جلوگیری ازدسترسی غیر مجاز به حساب کاربری در سایت ها [بایگانی] - انجمن گروه آشیانه

PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : جلوگیری ازدسترسی غیر مجاز به حساب کاربری در سایت ها

Ali_AghA

10-04-2010, 03:39 AM

ببخشید من هرچی گشتم تاپیک مشابه پیدا نکردم

میخواستم منو کمک کنید تا یاد بگیرم جچوری یک حساب کاربری رو در یک سایت هک کنم یعنی چجوری پسورد رو به دست بیارم

ممنون میشم

inj3ct0r

10-04-2010, 10:54 AM

به cms و ورژنش بستگي داره.....

Ali_AghA

10-04-2010, 05:20 PM

به cms و ورژنش بستگي داره.....

یکم بیشتر توضیح بدید

m3tal

10-04-2010, 05:34 PM

ببخشید من هرچی گشتم تاپیک مشابه پیدا نکردم

میخواستم منو کمک کنید تا یاد بگیرم جچوری یک حساب کاربری رو در یک سایت هک کنم یعنی چجوری پسورد رو به دست بیارم

ممنون میشم

روش های مختلفی برای این کار هست:

1.روش sql injection

در این روش میتونین از سایت هایی که این باگ رو دارن استفاده کنین و تمام یوزر و پسورد های کاربران اون سایت رو در بیارین.

2.مهندسی اجتماعی

به ایمیل افرادی که در سایت مورد نظر حساب کاربری دارن یه دونه فیک پیج ارسال کنین تا با لاگین کردن داخل اون فیک پیج, تمام اطلاعاتشون برای شما ارسال بشه.

3.هک کردن سرور

این روش رو اگه خوب بلد بشی, میتونی نه تنها پسورد کاربرا رو از داخل دیتابیس بیرون بکشی , بلکه هر کاری رو روی سرور میتونی انجام بدی.

راه های دیگه ای هم هست که با شناخت باگ های مختلف میتونی از اونا برای هک کردن حساب کاربرهای سایت مورد نظر استفاده کنی.

موفق باشی دوست خوبم.

Ali_AghA

10-04-2010, 06:31 PM

روش های مختلفی برای این کار هست:

1.روش sql injection

در این روش میتونین از سایت هایی که این باگ رو دارن استفاده کنین و تمام یوزر و پسورد های کاربران اون سایت رو در بیارین.

2.مهندسی اجتماعی

به ایمیل افرادی که در سایت مورد نظر حساب کاربری دارن یه دونه فیک پیج ارسال کنین تا با لاگین کردن داخل اون فیک پیج, تمام اطلاعاتشون برای شما ارسال بشه.

3.هک کردن سرور

این روش رو اگه خوب بلد بشی, میتونی نه تنها پسورد کاربرا رو از داخل دیتابیس بیرون بکشی , بلکه هر کاری رو روی سرور میتونی انجام بدی.

راه های دیگه ای هم هست که با شناخت باگ های مختلف میتونی از اونا برای هک کردن حساب کاربرهای سایت مورد نظر استفاده کنی.

موفق باشی دوست خوبم.

روش دومو میشه کامل توضیح بدید!!:frown:

Hijacker

10-04-2010, 07:10 PM

مهندسی اجتماعی یعنی استفاده از روابط بین شما و اون طرف که پسوردش رو می خواید
مثلا من توی یه کتاب خوندم می تونید از سطل آشغال یه شرکت کامپیوتری چیزای خیلی مهمی پیدا کنید که به درد شما بخوره برای هک حساب های همون شرکت
یا مثلا آگاهی داشتن به سوالات امنیتی که افراد برای ایمیل هاشون میزارند
این ها موارد کوچکی از این مقوله هستند
برای یادگیری این مقوله بهتره کتاب تهیه کنید

m3tal

10-04-2010, 07:13 PM

روش دومو میشه کامل توضیح بدید!!:frown:

در مورد روش دوم که خواسته بودید دربارش توضیح بدم , اینو باید بگم که اونقدر روش های "مهندسی اجتماعی" پرکاربرد,ساده,ابتکاری و به روز هستند که میشه یه کتاب در باره ی اون نوشت.

