How Hackers Hack, and How To Stop Them

너는 항상 그것에 대해 듣는다 "큰 은행이 파산했다" "Templar 사이트가 해킹되었습니다

" "Ashley Madison 웹 사이트는 관계에 해킹되어 현재 사람들 그들은 누가 그들을 배신하는지 알고있다 " 그러나 그것은 단지 그 이상이며 우리가 영화에서 보는 것만 큼 매력적이지 않습니다 획기적인 기능은 키보드에서 손으로 마술 단어를 작성하는 것이 아닙니다 그리고 다른 판에있는 다른 손 두 사람이 한 접시 만 사용하는 것이 아닙니다 침투가 어렵고, 일반적으로 좋은 계획과 상대적으로 긴 시간이 필요합니다

해커를 막는 것은 더욱 어렵습니다 그러나 어떤 사람들은 그들을 멈추기 위해 많은 시간과 노력을 기울입니다 침입은 권한이없는 사람이 컴퓨터 시스템에 액세스 할 때 발생합니다 해커가 들어올 때 그는 그들을 액세스하십시오 우리는 사람들이 페이스 북이나 트위터에 대한 자신의 계정이 해킹 당했다고 말하지만, 그렇지 않습니다 우리가 여기서 말하는 것입니다

개인 계정이 도용 된 경우 해커가 암호를 찾으십시오 이것은 슬프지만 회사 인프라에 침투하는 것만 큼 심각한 것은 아닙니다 수십억 개의 암호를 훔칩니다 다행히 이러한 대규모 공격은 구현하기가 어렵습니다 그러나 이미 12 월에 야후가 발생했습니다

예를 들어 야후가 해킹했다고 발표했습니다 2013 년에 10 억 개 이상의 계정이 노출되었음을 알게되었습니다 보안 질문 및 비밀번호에 대한 답변이 위험합니다 따라서 회사는 해킹 공격에 매우주의해야합니다 해커가 시스템에 액세스하면 옵션이 제한됩니다

정보를 수집하고 시스템을 손상 시키며, 아니면 아무 것도 할 수 없으며 위험에 대해서만 회사에 알립니다 이것은 세 가지 유형의 해커의 차이점입니다 검은 모자 소유자가 있습니다 그들은 나쁜 놈들을 관통하고 있습니다 그들은 시스템에 들어가서 정보 또는 시스템 손상

그런데 절대적으로 불법입니다 또한 자신의 시스템에 침투하는 백인 모자 소유자가 있습니다 또는 개인이 해를 끼치 지 않고 약점을 테스트하기 위해 시스템에 침투하도록 고용되어 있습니다 수리가 가능합니다 회색 모자 소유자가 있습니다

이름에서 알 수 있듯이 그들은 해커입니다 그들은 이전 두 가지 유형의 중간에 위치합니다 그들은 정권에 해를 입히려하지 않고 있지만 불법적 인 일을하고있다 또는 비 윤리적 인 경우, 예를 들어 고용되지 않고 시스템을 망칠 수 있습니다 그렇게하려면

그들은 정보를 훔치지 않고 나중에 회사에 알려주지 만, 그들은 인터넷상의 시스템 취약점을 공개합니다 그러나 유형에 관계없이 모든 방법이 사용됩니다 침투에서 크게 달라지지 않습니다 당신이 흰 모자 주인이고 약점을 찾기 위해 시스템을 테스트하고 있다면, 당신은 검은 모자 주인이하는 모든 일을하는 법을 알아라 해리포터 시리즈에서 흑 마술을 방어하는 것과 같습니다

어떻게해야하는지 알 필요가 있습니다 어두운면을 가지고 있으므로 자신을 보호 할 수 있습니다 화이트 모자 소유자가 수행 한 테스트는 테스트 침투 또는 펜 테스트입니다 시스템 취약성을 테스트 한 다음 추가합니다 흑인 모자의 소유자와 마찬가지로 피해

