Conèixer els mètodes d’atac permet construir una estratègia de defensa eficaç: aquesta regla és rellevant no només als cercles de l’exèrcit, sinó també a Internet. En entendre com pirates informàtics pirategen llocs web, podreu tancar possibles vulnerabilitats del vostre recurs per endavant.
Instruccions
Pas 1
"Carregar un intèrpret d'ordres a un lloc" significa utilitzar una vulnerabilitat al lloc per injectar un script maliciós (intèrpret d'ordres web) que permet a un pirata informàtic controlar el lloc d'una altra persona a través de la línia d'ordres. El shell PHP més senzill té aquest aspecte:
Pas 2
Un hacker no ha de crear el seu propi intèrpret d’ordres web, aquests programes s’han escrit durant molt de temps i tenen un conjunt de funcions molt gran. La tasca del pirata informàtic consisteix a carregar al lloc un intèrpret d’ordres ja fet, normalment s’utilitzen injeccions SQL i PHP.
Pas 3
La injecció SQL explota els errors en l'accés a la base de dades. Si injecta el seu codi en una sol·licitud, un pirata informàtic pot accedir als fitxers de la base de dades (per exemple, a les connexions i a les contrasenyes, a les dades de la targeta bancària, etc.). Les injeccions PHP es basen en errors en scripts PHP i permeten executar codi de tercers al servidor.
Pas 4
Com se sap si el seu lloc té vulnerabilitats? És possible introduir manualment certes ordres, proporcionar valors a la barra d'adreces, etc., però això requereix cert coneixement. Tampoc no es garanteix que proveu totes les opcions possibles. Per tant, utilitzeu utilitats especialitzades per a la verificació, per exemple, el programa XSpider. Aquest és un programa absolutament legal creat per a administradors de xarxa, amb la seva ajuda, podeu comprovar si hi ha vulnerabilitats al vostre lloc. La seva demostració es pot trobar en línia.
Pas 5
Hi ha molts programes per trobar vulnerabilitats creats per pirates informàtics. Mitjançant aquestes utilitats, un administrador pot comprovar el seu lloc amb les mateixes eines que podrien intentar piratejar-lo. Per trobar aquestes eines, cerqueu "escàners SQL" o "escàners de vulnerabilitats PHP". Un exemple d’utilitat que permet, en presència d’una vulnerabilitat SQL, obtenir informació d’una base de dades, és Havij - Advanced SQL Injection Tool. Podeu comprovar la presència de vulnerabilitats SQL al vostre lloc mitjançant la utilitat de pirateria NetDeviLz SQL Scanner. Les vulnerabilitats identificades s’han d’eliminar immediatament.
