Nagusia Segurtasuna Web zerbitzariak hackeatzea - ​​ikuspegi orokorra

Web zerbitzariak hackeatzea - ​​ikuspegi orokorra

Web zerbitzaria webguneak gordetzeko, prozesatzeko eta entregatzeko erabiltzen den sistema da. Web aplikazioak ostatatzeko diseinatuta dago, bezeroei aplikazio horietara sartzeko aukera emanez.

Bezero-zerbitzari ereduaren arkitektura inplementatzen du, eta bertan zerbitzari rola du, eta arakatzaileak bezero rola.

Web zerbitzariak hauek dira:


  • Dokumentuaren erroa - webgune bateko HTML fitxategiak gordetzen dituen karpeta
  • Zerbitzariaren erroa - konfigurazioa, erregistroa eta fitxategi exekutagarriak gordetzen dituen karpeta
  • Dokumentu zuhaitz birtuala - beste disko batean kokatutako eta jatorrizko diskoa betetzean erabiltzen den biltegiratze mota
  • Ostatu birtuala - zerbitzari bakarrean domeinu bat baino gehiago ostatatzea
  • Web Proxy - bezeroaren eta zerbitzariaren artean kokatutako zerbitzaria, hau da, bezeroaren eskaera guztiak proxy zerbitzarira pasatzen dira, zuzenean zerbitzarira joan beharrean


Web zerbitzariaren mehatxuak eta erasoak

Edozein ordenagailu sistemarekin gertatzen den moduan, web zerbitzariak ere arriskuan jar daitezke. Erasotzaileek hainbat teknika erabiltzen dituzte helburuko web zerbitzarietan erasoak egiteko eta baimenik gabeko sarbidea lortzeko.

Erasoetako batzuk honakoak dira:


DoS / DDoS Erasoak

DoS / DDoS erasoa erasotzaileak eskaera ugari bidaltzen dizkio helburuko web zerbitzariari zerbitzariak behar bezala funtziona ez dezan.

DNS zerbitzariaren bahiketa

DNS zerbitzariaren bahiketa erasoa erasotzaileak DNS zerbitzari bat zuzentzen duen erasoa da eta bere mapen ezarpenekin epeldu egiten da, bezeroak erasotzailearen webgune maltzurra zerbitzatzen duen erasotzailearen zerbitzari maltzurrak birbideratzeko.

DNS anplifikazio erasoak

DNS Anplifikazio Erasoa erasotzaileak erasotzaileak DNS kontsulta errekurtsiboa erabiltzen du helburuaren IP helbidearekin eskaera ugari bidaltzeko DNS zerbitzariari helburuaren IP helbidera erantzuteko eskatuz eta modu horretan helburuaren zerbitzaria gainezka egiten du.

Directory Traversal Erasoak

Direktorioa zeharkatzeko erasoa erasotzaileak helburu URLa manipulatzen duen direktorio mugatuetara sartzeko manipulatzen duen erasoa da.


MITM erasoak

Man-in-the-erdiko erasoa erasotzaileak bezeroak zerbitzarira eta atzera egiten duen trafikoa atzematen duen erasoa da. Horretarako, bezeroa engainatzen dute erasotzailea proxy bat dela pentsatuz. Bezeroak erasotzailearen konexioa onartu ondoren, bezeroaren eta zerbitzariaren arteko komunikazio osoa erasotzailearen bidez pasatzen da, informazioa lapurtzeko aukera emanez.

Phishing Erasoak

Phishing erasoa erasotzaileak esteka maltzurren bidez helmugara bidaltzen duen erasoa da. Helburuak estekan klik egin ondoren, webgune kaltegarri batera birbideratuko dira eta horrek informazio sentikorra emateko eskatzen die. Erasotzaileak informazio hori lapurtzen du orduan.

Webgunearen Defacement

Webgunea ezabatzeko erasoa erasotzaileak helburuko webgunearen edukian aldaketak egiten dituen erasoa da.

Web zerbitzariaren konfigurazio okerra

Web zerbitzariaren konfigurazio okerreko erasoa erasotzaileak zerbitzariaren konfigurazio okerreko ahultasunak baliatzen dituen erasoa da.


HTTP erantzunaren banaketa erasoak

HTTP Response Splitting erasoa erasotzaileak erantzun berriak goiburuetan lerro berriak txertatzen dituen erasoa da, zerbitzariak erantzun bat bitan banatzen du. Erasotzaileak zerbitzariaren lehen erantzuna kontrolatu eta bezeroa webgune maltzur batera birbideratu ahal izango du.

Web Cache Poisoning

Web cache cache intoxikazioak erasotzaileak erasotzaileak cacheko edukia asmo txarrez ordezkatzen du.

SSH Indar Gordinaren Erasoak

SSH indar gordinaren erasoa erasotzaileak erasotzaileak SSH saio-hasierako egiaztagiriak eskuratzen ditu eta bi ostalarien artean SSH tunelak sortzen ditu, horien bidez eduki kaltegarriak transferitzeko.

Web zerbitzariaren pasahitza krakatzeko erasoak

Web zerbitzariaren pasahitza erasotzeko erasoa erasotzaileak helburuko zerbitzariaren pasahitzak hautsi eta eraso berriak egiteko erabiltzen dituen erasoa da.