이것은 기본적인 과정이며, 그 단계를 보면 우리가 원리를 아는 데 도움이됩니다 해킹을위한 기본 일반적으로 침투 테스트의 첫 번째 단계는 정보 수집을 탐색하거나 정찰하는 것입니다 자신의 시스템에 침투하는 최선의 방법을 발견하는 목표 예를 들어, 검은 모자 소유자 인 경우 운영 체제 유형을 알 수 있습니다 적절한 공격을 활성화하기 위해 대상 컴퓨터에서 사용되는 이 시스템들 화이트 모자 주인 인 경우 액세스 할 수있는 데이터 유형을 알 수 있습니다

어떤 약점을 수정해야하는지 확인하십시오 탐사에는 두 가지 유형이 있습니다 : 겉보기와 숨김 해커가 다른 사람과 통신하지 않고 데이터를 수집 할 때 숨겨진 탐색이 발생합니다 대상 컴퓨터 주로 공개 된 정보를 검색하는 방법을 포함 해 다양한 방법으로이를 수행 할 수 있습니다 사이트에있는 파일 등

검은 모자 주인은 하드 드라이브를 대상에서 훔치려 고 시도 할 수 있습니다 비밀리에 탐사하는 데 오랜 시간이 걸릴 수 있지만 검은 모자 소유자가 사용하는 경우 부적절한 활동에 대한 증거가 없기 때문에 회사가 공격을 탐지하고 거부하는 것은 어렵습니다 이 경우 침입자는 회사 시스템에 접근하지 않으며 공격이 있다는 경고는 없습니다 그것은 계획되고있다 이를 피하기 위해 회사는 공개적으로 증거를 남기지 않도록합니다 그러한 데이터가 무해한 것으로 여겨지더라도 불필요한 데이터를 파괴합니다 그것은 또한 쓰레기통에 하드 드라이브를받지 않는 것이 가장 좋습니다

명백한 탐색은 해커가 다음과 같은 중요한 정보를 알고 자 할 때입니다 회사는 회사 시스템과 직접 통신합니다 해커는 이러한 방식으로 더 빠르게 정보에 액세스 할 수 있지만 탐지하기 쉽습니다 이는 회사가 컴퓨터와 통신하는 것을 추적 할 수 있기 때문입니다 다른 컴퓨터에 데이터를 제공하는 중앙 컴퓨터 인 서버에 연결합니다

이상한 장치가 네트워크에서 감지되거나 이상한 명령이 전송되면, 회사는 이러한 명령을 보내는 주소를 차단하는 등의 조치를 취할 수 있습니다 그래서 흰 모자 홀더의 경우, 침투 테스트의 일부는 명백한 탐험을하는 것입니다 블랙 햇 보유자가 많은 것을 알지 못하도록 방지 조치를 취했는지 확인하십시오 이것은 보통 열려있는 연결, 즉 포트를 검색하여 수행됩니다 각각의 열린 포트는 장치와 인터넷 사이의 링크 역할을합니다 교환 할 데이터입니다

해커가 열린 포트를 사용하여 공격 코드를 보낼 수 있으므로 위험 할 수 있습니다 장치 흰 모자를 쓰는 사람에게 오픈 콘센트를 찾으면 다음 단계는 다음을 확인하는 것입니다 이 포트를 실행하는 하드웨어 유형과 사용하는 운영 체제를 확인할 수 있습니다 그것이 바로 검은 모자 주인이하는 일이기 때문입니다

검은 모자의 소유자가 공격을 시작하기에 충분한 정보를 수집 할 수있는 것으로 밝혀지면 어떤 포트가 열려 있는지 생각하고 장치가 감지되지 않도록하는 방법을 찾아야합니다 해당 데이터에 대한 정보 일반적으로 대부분의 포트를 가능한 한 닫아두기를 원할 것입니다 이를 수행하는 한 가지 방법은 방화벽, 전체 프로그램 또는 장치 사용 그 기능은 컴퓨터에 대한 원치 않는 액세스를 방지하는 것입니다 방화벽 기능은 또한 컴퓨터 포트를 추적하여 열린 포트는 열린 채로 있어야합니다

방화벽은 경비원처럼 모든 문을 닫아야합니다 탐색 단계가 끝났으므로 이제 공격에 대한 보호로 넘어갈 수 있습니다 특정 운영체제의 존재를 악용합니다 사용중인 하드웨어 목록과 사용하는 운영 체제 버전을 작성하기 만하면됩니다 그리고 알려진 돌파구가 있는지 확인하십시오

