10 روش برتر هک وب سایت ها در سال 2010

10 روش برتر هک وب سایت ها در سال 2010

بازدید: 250    انتشار: 1394/06/10    کد مطلب: 8278    دسته بندی: لیست آموزش

10 روش برتر هک وب سایت ها در سال 2010


در این مقاله قصد داریم تا نگاهی به 10 تکنیک رایج هک وب سایت‌ها در سال 2010 داشته باشیم. در یک نظرسنجی که از گروهی از کارشناسان و نیز با استفاده از رای گیری آزاد انجام شده است، 10 تکنیک جدید و خطرناک هک وب سایت در سال 2010 که می‌تواند معاملات و تراکنش‌های بانکی آنلاین را به مخاطره بیاندازد، انتخاب شده‌اند:

 

1. Padding Oracle Crypto Attack :

در این روش، از ویژگی‌های Microsoft web framework ASP.NET در از محافظت کوکی‌های رمزگذاری AES استفاده می‌شود. اگر رمزگذاری داده‌های کوکی تغییر پیدا کند، زمانیکه ASP.NET نتایج خود را در برنامه مدیریت می‌کند، برخی از اطلاعات درباره رمزگشایی ترافیک را فاش می‌سازد. با تکرار تغییرات و افشای اطلاعات، هکر می‌تواند نتیجه بگیرد که کدام بایت‌ها را می‌تواند از کلید رمزگذاری حذف کند و حدس زدن کلید را راحت می‌کند.  

2. Evercookie :

کوکی‌های سنتی، مقدار کمی داده هستند که توسط مرورگر کاربر ذخیره می‌شوند و اطلاعات کاربر را ذخیره می‌کنند. بخاطر مسائل امنیتی و حریم خصوصی، تمام مرورگرها مکانیزمی برای پاک کردن آنها دارند.

Evercookie، برنامه مبتنی بر جاوا است که در مرورگر کاربران، کوکی‌های zombie تولید می‌کند و خود را در ماشین قربانیان مخفی می‌کند تا پاک کردن آنها دشوار شود. هکر با استفاده از Evercookie می‌تواند کامپیوتر قربانی را بشناسد حتی اگر کوکی‌های سنتی پاک شده باشند.

در واقع این روش برای تولید کوکی‌های دائمی بر روی مرورگر کلاینت استفاده می‌شود و هدف اصلی آن، شناسایی کلاینت‌ها حتی پس از پاک کردن کوکی‌های استاندارد است. برای این منظور، Evercookie، کوکی را در چندین نقطه ذخیره می‌کند و اگر پاک شود، با استفاده از مکانیزم‌های خود، دوباره آن را ایجاد می‌کند. (این روش را Samy Kamkar در سال 2010 ابداع کرد).  


hack


3. Hacking Autocomplete :

اگر قابلیت Autocomplete که امکان کامل کردن خودکار فرم‌های وب سایت‌ها را می‌دهد در مرورگر فعال شده باشد، اسکریپتی که در وب سایت هکر قرار دارد می‌تواند مرورگر را مجبور کند که فیلد مربوط به اطلاعات شخصی را با اطلاعات مختلفی که در کامپیوتر قربانی وجود دارد پر کند (این روش توسط Jeremiah Grossman ابداع شده است).  

4. Attacking HTTPS with Cache Injection :

هکر می‌تواند با تزریق اسکریپت‌های مخربانه جاوا به داخل کش یک مرورگر، وب سایت‌هایی که با SSL محافظت می‌شوند را به خطر بیاندازد. این روش تا زمانیکه کش پاک شود، کار می‌کند. تقریبا نصف یک میلیون وب سایت برتر از کتابخانه‌های جاوا اسکریپت استفاده می‌کنند بنابراین مستعد این حمله هستند (این روش توسط Elie Bursztein، Baptiste Gourdi، و Dan Boneh ابداغ شده است).  

5. Bypassing CSRF protections with ClickJacking and HTTP Parameter Pollution :

هکر در این روش، cross site را دور می‌زند و با ارسال درخواست جعلی، قربانیان را گول می‌زند تا آدرس ایمیل آنها را بدست آورد و سپس با استفاده از این‌ها، پسوردهای قربانی را ریست کند و به اکانت‌های آنها دسترسی داشته باشد (این روش توسط Lavakumar Kuppan ابداع شده است).

