлайн игры. Как только жертва принимала self-signed аплет, аплет начинаел выполнять атаку в то время, пока пользователь играл в онлайн игру. После выхода из игры и закрытия браузера атака прекращалась, а аплет удалялся. Обнаружить, что ты стал источником атаки довольно проблематично — ведь компьютер не заражается в классическом понимании этого слова, а отличить трафик от легального HTTP-трафика сложно. Кроме того, интернет-канал почти не перегружается.
Атака приводит к обрушению веб-серверов с Microsoft IIS и Apache (как показали мои опыты, список уязвимых веб серверов ими не ограничивается) в рамках протоколов HTTP или HTTPS и, очевидно, любых «безопасных» подключений вроде SSL, VPN и других. Также атака может быть адаптирована для работы с SMTP и даже DNS-серверами. Программное обеспечение, балансирующее нагрузку, ныне используемое для предотвращения DDOS-атак, схожих по типу (Slowloris), не эффективно против новой методики.
Скачать: ТЫК .
2. LOIC Простая программа для DOS атаки по TCP/UDP/HTTP протоколам. Скачать .
3. DOSAttacer самая баянная программа, кто не знает атака HTTP флудом. Скачать .
[/HIDE]
На сегодня пожалуй хватит, будет время еще добавлю что-нибудь интересненькое. Хайд на усмотрение дарка.
Источник: www.rf-cheats.ru
Программы для взлома
LiLith — это Perl’овый скрипт, предназначенный для аудита веб-приложений. Точнее, это сканер и инжектор HTTP-форм. Тулза анализирует веб-страницу на наличие тегов , а затем тестит их на SQL-инъекции. LiLith работает почти так же, как обыкновенный поисковый паук, только с небольшим хакерским уклоном: она инжектирует в формы различные спецсимволы с определенными значениями, а затем анализирует ответ веб-сервера. Основные особенности и функционал утилиты:
Журнал «Хакер»
Check Also
В обход стражи. Как вскрывают приложения, защищенные аппаратным ключом Sentinel
Реверс-инжиниринг написанных на Java приложений, если разработчики не позаботились заранее…
- Далее по этой теме
- Ранее по этой теме
Софт для взлома и анализа безопасности
PE-редакторы — инструменты не новые, и давно зарекомендовали себя как must have в арсенале…
6 мин на чтение
Первые мастер-классы на PHDays III: от создания защищенного приложения до анализа Android-смартфона
Hands-On Labs — это практические занятия, где можно не только смотреть и слушать, но и на …
4 мин на чтение
Антивирус для сайта
AI-Bolit — это продвинутый бесплатный сканер бэкдоров, хакерских шеллов, вирусов и дорвеев…
Источник: xakep.ru
Как взломать сайт с помощью HTML кода?
Listen to this article
Статья опубликована для ознакомления и не призывает к действию, наша цель защитить вас!
Если у вас есть какие-то знания HTML и JavaScript, вы можете взламывать пароли на защищенных сайтах. Мы расскажем вам о том, как довольно просто взломать сайт через HTML. Используйте данный метод ответственно.
Примечание: Данный метод сработает только в том случае, если у сайта совсем слабая защита. Веб-сайты с более надежной степенью защиты не удастся взломать столь простым способом.
1. Откройте сайт, который вы хотите взломать. Введите неправильную комбинацию логина и пароля. Появится окно с сообщением об ошибке.
2. Нажмите правой кнопкой мыши на странице с ошибкой =>> просмотр исходного кода (просмотр кода страницы).
3. Просмотрите исходный код.Откроется окно с HTML кодом и JavaScript.
•Вы увидите что-то вроде….
•Скопируйте URL ссылку на сайт перед информацией о логине. (например:»< _form……….action=http://www.targetwebsite.com/login…….>»)
4. Удалите JavaScript информацию о сервере.(Делайте это очень осторожно, нужно аккуратно удалить java script, который проверяет информацию вашего сервера)
5. Найдите строчку «»[без кавычек] -> наберите « “ вместо «».Посмотрите превышает ли максимальная длина пароля 11 символов.
6. Перейдите в Файл => сохранить как, затем сохраните файл на компьютере с расширением .html (например: c:chan.html).
7. Откройте страницу, нажав на файл chan.html, который вы сохранили на компьютере.На текущей странице, если сравнить с исходной, будут некоторые изменения. Не стоит переживать.
8. Наберите любой логин и пароль.Поздравляем, вы взломали сайт и вошли под пользователем, который теперь есть в базе данных!
Предупреждения
- Осторожно обращайтесь с кодами. Удалите информацию javascript, которая отвечает за проверку логина и пароля.
Если Вам понравилась статья — поделитесь с друзьями
17 318 просмотров
Отказ от ответственности: Автор или издатель не публиковали эту статью для вредоносных целей. Вся размещенная информация была взята из открытых источников и представлена исключительно в ознакомительных целях а также не несет призыва к действию. Создано лишь в образовательных и развлекательных целях.
Вся информация направлена на то, чтобы уберечь читателей от противозаконных действий. Все причиненные возможные убытки посетитель берет на себя. Автор проделывает все действия лишь на собственном оборудовании и в собственной сети. Не повторяйте ничего из прочитанного в реальной жизни. | Так же, если вы являетесь правообладателем размещенного на страницах портала материала, просьба написать нам через контактную форму жалобу на удаление определенной страницы, а также ознакомиться с инструкцией для правообладателей материалов. Спасибо за понимание.
Если вам понравились материалы сайта, вы можете поддержать проект финансово, переведя некоторую сумму с банковской карты, счёта мобильного телефона или из кошелька ЮMoney.
Источник: rucore.net