사람들이 일종의 하드웨어 나 소프트웨어를 악용 할 수있는 방법을 발견하면 무엇이 인터넷에 게시됩니다 운영 체제 또는 소프트웨어 제조업체에서이 문제를 해결하려고합니다 그러나 픽스와 업데이트가 시스템에서 직접 실행되지는 않습니다 기존 시스템과 취약한 시스템에서 작업하고 있는지 여부를 확인하는 것이 중요합니다 물론, 블랙 햇 소유자는 새로운 버전을 보급하기위한 새로운 방법을 고안 할 수 있습니다

그러나 이것은 많은 노력과 기술이 필요하므로 일반적인 돌파구에 대한 보호는 해킹 당하기 어렵게 만듭니다 침투 테스트의 또 다른 부분은 웹 사이트와 관련이 있습니다 각 웹 사이트에는 볼 수있는 부분이 있습니다 YouTube와 마찬가지로 다양한 채널과 동영상 페이지를 볼 수 있습니다 너는 나를 볼 수 있고 나는 내 손으로 이것을하고있다

그러나 각 사이트의 관리 측면에도 페이지와 파일이 있습니다 너는 그것을 보지 말아야한다 이 페이지에는 개발자가 사이트를 관리하는 데 필요한 정보가 포함되어 있거나 파일이 사용자 이름 데이터베이스 및 주소와 같은 공용 액세스 권한 이상적인 경우, 아무도 무작위로 나오지 않도록이 파일을 보호해야합니다 특정 주소를 쓰는 것만으로 연락하십시오

누군가가 파일에 액세스 할 수 있는지 알아 보려면 블랙 햇 소유자가 수행하는 작업을 수행해야합니다 다른 주소를 사용해보고 페이지 또는 파일을 찾을 수 없는지 확인하십시오 대중에게 다가 가기 이렇게하려면 사이트를 매핑하는 프로그램 인 크롤러를 사용해야합니다 다른 링크를 방문하십시오

특정 프로그램을 사용하여 여러 주소를 시도 할 수도 있습니다 이 정보를 포함합니다 예 : yourwebsitecom/info 또는 / files 또는 기타 페이지 크롤러가 오류 페이지에 도달하면 이는 중요한 가이드입니다 회사는 오류 페이지에 정보가 포함되지 않도록해야합니다

침입자가 그것을 공격했습니다 오류로 인해 페이지가 "비공개"라고 표시되면 해커에게이 페이지가 시스템에 침투 할 수 있다면 큰 목표가 될 수 있습니다 따라서 오류 페이지에 나타나는 정보에주의하십시오 사이트의 다른 부분은 사용하는 양식과 같은 양식을 사용하는 페이지를 포함합니다 배송 주소를 입력하거나 데이트 사이트에서 수백 가지 질문에 답변하십시오

이 양식이 잘 포맷되어 있지 않으면, 검은 모자 소유자가 보낼 수 있습니다 시스템에 유해한 코드 이 코드는 대개 데이터베이스에서 정보를 추출하는 데 사용됩니다 사용자가 입력 한 신용 카드 번호와 같이 회사에서 사용합니다 따라서 사이트에서 검색을 위해 양식에 입력 된 데이터를 확인하는 것이 중요합니다

의심스러워 보일 수 있으며 직접 해킹하여 보호 방법을 테스트하는 것이 중요합니다 침투를 테스트하는 몇 가지 단계가 있지만 기본적인 단계 일뿐입니다 테스트가 끝나면 결과를보고 버그를 수정해야합니다 그럼에도 불구하고 회사의 시스템은 모든 해킹 시도로부터 완전히 안전하지 않을 수 있습니다 검은 모자 주인은 항상 시스템을 깨뜨리는 새로운 방법을 생각하고 있습니다

정부 나 고위급 조직과 같은 구체적인 목표가있는 경우 소유자는 흰 모자는 항상 공격에 대해 경고해야합니다 그러나 보안 위협을 추적하는 한, 그들은 검은 모자 소유자보다 앞서 있습니다 언제나 한 발짝 움직였습니다 야후는 그렇게하지 않았습니다 그들은 강력한 방어력을 가지고 있습니다 Pation 플랫폼에서 후원자를 후원 한 SciShow 에피소드를 시청 해 주셔서 감사합니다

