Přejít k navigační liště

Seriál: Jdu hacknout váš server (3 díly)

Jsem hacker a chci váš server. Přečtěte si, jak postupuji, čeho se snažím vyvarovat a jak mě naopak můžete odhalit. Možná jsem se přes bezpečnostní díru ve formuláři dostal na vaše SSH. Jako root. Nebo jenom k celé databázi, to přes sql injekce.

Komentáře: 30

Jdu hacknout váš server… díl 2 (díl 2)

V minulém díle jsem na cílovém serveru objevil bezpečnostní trhlinu (SQL injection) a připravil jsme si další postup. Nyní si z databáze konečně něco vypíšu – rozhodně seznam uživatelů (a hesla, pravděpodobně zahashovaná), s trochou štěstí systémové soubory. Prozatím ale skromně začnu zjištěním metadat: verze a typ databáze a názvy důležitých tabulek a sloupců.

Komentáře: 25

Jdu hacknout váš server… díl 3 (díl 3)

Naposledy jsem na cílovém serveru získal omezený přístup přes PHP shell. Pro připomenutí – jedná se o krátký skript, který přes exec/passthru pouští příkazy, které mu zadáme pomocí GET nebo POST požadavku. Na server jsem ho v tomto příkladu dostal přes SQL injection, další možností mohlo být třeba nesprávně ošetřené nahrávání souborů.

Kontrolní číslice čárového kódu (úloha z kroužku programování pro děti)

Kolik lidí si podle vás v supermarketu kontroluje účtenku, aby se ujistili, zda jim namarkovali vše správně? Obvykle ne mnoho, jelikož čárový kód je tak spolehlivý, že mu důvěřují, že funguje. (Já tedy vídám, že si to lidé kontrolují a namátkově to dělám tady. Přeci jen je tam lidský prvek, ne vše se markuje podle kódu, případně může být zboží špatně přiřazeno).