Conhecer os métodos de ataque permite que você construa uma estratégia de defesa eficaz - essa regra é relevante não apenas em círculos militares, mas também na Internet. Ao entender como hackers invadem sites, você será capaz de fechar possíveis vulnerabilidades de seu recurso com antecedência.
Instruções
Passo 1
"Carregar um shell para um site" significa usar uma vulnerabilidade no site para injetar um script malicioso (shell da web) que permite que um hacker controle o site de outra pessoa por meio da linha de comando. O shell PHP mais simples tem esta aparência:
Passo 2
Um hacker não precisa criar seu próprio shell da web; esses programas foram escritos há muito tempo e têm um conjunto muito grande de funções. A tarefa do hacker é carregar um shell pronto para o site, geralmente injeções de SQL e PHP são usadas para isso.
etapa 3
A injeção de SQL explora erros no acesso ao banco de dados. Ao injetar seu código em uma solicitação, um hacker pode obter acesso a arquivos de banco de dados - por exemplo, para logins e senhas, dados de cartões bancários, etc. As injeções de PHP são baseadas em erros em scripts PHP e permitem que códigos de terceiros sejam executados no servidor.
Passo 4
Como você sabe se seu site tem vulnerabilidades? É possível inserir manualmente certos comandos, fornecer valores para a barra de endereço, etc., mas isso requer certo conhecimento. Além disso, não há garantia de que você testará todas as opções possíveis. Portanto, use utilitários especializados para verificação - por exemplo, o programa XSpider. Este é um programa absolutamente legal criado para administradores de rede, com sua ajuda você pode verificar seu site em busca de vulnerabilidades. Sua demonstração pode ser encontrada online.
Etapa 5
Existem muitos programas para encontrar vulnerabilidades criadas por hackers. Usando esses utilitários, um administrador pode verificar seu site com as mesmas ferramentas que podem tentar hackea-lo. Para localizar essas ferramentas, pesquise "scanners SQL" ou "scanners de vulnerabilidade PHP". Um exemplo de utilitário que permite, na presença de uma vulnerabilidade SQL, obter informações de um banco de dados, é o Havij - Advanced SQL Injection Tool. Você pode verificar se há vulnerabilidades SQL em seu site usando o utilitário hacker NetDeviLz SQL Scanner. As vulnerabilidades identificadas devem ser eliminadas imediatamente.