이 프로그램을 돕고 싶다면, 우리에게 돈을 기부 할 수 있습니다 우리는 그것을 사용할 것입니다 이 링크에 계속 된 SciShow 에피소드 그리고 우리와 똑똑 해지고 싶다면 다음 주소로 가서 구독하십시오

Hacking Websites with SQL Injection – Computerphile

실제로 어떻게 발음해야하는지에 대한 논쟁이있었습니다 나는 그것을 후속 주사라고 부른다

약어는 SQL입니다 어느 쪽이든 당신이 그것을 부르면, 그것은 웹 사이트를 공격하는 방법입니다 정말 더 이상 작동하지 않아야하지만 여전히 그렇습니다 Sequel 또는 SQL은 데이터베이스와 대화하는 언어로, 그리고 그것은 상당히 그것은 실제로 영어와 상당히 비슷합니다 당신은 실제로 같은 말을 할 수 있습니다, "이 표에서 선택하십시오" 복잡한 언어가 아닙니다 중괄호와 세미콜론 등의 큰 금액은 없습니다

그것은 될 수 있습니다 그러나 똑같이 거의 영어로 명령을 입력 할 수 있습니다 데이터베이스에서 결과를 얻을 수 있습니다 그리고 이것은 수년과 수년 동안 존재 해왔다 그리고 웹이 올 때까지 그것은 괜찮 았습니다

지금 사람들은 웹 사이트를보고 있으며 생각하고 있습니다 "이것들은 데이터베이스에 연결되어야합니다" Tim Berners-Lee가 World Wide Web을 발명했을 때, 그것은 꽤 많이 "나는 문서를 요청할거야 그 문서를 나에게 돌려 보낼거야 " 결국 사람들은 그것을 해결했습니다

당신이 정말로하고 싶은 것은 문서를 보내는 것입니다 당신이 보낸 것에 따라 다른 것들이 돌아옵니다 어쩌면 검색 요청을 입력 할 수 있습니다 그리고 그것은 데이터베이스에 가서 어떤 것을 되돌릴 것입니다 멋지네요, 훌륭합니다

훌륭한 발명품입니다 불행히도 일부 프로그래밍 언어는이를 합리적인 방법으로 처리했습니다 일부는 그렇지 않았습니다 그리고 가장 유명한 언어 중 하나는 PHP라고하는 언어입니다 저는 PHP 코더입니다

글을 쓸 수있는 아주 쉬운 언어입니다 친절한 언어입니다 나는 여전히 코드를 개발할 수있는 다른 언어를 만난 적이 없다 내가 할 수있는 속도로 그것은 매우 내결함성이 있습니다

합리적으로 항상 최선의 결과를주는 것은 아니지만, 알다시피, 친근하고, 결정적이며 결정적입니다 당신은 텍스트 파일에 그것을 쓰거나 웹 서버에 업로드 할 수 있습니다 (세계 대부분) 그것은 효과가있을 것입니다 PHP 코드를 입력하여 실행하면됩니다

그래서 진입 장벽은 정말로 낮습니다 어느 쪽이 영리한 지 웹 프로그래밍을 훨씬 더 쉽게 이용할 수있게 해줍니다 Facebook은 원래 PHP로 작성되었습니다 무수한 것들은 원래 PHP로 작성되었으며 많은 것들이 여전히 있습니다

워드 프레스는 여전히 있습니다 문제는 조심하지 않으면 잘못 될 수있는 방법이 많다는 것입니다 그리고 이것은 PHP 만있는 것이 아닙니다 예제로 사용하겠습니다 이와 같은 명령을 실행하여 데이터베이스와 대화합니다

SELECT * FROM 사용자 사용자 이름이 같은 위치 "남자 이름" 큰! 그리고 데이터베이스는 "tom"이라는 사용자에 대해 알고있는 모든 세부 정보를 다시 보냅니다 훌륭한! 그러나 캐치는 그 따옴표입니다 내가 보내는 것을 조심하지 않으면, 그러면 우리는 몇 가지 문제를 일으킬 수 있습니다 예를 들어, 로그인 할 수있는 웹 양식이 있고 톰을 입력한다고 가정 해 봅시다 그것을 보내고 "톰"을 다시 가져옵니다

