cách hack và cách bảo vệ để admin trí điện fòng ngừa

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down

cách hack và cách bảo vệ để admin trí điện fòng ngừa

Bài gửi by key_vip_head_shot on Fri Jun 06, 2008 9:45 am

1.Tìm hiểu:

một user bất kì có các option để thay đổi thông tin cá nhân, post bài, send pm, .... và tất nhiên chỉ có user đó mới có quyền sử dụng các option đó với username của mình vì server sẽ check session/cookies của user đó.
2. Mục đích của ta:

chiếm quyền của user nào đó (admin chẳng hạn) để sử dụng các option của user này.
3. Cách giải quyết:

- Cách 1: nếu có user password thì hết chỗ chê, login và sử dụng liền ;D
- Cách 2: tìm lỗi của forum <-- not always easy ;(
- Cách 3: không cần tìm lỗi forum mà tìm cách "nhờ" user sử dụng các option của user này theo ý mình, hi`.
4. Sử dụng cách 3:
4.1. Tìm hiểu về cách hoạt động của form:
VD khi user sử dụng update email option thì form sẽ có dạng:
<form method="post" action="update.php">
<input type="text" name="email" value="user@email.com">
<input type="submit" name="but" value="send">
</form>
khi data được gửi = form trên tới server thì server sẽ check xem user nào gửi tới + right to update của user đó rồi thực hiện request.
4.2. Làm sao "nhờ" user sử dụng form trên theo ý mình?
Gửi cho user một html page trong đó có:
+ form trên nhưng các value của input theo ý mình (vd: hacker@email.com)
+ sử dụng thêm hàm auto submit form để khi user mở html file này thì form sẽ tự động submit, tag này có dạng:
<body onLoad="document.forms[0].submit();">
+ nên sử dụng thêm một vài tiểu xảo che mắt user, không cho user biết là option của mình đã bị sử dụng trái phép <-- tự tìm hiểu.
5. Kết quả: vì request này được gửi đi từ máy user + thêm đk cần là user đang online nên session/cookies check đều ok. Request vẫn được thực hiện kể cả user không online nhưng để chế độ nhớ password. Ở vd trên ta đã update được user email, từ đó dùng option forgot pass để lấy password của user này (cái này ai cũng biết )
6. Ưu nhược điểm:

- Ưu điểm: phương pháp đơn giản, chỉ dựa trên nguyên tắc hoạt động thông thường của form <-- không phải là lỗi bảo mật. Có thể sử dụng được nhiều option của user mà không cần phải login = user account (vd có thể update user info, gửi bài, xoá bài, pm .. với nick của user, một số forum Admin CP khơng được pwd protected & biết admin default path ta có thể "nhờ" admin update mình lên làm admin luôn, hehe)
- Nhược điểm: phụ thuộc nhiều vào độ cảnh giác của user (eg: disable js)(tuy nhiên theo kinh nghiệm của tớ thì chưa ai từ chối bấm vào html link cả ). + cái gì đó chưa nghĩ ra ..
7. Chống hack=cách này:
+ Protect user panel/update action file = một lần password nữa (khi user muốn update info thì phải gõ lại pass)
+ khi form được submit thì kiểm tra xem các variable trong form đến từ đâu, nếu HTTP_REFERER không phải từ web của mình thì không thực hiện request
+ .... chưa nghĩ ra
8. Kết luận: có thể áp dụng cái natural danger của http này vào nhiều cái để nghịch, không chỉ hack forum
Xem cách hoạt động + code chi tiết tại link này: http://diendan.mylovething.com/

key_vip_head_shot
[S][U][P][E][R]
[S][U][P][E][R]

Nam
Tổng số bài gửi : 370
Age : 21
Đến từ : từ ngôi mộ mà tui mới chui lên
Tính cách : tuỳ hứng
Người ấy : tui thề từ h > hít cấp 2 tui ko wen đứa nào hít
Registration date : 27/05/2008

Xem lý lịch thành viên http://theeagle.foruma.biz

Về Đầu Trang Go down

Re: cách hack và cách bảo vệ để admin trí điện fòng ngừa

Bài gửi by Khủng Long ú ù u =X on Sun Jun 08, 2008 9:41 am

hỉu zì chêt liền áh =]]=]]=]]

Dài dòng wá...đọc làm zì cho mệt ha =]]=]]

_________________
Happy Summer


Miss my friends..miss my love so much... :"]

Khủng Long ú ù u =X
Admin ú ù =X
Admin ú ù =X

Nữ
Tổng số bài gửi : 182
Age : 22
Đến từ : Super Group 7P1 siu wậy =D
Tính cách : wan tâm tới mọi ng` tuy đôi lúc cũg zô tâm :P mụp ú,dễ xươg,hihihi :"]
Người ấy : Gấu Trúc íh :"]
Registration date : 23/04/2008

Điểm thưởng
Điểm thưởng: Nhiu cũg đc chã seo cã :)

