[TUTORIAL]Hogyan ne törjenek fel?![1. rész]

[Adrian]

Hogyan ne törjenek fel?! Első rész,NAGYON AZ ALAPOK!

Sziasztok!
Látom nagyon sokan írtok arról,hogy mit csináljatok,hogy ne hackeljenek meg titeket?
Na meg ugye sokan be is dőltök annak,hogy script-kiddie gyerekek mindent elhordanak neked és közben fogalmuk sincs az egészről csak pislognak.
Nem tudok én se mindent,sőt lehet ,hogy nem eleget tudok nyújtani,de remélem azért ez a kis összeírás segít valamit. Először szeretném leszögezni az alapokat,majd idővel jobban belefolyni a rendes weboldal támadásokba is.

Minden ember ha weboldal hackelésre gondol egyből mi jut eszébe? Tuti SQL inject...
Jó rendben SQL inject meg minden,de egy kicsit nézzünk magunkba,biztos a weboldal a hibás?!

Múlthéten pont Hálózati Biztonságról beszéltem a tanárommal,aki elmondta,hogy sokkal nehezebb feltörni 1 IP címmel ellátott számítógépet mint,hogy fizikailag hatolnál be a célpont gépébe.

Mit értek ezalatt?

Könnyebb lenne oda menni valakinek a gépéhez és belépnél esetleg jelszó nélkül ha nem használ mint,hogy egy IP címet próbálnék támadni mindenféle exploitokkal.
Egyszerű módszerek,amik igazából megmenthetik a weboldalad/VPS-ed/vagy amit megszeretnél óvni.
Ami a legfontosabb az a !JELSZÓ!
Említésre került a tanáromtól az is,hogy kb egy 8 karakter hosszú jelszót pár percen belül kipörgethet egy bruteforce már manapság (asd12345).
Sőt az emberek alapból már meg is próbálják úgy feltörni az embereket automatikusan ,hogy csak az adott felhasználó mögé rak 3 darab számot és már HACKED.
példa :

Kód Kijelölés Kibont

felhasználó : adam
            jelszó : adam123
Tipikus alap jelszó,amit mindenki szinte kipróbál.Felmérés szerint az emberek 85%-t úgy törik fel,hogy gyenge jelszót ad meg,és 3. helyre szorul csak az SQL támadások...
Az ilyen dolgok miatt törnek be nagyon sok rendszerbe,mert félnek számokat,szimbólumokat,nagy és kisbetűket használni a felhasználók.
Hasznos oldal:
http://www.jelszogenerator.hu/

Megbízhatóság?

Sokan megbíznak minden jött-ment emberben mert egy csapatban dolgoznak,így hát tuti nem fogja kitörölni a weboldalt ,facebookot nem fogja ellopni stb. stb...

SOHA NE BÍZZ SENKIBEN!

Ez egy nagyon fontos szabály,korlátozd mindenhova a jogokat ahova csak lehet,ne adj meg egy quest írónak webhez való jogokat mert teljesen felesleges és csak a kockázat veszélye áll fent!

Biztonságos -e a weboldal? Kik a készítők?!

A Tulajdonosok 80-90% letölt egy weboldalt(ismeretlen készítőtől és weboldalról) átírja az adatokat és már fut is a weboldal meg a szerver. !!Ez megint egy nagyon fontos dolog!!
SLZ-t anno úgy törték fel(elméletileg),hogy adtak neki egy weboldalt ,hogy " biztonságos 100%-ra" másnap egy arab hacker csapat felkente az egész weboldalt.Hogyan is történhetett ez? Egyszerűen.
Elrejtenek egy sodrófaa kis backdoort amiről sajnos nem is tudsz,aztán hoppá beütött a baj.

Mi ebből a tanulság?

!!Soha ne tölts le megbízhatatlan forrásokból weboldalakat!!
Ha viszont mégis megpróbálod,akkor minden rését nézesd át egy tapasztalt HTML,JS,PHP-ban jártas emberrel.
Már vannak rá megfelelő programok amik az egész weboldal projectet átnézik,hogy nincs-e benne backdoor.

Exploitok?!

Sajnos ami nagyon gyakori az az Exploitok.(Mi is az az exploit?! http://www.virusirtolap.hu/exploit-fogalom-meghatarozas/ )

Minden SMF,WP pluginsban vannak exploitok.Lehet,hogy csak egy media player plugin-t akarsz feltelepíteni a weboldaladra,közben meg észre se veszed,hogy egy hackernek adsz teljes hozzáférést a weboldaladhoz.
Érdemes nézegetni : https://www.exploit-db.com/webapps/
Itt szinte minden szabadon elérhető exploitot megtalálsz a webekről.

Ennyi lenne az első rész,leírtam nagyon az alapokat,ha szeretnétek idővel folytatnám a sorozatot, természetesen jobban belemélyedve a támadásokba és védelmekbe.(SQL,CSRF és társai... ) Exploitokba és Windows támadásokba is belemennék ha igény van rá.