승인? 이제 톰에 따옴표를 넣고 타이핑 해 봅시다 주의를 기울이지 않으면 언어가 이런 식으로 보낼 것입니다 SELECT * 사용자로부터 사용자 이름 같음 "톰"다음에 따옴표를 넣은 다음 따옴표를 넣습니다 따옴표가 일치하지 않아 실패합니다 그리고 모든 것이 충돌하고 단지 오류를 되돌려 보냅니다

그것은 약간 성가시다 물론 큰 문제는 따옴표가있는 텍스트를 넣는 것입니다 캐치는 그렇게 많은 피해를 줄 수 있다는 것입니다 그 언어는 단지 SELECT를 가지고 있지 않기 때문입니다 새로운 물건을 추가하려면 INSERT가 있어야합니다

그것은 물건을 변경하려면 업데이 트했습니다 그리고 물건을 지우기 위해 DELETE가 있습니다 그래서 제가 보내려한다면, 말하자면, '톰'인 사용자 이름; ', 거기에 또 다른 명령을 넣으십시오 '모든 것을 삭제하십시오' 그 문자 그대로의 명령이 아니라 그와 비슷한 것입니다

그것은 효과가있을 것이다 그래서 우리는 어떻게 작동하는지 살펴 봅니다 우리는 정상적인 명령을 가지고 있습니다 "SELECT * FROM users 어디에서 username [mumbles] 'tom' "" 거기에 긴 명령 하지만 네가 '톰'을 넣을 때, 나는 그것을 보낼거야

그리고 나서 이걸 보낼거야 모든 데이터베이스를 삭제하십시오 Enter를 누르면 일반 영어 명령으로 변환됩니다 SQL 언어로, 그것은 보내질 것이다, 데이터베이스가 갈 것입니다 "그게 내가해야할 일이야

" 세미 콜론에 새로운 명령이 있고 모든 것을 삭제해야한다는 것을 이해할 것입니다 주변의 주된 길은 벗어나고 있습니다 따옴표와 같은 위험한 문자가있을 때, 너는 그 앞에 슬래시를 넣는다 그리고 '당신'은 프로그래머가 이것을 쓰는 것을 의미합니다 당신은 통과하고, 당신은 말한 함수를 사용합니다, "어디에서나 따옴표가 있습니다

앞에 슬래시를 넣으십시오 그리고 데이터베이스에 보내기 전에, 그렇게하십시오 " 사용자로부터 입력이 들어오고, 안전을 위해 슬래시를 추가하십시오 그것을 데이터베이스로 보냅니다 그리고 데이터베이스는 그 슬래시를보고 간다

"맞아요, 그 중 하나가있을 때마다, 다음에 올거야 그냥 정규식 따옴표로 취급하십시오 특별한 것으로 취급하지 마십시오 텍스트에 있습니다 그냥 그대로 취급하십시오

" 실제 슬래시를 보내려면 두 개의 슬래시를 보냅니다 첫 번째 사람은 "다음 캐릭터를 실제 캐릭터로 다루십시오"라고 말하면서 그것은 작동하지만 clunky

그리고 잠시 동안, 이런 종류의 "보통 영어로 명령 보내기" 일을 몇 가지 언어로 작동시키는 유일한 방법이었습니다 세계에서 가장 보편적으로 사용되는 웹 프로그래밍 언어 인 PHP를 포함합니다 이 상황을 악화 시키려면 슬래시를 추가하라는 명령은 훌륭하게 다루기 힘들었습니다 mySQL (데이터베이스의 이름입니다) _레알 _탈출 _끈

그런 다음 원하는 텍스트를 입력하십시오 "escape_string"은 당신이 원하는 것을하고, "mySQL"은 데이터베이스의 이름이고, 및 "진짜", 왜냐하면 첫번째 것이 작동하지 않았기 때문에 이전 버전과의 호환성 때문에 변경하지 못했습니다 따라서 원래의 문자열을 사용한 사람은 누구나 10 년 전의 것 같은데, 하지만이 원래 형식을 사용하는 사람 : 완전히 불안합니다 패치를 작성하기보다는 "진짜"라는 단어를 추가했습니다 누가 그것을 잊었거나 모든 문서를 읽지 않았습니까? 네

