Get best of the week

Kulhacker。开始

图片

关于如何快速加入信息安全的简短故事。一个古老的故事,很长的起点,但也许我会开始...

第1集。简介,验证码,裁剪机器人


可以这么说,我有一个个人性的Internet项目,可以追溯到2006年。该项目非常个人化,因此我不会发布链接,但是我可以在PM中将希望链接的对象提供给那些人。目前,该项目正在慢慢消失,它已经经历了成长和繁荣阶段,似乎需要埋葬,但我们仍然不敢采取这一步骤。

DLE是在2006年购买的Move,这并不是什么秘密-在大约一年的时间里,它本身就严重损坏了,如此之多,以至于我们从2007年起就停止了更新。 Saytets,人们可以在PM中围绕各种紧迫的话题进行闲聊,写作,评论和交流。

该项目的独特之处在于它自身的改进,但是它是如此简单,以至于有时我为其他人以前从未想到过的原因感到惊讶。这些改进之一与验证码有关。

当所有这些项目都引入了验证码以防止机器人攻击时,我和一个朋友决定引入验证码,但很快就意识到我们愚蠢地失去了观众,并且越来越多的僵尸程序继续成为垃圾邮件。结果,验证码仍然保留,但只是作为轮盘赌,显示了退出的号码,这不影响发表评论的能力-换句话说,我们完全切断了验证码验证机制,但保留了生成和显示。在相当短的一段时间后,它变成了筹码-评论中的人是根据验证码的数量(更漂亮的人等)来衡量的。我们想:“无论孩子用手怎么玩,只要他不用手,都会逗乐。”

但是,如果您回想一下验证码的历史,它旨在防止僵尸程序免受Internet上大量垃圾邮件的侵害,我们喝了这种保护机制,因为它没有用。尽管如此,我们仍然能够分析机器人的行为,并且一无所获。有一个网站,有可能简单,考虑简单,发表评论,没有短信和注册,没有验证码,没有机器人。

这是从我这边到站点脚本的POST和GET请求的有价值的应用程序。

第2集。引擎更新,了解kulhacker


因为网站的引擎未更新,定期出现一些漏洞,还有其他一些将特定漏洞应用于我们网站的事件。

最好在该漏洞应用到我们的网站之前,或者以对引擎的技术支持的形式在0day资源中找到该漏洞,直到将该漏洞应用到我们的网站为止。但是也发生了,我们从对站点脚本的POST和GET请求进行分析中学到了该漏洞,实际上,例如污损或对站点的其他操纵。

然后是第二天,网站引擎的版本变得太旧了,以至于有关此引擎和该版本的消息不再出现在0day资源上,更不用说过去5年的TP论坛上没有关于我们的引擎版本的新帖子。出现了。

然后他出现了-一个kulhacker。

我不会谈论它是谁,我会告诉您我们所获得的乐趣。一切始于该站点的所有者收到一条消息,指出该站点已被黑客入侵,追捕帽子,否则一切都是可汗。在第一封信中,宣布了10万卢布的比特币金额。

我们认为,现在是时候了,开始进行分析。首先,有必要找到黑客攻击的结果。很快发现了一个脚本,该脚本与站点引擎无关,但伪装成我们引擎的典型脚本,并且还发现了修改后的站点脚本-该站点出现了故障。工作级别-kulhacker,无法访问服务器。

通过简单的操作,分析了对站点的整个POST和GET请求中新脚本的名称,当然,在对站点的POST请求中找到了传递的参数,结果发现了漏洞,确定了攻击媒介,并且在前端发现了一个弱者。一个变量,当然,该漏洞已关闭,并且站点引擎已“恢复到安全”状态。对库勒黑客的另一个观察结果是,他突然仍然知道我们所不知道的事情,并且在公众中几乎没有未知信息,而且我们的案子显然没有任何地方描述。

第3集。库​​尔哈克反击,讨价还价


过了一段时间,再次来信,这一次是说我们是坏人,他不会为此原谅我们,如果我们不支付上限,那么我们将不会再受到欢迎。

我们以为是这两个,再次忽略了这封信。几天后,我们收到了要求支付上限的网站污损。我们再次分析了POST和GET请求,再次找到了攻击媒介,在前端发现了一个新的弱变量,再次关闭了漏洞,并再次“回滚到安全”状态。

我们已经知道,骇客骇客应该开始怀疑我们是出于我们自己的利益利用他的知识,而且我们并没有带着一袋钱奔向他,因此决定从某个“秘书”给我们的“客户”写一封信,谁不知道有什么风险,她需要做什么,甚至更多,因此她不了解什么是比特币。我们希望从某种意义上讲,这应该会激发我们的库尔德黑客的兴趣,这将使他在遗留任何漏洞的情况下,能够多次展示我们引擎的漏洞。

我们还分析了第一个和第二个攻击向量,确定了站点引擎的总体弱点,然后分析了所有脚本,以找出对前端弱点不利的合适变量。快速关闭了一些瓶颈。

kulhacker的回应很快就出现了,再次有一种威胁,就是我们会感到难受,站点再次遭到污损,但是现在总需求减少了10倍,这使我们假设我们病房的想法已经结束,这意味着下次他不会来找我们。

标准操作,包括对站点请求的分析,新的攻击媒介,新的变量集,关闭漏洞,“回滚到安全”状态。

情节4。告别


不出所料,没有新的黑客案例,但是客户收到一封新来信,说明我们是萝卜,我们表现得非常不专业,并且我们至少可以为证明我们的引擎漏洞支付费用。

我们进行了交流,发现了几个封闭的社区,并提供了0day的信息,这些时间我们的引擎尚不知道的漏洞已经发布在这些社区中-他们感到惊喜。他们向Kulkhatsker表示感谢,并把钱扔到了他没有告诉我们的电话上;)

第5集。工作时刻


新公司,新任务。我不禁听到IT工程师关于公司主站点已被黑客入侵的事实的对话,几年前开发该站点的公司要钱来更新引擎和关闭漏洞,我该怎么办,但是不久他们就会开始撕扯旗帜。我参与讨论,我提供帮助。

然而,经典是疯狂到很简单的程度,所有的黑客都从此开始。首先,我建议启用POST请求分析,因为在GET日志中,逻辑上为空。几个小时后,我得到一个答案,即托管人说这是不可能的,因为他们不保留此类日志,如果您想收集POST,请自己收集。家伙不高兴。

我想这是三个,并告诉了如何从所有站点脚本中强制收集POST请求。第二天,发现了一个攻击媒介,该漏洞立即被关闭,IT工程师在分析这种情况方面获得了宝贵的经验,他们今天可能仍会使用。公司中没有IS。

结论


如果您想学习信息安全的基础知识,请从kulhacking开始。如果方向变得有趣-进入下一步。您对黑客方法了解得越多,您就越能对付攻击者。

是的,当您选择与人接触时,您就可以开始制定主管的IS法规。

“机器人呢?” - 你问。我会回答你:“分析行为,找到攻击媒介,特征码和一般要点-您可以对付它们!” -与确保安全的一般方法非常相似。预防措施仅基于经验。

More articles:


All Articles