Web aplikazioen erasoak

Web aplikazioen erasoa erasotzaileak aplikazioaren kodeko ahultasunak aprobetxatzen dituen erasoa da.



Hacking metodologia

Web Server Hacking Methodology-k erasotzaileei eraso arrakastatsua burutzeko jarraitu beharreko pausoak eskaintzen dizkie erasotzaileei.

Hauek dira urrats hauek:

  • Bildu xede den web zerbitzariari buruzko informazioa
  • Ezagutu zerbitzariaren urruneko sarbide gaitasunak, portuak eta zerbitzuak
  • Ispilatu xede duen webgunea lineaz kanpo arakatzeko
  • Ezagutu ahultasunak
  • Egin saioaren bahiketa eta pasahitza pitzatzeko erasoak

Informazioa biltzeko urratsean, erasotzailea helburuaren robots.txt eskuratzen saiatuko da fitxategia, web arakatzaileentzat ezkutatuta dauden direktorio eta fitxategiak biltzen dituena. Fitxategi honek erasotzaileari pasahitzak, mezu elektronikoak eta ezkutuko estekak bezalako informazioa eman diezaioke.


Aipatutako urratsak egiteko eta hackingean arrakasta izateko, erasotzaileek bezalako tresnak erabiltzen dituzte Metasploit eta Wfetch .

Metasploit sarbidea probatzeko plataforma bat da, ahultasunak aurkitu, ustiatu eta balioztatzeko aukera ematen duena.

Wfetch komunikazioa erraz uler dadin eskaera eta erantzuna bistaratzen dituen tresna da. Webgune berrien edo elementu berriak dituzten webguneen errendimendua probatzen duten HTTP eskaerak sortzeko erabil daiteke, hala nola Active Server Pages (ASP) edo haririk gabeko protokoloak.



Web zerbitzariaren erasoen kontrako neurriak

Web ostalari sarea hiru zatiz osatuta egotea gomendatzen da:

  • Internet
  • DMZ
  • Barne sarea

Web zerbitzaria DMZn jarri behar da Internetetik eta barne saretik isolatuta egon dadin. Zati bakoitza suebaki batek babestu beharko luke eta bere hub edo switch propioa izan beharko luke.

Beste kontra-neurri bat da zerbitzaria aldizka eguneratzen dela eta segurtasun-adabakiak eta zuzenketak aplikatzen direla ziurtatzea. Erabiltzen ez diren ataka eta protokoloak blokeatu behar dira, baita beharrezkoak ez diren ICMP trafiko guztiak ere.

Pasahitz lehenetsiak eta erabili gabeko lehenetsitako kontuak aldatu eta desgaitu beharko lirateke hurrenez hurren.

Erregistroak maiz kontrolatu behar dira zerbitzaria arriskuan jarri ez dela ziurtatzeko.

Fitxategi exekutagarri eta erregularren aldaketak Webguneen Aldaketa Detektatzeko Sistemaren script-a exekutatuz aurki daitezke, aldian behin fitxategietan hash konparazioa egiten baitute haietan egindako aldaketarik egon den jakiteko eta alerta pizteko.

Editorearen Aukera

Artikulu Interesgarriak

Boost Mobile telefono onenak (2018)
Boost Mobile telefono onenak (2018)
Best Buy Samsung Galaxia Aurrezteko Ekitaldia - beherapen handiak!
Best Buy Samsung Galaxia Aurrezteko Ekitaldia - beherapen handiak!
Pixel 5 kaleratzeko data, prezioa, eginbideak eta berriak
Pixel 5 kaleratzeko data, prezioa, eginbideak eta berriak
QAko burua - Rolak eta erantzukizunak
QAko burua - Rolak eta erantzukizunak
Zure Galaxy S7 bideo moteleko bideoak tartekatzen ditu? Ez zaude bakarrik!
Zure Galaxy S7 bideo moteleko bideoak tartekatzen ditu? Ez zaude bakarrik!
AEBetako garraiolaririk onena? GIFek kontatzen duen Verizon vs AT&T vs T-Mobile vs Sprint estaldura mapek
AEBetako garraiolaririk onena? GIFek kontatzen duen Verizon vs AT&T vs T-Mobile vs Sprint estaldura mapek
Samsung Galaxy Note 9 kasu ofizialen ikuspegi orokorra: S View, Larruzko zorroa eta silikonazko zorroaren berrikuspena
Samsung Galaxy Note 9 kasu ofizialen ikuspegi orokorra: S View, Larruzko zorroa eta silikonazko zorroaren berrikuspena
Nola deskargatu iOS 11 beta publikoa eta gero iOS 10.3.2 bertsiora jaitsi
Nola deskargatu iOS 11 beta publikoa eta gero iOS 10.3.2 bertsiora jaitsi
Bi urteko kontratuak eta diruz lagundutako telefono bidezko erosketak Sprint-en itzuli dira
Bi urteko kontratuak eta diruz lagundutako telefono bidezko erosketak Sprint-en itzuli dira
Google-k Android 12 beta 2 askatzen du Pixel modelo bateragarrietara
Google-k Android 12 beta 2 askatzen du Pixel modelo bateragarrietara