6. Universal XSS in IE8 :

مرورگر Internet Explorer 8 از حملات XSS پیشگیری می‌کند. اما نه تنها می‌توان این قابلیت IE را دور زد بلکه می‌توان از آن سواستفاده کرد. با استفاده این اکسپلویت می‌تواند پیش دستی کند و توسط کاربر شرور صفحات وب را بصورت غیر صحیح درآورد.

h1

7. HTTP POST DoS :

تفاوت این روش DoS با دیگر روش‌ها در این است که برطرف کردن آن بسیار دشوار است برای اینکه این روش بر مبنای روشی است که پروتکل HTTP کار می‌کند. بنابراین، برطرف ساختن آن، به معنای شکستن پروتکل HTTP است.

در این روش هکر تعدادی ارتباط با وب سرور برقرار می‌سازد که هر کدام از این ارتباطات دارای هدری با طول بزرگ (برای مثال 10000000) است بنابراین وب سرور انتظار 10000000 بایت را از این ارتباطات دارد. اما این همه داده بصورت یکجا ارسال نمی شود و با فاصله‌های زمانی طولانی (مثلا هر 10 یا 100 ثانیه یک بایت) ارسال می‌شوند. بنابراین وب سرور این ارتباطات را برای مدت زمان طولانی باز نگه می‌دارد تا تمام داده‌ها را دریافت کند. بنابراین کلاینت‌های دیگر نمی‌توانند به آن متصل شوند (این روش توسط Wong Onn Chee and Tom Brennan ابداع شده است).

8. JavaSnoop : 

java agent که به ماشین هدف متصل می‌شود، با ابزار JavaSnoop ارتباط برقرار می‌کند تا نقاط ضعف و آسیب پذیری‌های برنامه‌های ماشین قربانی را آزمایش کند. این می‌تواند یک ابزار امنیتی یا یک ابزار هک باشد و بستگی به ذهنیت کاربر دارد (این روش توسط Arshan Dabirsigh ابداع شده است).

9. CSS History Hack in Firefox without JavaScript for Intranet Port Scanning :

شیوه ارائه آبشاری (cascading style) که برای نمایش HTML استفاده می‌شود می‌تواند تاریخچه مرورگر قربانیان را بگیرد. سپس با بررسی تاریخچه سایت‌هایی که قربانی مشاهده کرده برای انجام عملیات فیشینگ استفاده شود (این روش توسط Robert 'RSnake' Hansen ابداع شده است).

10. Java Applet DNS Rebinding :

در سال 2007 کشف شد که اپلت‌های جاوا زمانیکه با پلاگین LiveConnect مرورگر فایرفاکس همراه می‌شود، آسیب پذیر می‌شود و مستعد حمله DNS Rebinding است و از قابلیت‌های جاوا از قبیل ارتباطات TCP و UDP بر روی وب سایت‌های غیرمجاز استفاده می‌کند. اپلت‌های جاوا، مرورگر را به وب سایت هکر هدایت می‌کند و مرورگر را مجبور به دور زدن کش DNS می‌کند در نتیجه برای حمله DNS rebinding آسیب پذیر می‌شود. همانطوریکه ذکر شد این حمله تنها بر روی مرورگر فایرفاکس کار می‌کند. این روش توسط Stefano Di Paola ابداع شده است.



آگهی

آگهی






ارسال نظر
[نظر شما پس از تایید مدیر نمایش داده می شود.]
درج آگهی رایگان

سایت آگهی90 یک شتاب دهنده تبلیغاتی میباشد که صرفا جهت نمایش آگهی ها و تبلیغات کاربران فعالیت دارد.در این سایت هیچ گونه خرید و فروش کالا وجود ندارد این سایت جهت تبلیغات کسب و کارهای مختلف , محصولات و خدمات میباشد.

logo-samandehi
تماس با ما
می توانید نظرات و پیشنهادات خود را از طریق فرم تماس با ما برای ما ارسال کنید.
ایمیل: info [@] agahi90.ir
پشتیبانی آگهی دهندگان : 3770 - 465 - 0911

طبق ماده 3 آیین نامه اجرایی ماده 7 قانون حمایت از مصرف کنندگان مسئولیت تبلیغ خلاف واقع برعهده سفارش دهنده و سازنده آگهی است.سایت در ستاد ساماندهی پایگاه های ایرانی ثبت شده و تابع قوانین جمهوری اسلامی ایران میباشد.

تمام حقوق مادی و معنوی این سایت برای شتاب دهنده تبلیغاتی آگهی90 محفوظ است وبتینا وبتینا
تصویر آیکن بگراند