اگر بخوام یه مختصری راجع به این روش توضیح بدم اینو باید عرض کنم که در این روش هر چقدر قدرت گول زنندگی شما بیشتر باشه,نتیجه بهتری هم عاید شما میشه.یعنی هر چقدر بهتر بلد باشین طرف مقابل رو گول بزنین,بهتر و بیشتر به مقاصد خودتون دست پیدا میکنین.

اینجا لازم میبینم که برای روشن شدن بیشتر این مطلب, یه مثالی رو ذکر کنم که دقیقا 2 سال پیش برای خودم اتفاق افتاد:

2 سال پیش و در یک روز پاییزی که داشتم ایمیل هام رو طبق عادت همه روزه چک میکردم , به یک باره با یک ایمیل مواجه شدم که در subject اون نوشته شده بود : "حساب پی پال شما در خطر است.
من هم که این پیغام هشدار رو میدیدم یه دفعه شکه شدم و برای اینکه ببینم چه اتفاقی بر سر حساب پی پالم افتاده که اینچنین پیغامی رو دارم میبینم, به سرعت این ایمیل رو باز کردم.

وارد صفحه ی این ایمیل که شدم, دیدم یه نامه ی شیک و قشنگه که از تمپلیت زیبایی هم استفاده کرده و حتی آرم شرکت paypal رو هم اون بالای نامه میشد دید.
در ذیل این نامه نوشته شده بود که اگرتا 24 ساعت و از طریق لینکی که در این ایمیل موجود بود به حساب کاربری خودم در سایت پیپال وارد نشوم, اونوقت این سایت حساب من رو مسدود میکنه...حتی تاکید شده بود که فقط از طریق لینکی که در ایمیل وجود داشت باید به حساب پیپال خودم وارد بشم.(تا حساب از طریق اون لینک دوباره verify بشه)
خلاصه من اون لینک رو کلیک کردم و وارد یه سایت شدم که با سایت اصلی پیپال مو نمیزد...دقیقا مثل سایت پیپال بود.من هم که از در خطر بودن حساب کاربریم در این سایت میترسیدم و فکر میکردم که حتما قراره که سایت پیپال حساب منو مسدود کنه , از داخل همون صفحه اقدام به لاگین کردن به داخل حسابم کردم...اما دیدم که با وجود یوزر و پسورد درست , نمیتونم به حسابم لاگین کنم.

دیگه ترسیده بودم و فکر میکردم که سایت پیپال حسابمو بسته.اما این پایان کار نبود .بلکه همون لحظه اینترنت اکسپلورر خودمو باز کردم تا یه بار دیگه و از طریق تایپ مستقیم آدرس سایت پیپال وارد سایت پیپال بشم.
اما در کمال تعجب دیدم که با یوزر و پسوردی که داشتم تونستم وارد اکانت کاربریم داخل سایت پیپال بشم.

همینجا متوجه تقلبی بودن اون ایمیل کذایی شدم....ایمیلی که خیلی رسمی , محترمانه ,و بسیار شیک برایم ارسال شده بود.و من رو اصلا به شک نیانداخته بود که آیا این ایمیل از طرف پیپال بوده یا نه.

به محض اینکه متوجه این قضیه شدم, به سرعت پسوردی رو که در هنگام لاگین کردن از طریق اون لینک , وارد فرم مربوطه کرده بودم تغییر دادم.چراکه میدانستم که یوزر و پسورد من از طریق آفرم لاگین در یک سایت قلابی(که شبیه پیپال بود) , برای هکر مورد نظر ارسال شده بود.و اون صفحه ای هم که من در داخلش لاگین کرده بودم , سایت اصلی پیپال نبوده و بلکه صفحه ای تقلبی (fake page ) بوده است.

....بعدها هم دقیقا یک چنین ایمیلی رو که حاوی چنین هشداری! از طرف سایت پیپال بود در ایمیل دیگرم دریافت کردم.....

خلاصه بگم به شما که کار مهندسی اجتماعی بر این پایه قرار میگیره : گول زدن هر چه بهتر فرد قربانی!