누구든지 데이터베이스를 효과적으로 삭제할 수 있습니다 또는 다른 사람의 계정을 업데이트하거나 다른 사람의 암호를 읽는 것과 같은 더 미묘한 작업을 수행하십시오 일단 데이터베이스에 액세스하면 작동 방법을 알아 내면, 당신이 할 수있는 일은별로 없습니다 그리고이 문제를 해결하는 것은 쉽습니다 이 오류가 코드에서 한 번만 잘못되는 경우, 그리고 내가 잘못 이해할 수없는 많은 미묘한 방법들이 있습니다

따옴표를 피하는 것을 잊어 버리는 것만이 아닙니다 틀리게 만드는 방법은 정말 미묘합니다 그렇게하면 웹 응용 프로그램을 사용할 수 없습니다 누군가 거기에 방법이 있다는 것을 알아 내면, 사용자 이름에 따옴표가있는 사용자 이름을 만들고 시도하기 때문에, 그럼 행운을 빌어 요! 모든 사람의 암호에 작별 인사를하십시오 그것이 행해져 야하는 방식은 준비된 진술이라고 불리는 것입니다, 그리고 만약 당신이 데이터베이스와 관련된 어떤 것을 프로그래밍한다면, 지금 준비된 진술을 사용해야합니다

그들이 일하는 방식은 그것은 해킹입니다 해킹에 대한 해킹입니다

솔직히 말해서, 프로그래밍 언어로부터 그러한 종류의 평이한 영어 SQL 명령을 보내는 것, 그것은 해킹입니다 그리고 나서 우리는 그 위에 더 많은 것을 넣어야하고 그 위에 더 많은 것을 넣어야합니다 그러나 준비된 진술은 적어도 그것을 안전하게 유지합니다 준비된 명령을 사용하여 조회를 보냄니다

"SELECT * FROM users where username =" 그런 다음 '?'라고 말하면됩니다 그리고 그 물음표는, 당신은 나중에 나중에 말합니다 "맞아, 이건 내가 넣고있는 데이터 야 이것은 명령이 아닙니다 그것이 무엇이든간에 아무 것도하지 마십시오

이것은 안전하지 않습니다 그냥 가져 가서 대단히 조심스럽게 다루고 데이터베이스에 저장하고 그 이상으로 보지 마십시오 " 그것은 그보다 조금 더 복잡합니다 저는 카메라와 대화하기 위해 대규모로 단순화하고 있습니다 그리고 만약 당신이 웹 프로그래밍이라면, 당신은 당신이해야 할 일의 최근 보안 가이드 라인 등을 찾아 봐야한다

그러나, 이것이 당신이 사용해야하는 것입니다 지금 당장, 준비된 문장을 사용하지 않으면 응용 프로그램의 어느 부분에서든 실수가 발생합니다 당신이 인용 부호를 넣는 것을 잊어 버린 곳 중 하나, 또는 유니 코드 문자를 사용하는 미묘한 방식으로 엉망으로 만든다 또는 경이롭게 복잡한 무엇인가, 특히 Microsoft 데이터베이스를 사용하는 경우 그것은 Windows를 사용하는 사람으로부터 온 것입니다 준비된 진술을 사용하지 않는다면, 당신은 취약합니다

당신은 그것을 고칠 필요가 있습니다 그러나 말은 해킹이 진행됨에 따라 더 나쁜 것이 있습니다

Website hacking by PHP source code Disclosure vulnerability

윤리적 해킹 Cryptus 사이버 보안에 대해 알아보십시오 Cryptus 공인 윤리적 해커 6 개월 IT 보안 디플로마 Cryptus 사이버 보안 Pvt

Ltd 윤리적 해킹을 배우십시오 Manish Kumawat 웹 침투 테스트에 대해 알아보십시오 사이버 법의학 코스를 배우십시오 Cryptus 사이버 보안 윤리적 인 해킹에 대한 글로벌 인증 윤리적 해킹 Cryptus Cyber ​​Security 뉴 델리 학습