Wenn Sie die Angriffsmethoden kennen, können Sie eine effektive Verteidigungsstrategie entwickeln - diese Regel ist nicht nur in Armeekreisen, sondern auch im Internet relevant. Wenn Sie verstehen, wie Hacker Websites hacken, können Sie mögliche Schwachstellen Ihrer Ressource im Voraus schließen.
Anleitung
Schritt 1
"Eine Shell auf eine Site hochladen" bedeutet, dass eine Schwachstelle auf der Site verwendet wird, um ein schädliches Skript (Web-Shell) einzuschleusen, das es einem Hacker ermöglicht, die Site eines anderen über die Befehlszeile zu kontrollieren. Die einfachste PHP-Shell sieht so aus:
Schritt 2
Ein Hacker muss keine eigene Web-Shell erstellen, solche Programme werden schon lange geschrieben und verfügen über einen sehr großen Funktionsumfang. Die Aufgabe des Hackers besteht darin, eine fertige Shell auf die Site hochzuladen, in der Regel werden dazu SQL- und PHP-Injections verwendet.
Schritt 3
SQL-Injection nutzt Fehler beim Datenbankzugriff aus. Durch das Einschleusen seines Codes in eine Anfrage kann sich ein Hacker Zugriff auf Datenbankdateien verschaffen – zum Beispiel auf Logins und Passwörter, Bankkartendaten usw. PHP-Injections basieren auf Fehlern in PHP-Skripten und ermöglichen die Ausführung von Fremdcode auf dem Server.
Schritt 4
Woher wissen Sie, ob Ihre Website Schwachstellen aufweist? Es ist möglich, bestimmte Befehle manuell einzugeben, Werte in die Adressleiste zu liefern usw., dies erfordert jedoch gewisse Kenntnisse. Es gibt auch keine Garantie, dass Sie alle möglichen Optionen testen. Verwenden Sie daher spezielle Dienstprogramme zur Überprüfung - zum Beispiel das Programm XSpider. Dies ist ein absolut legales Programm für Netzwerkadministratoren, mit dessen Hilfe Sie Ihre Site auf Schwachstellen überprüfen können. Seine Demo kann online gefunden werden.
Schritt 5
Es gibt viele Programme zum Auffinden von Sicherheitslücken, die von Hackern erstellt wurden. Mit diesen Dienstprogrammen kann ein Administrator seine Site mit denselben Tools überprüfen, die möglicherweise versuchen, sie zu hacken. Um diese Tools zu finden, suchen Sie nach „SQL-Scanner“oder „PHP-Sicherheitslücken-Scanner“. Ein Beispiel für ein Dienstprogramm, das es ermöglicht, bei Vorhandensein einer SQL-Schwachstelle Informationen aus einer Datenbank abzurufen, ist das Havij - Advanced SQL Injection Tool. Sie können Ihre Site mit dem Hacker-Dienstprogramm NetDeviLz SQL Scanner auf das Vorhandensein von SQL-Schwachstellen überprüfen. Identifizierte Schwachstellen sollten umgehend beseitigt werden.