Xem lý lịch thành viên http://360.yahoo.com/hoa.hongs

Về Đầu Trang Go down

Re: cách hack và cách bảo vệ để admin trí điện fòng ngừa

Bài gửi by [R]i[N] on Sun Jun 08, 2008 10:28 am

Admin mà ko đọc thì làm admin làm zì
@key: hơi khó hỉu thiệt đó

_________________


[R]i[N]
[§uper][S]mod củ chuối
[§uper][S]mod củ chuối

Nam
Tổng số bài gửi : 216
Age : 21
Đến từ : Old Trafford
Tính cách : nhà nước ko bik,nhân dân ko bik,Đảng và khoa học dg nghiên cứu
Người ấy : Europass
Registration date : 17/05/2008

Điểm thưởng
Điểm thưởng: 11

Xem lý lịch thành viên

Về Đầu Trang Go down

Re: cách hack và cách bảo vệ để admin trí điện fòng ngừa

Bài gửi by key_vip_head_shot on Mon Jun 09, 2008 8:21 am

nói thịt nha em mò trên web thí người ta chỉ hack thía nàj nên em post lên cho các bạn fòng ngừa nhưg em củn ko hỉu trog đoá nói zì Embarassed Exclamation
em củn hack nhưg cách em dễ hơn chốg dc cách hack nàj là cách em ko thành vấn đề Crying or Very sad

key_vip_head_shot
[S][U][P][E][R]
[S][U][P][E][R]

Nam
Tổng số bài gửi : 370
Age : 21
Đến từ : từ ngôi mộ mà tui mới chui lên
Tính cách : tuỳ hứng
Người ấy : tui thề từ h > hít cấp 2 tui ko wen đứa nào hít
Registration date : 27/05/2008

Xem lý lịch thành viên http://theeagle.foruma.biz

Về Đầu Trang Go down

Re: cách hack và cách bảo vệ để admin trí điện fòng ngừa

Bài gửi by ...Lucas... on Mon Jun 09, 2008 6:16 pm

Chắc hack dc ko >Smile.

...Lucas...
Tournament Developer
Tournament Developer

Tổng số bài gửi : 22
Registration date : 30/05/2008

Xem lý lịch thành viên

Về Đầu Trang Go down

Re: cách hack và cách bảo vệ để admin trí điện fòng ngừa

Bài gửi by key_vip_head_shot on Tue Jun 10, 2008 2:59 pm

chưa thử chưa bít coá gì anh mún hack thì anh thử đi

key_vip_head_shot
[S][U][P][E][R]
[S][U][P][E][R]

Nam
Tổng số bài gửi : 370
Age : 21
Đến từ : từ ngôi mộ mà tui mới chui lên
Tính cách : tuỳ hứng
Người ấy : tui thề từ h > hít cấp 2 tui ko wen đứa nào hít
Registration date : 27/05/2008

Xem lý lịch thành viên http://theeagle.foruma.biz

Về Đầu Trang Go down

Re: cách hack và cách bảo vệ để admin trí điện fòng ngừa

Bài gửi by Khủng Long ú ù u =X on Thu Jun 12, 2008 9:56 am

Nhưg admin này đọc ko hỉu zì hết áh '.'

_________________
Happy Summer


Miss my friends..miss my love so much... :"]

Khủng Long ú ù u =X
Admin ú ù =X
Admin ú ù =X

Nữ
Tổng số bài gửi : 182
Age : 22
Đến từ : Super Group 7P1 siu wậy =D
Tính cách : wan tâm tới mọi ng` tuy đôi lúc cũg zô tâm :P mụp ú,dễ xươg,hihihi :"]
Người ấy : Gấu Trúc íh :"]
Registration date : 23/04/2008

Điểm thưởng
Điểm thưởng: Nhiu cũg đc chã seo cã :)

Xem lý lịch thành viên http://360.yahoo.com/hoa.hongs

Về Đầu Trang Go down

Re: cách hack và cách bảo vệ để admin trí điện fòng ngừa

Bài gửi by key_vip_head_shot on Thu Jun 12, 2008 10:42 am

đươg nhin rùi trình độ như mày seo đọc dc
vậy tức lè teo bằng mày àh ko chịu huhuhu Exclamation
fải tìm hỉu lại cách hack nàj mới dc Twisted Evil

key_vip_head_shot
[S][U][P][E][R]
[S][U][P][E][R]

Nam
Tổng số bài gửi : 370
Age : 21
Đến từ : từ ngôi mộ mà tui mới chui lên
Tính cách : tuỳ hứng
Người ấy : tui thề từ h > hít cấp 2 tui ko wen đứa nào hít
Registration date : 27/05/2008

Xem lý lịch thành viên http://theeagle.foruma.biz

Về Đầu Trang Go down

Re: cách hack và cách bảo vệ để admin trí điện fòng ngừa

Bài gửi by Sponsored content Today at 4:57 am


Sponsored content


Về Đầu Trang Go down

Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang

- Similar topics

 
Permissions in this forum:
Bạn không có quyền trả lời bài viết