Zheyr
Naczelny programista tibia.net.pl
- Joined
- Aug 10, 2012
- Messages
- 961
- Reaction score
- 114
Tutorial jest po?wi?cony bezpiecze?stwu! Autor nie ponosi odpowiedzialno?ci za wykorzystanie Tutorial'a/lub jego cz??ci w nieodpowiednich celach!
Tutorial zosta? przedstawiony na CMS'ie phpBB2!
Tutorial zosta? przedstawiony na CMS'ie phpBB2!
Po przeczytaniu tego samouczka dowiesz si?:
- Na co si? nara?asz rejestruj?c si? na forach internetowych,
- Jak zabezpieczy? si? przed w?amaniem poprzez fora internetowe,
- Na jakiej zasadzie przebiega w?amanie.
Za pewnie nie raz spotkali?cie si? ze stwierdzeniem, aby "Nigdy nie mie? takiego samego has?a do skrzynki pocztowej jak na forach internetowych" itp.
Zastanawiali?cie si? "Dlaczego?". Bez d?u?szego zastanowienia machn?li?cie na to r?k? co by?o wielkim b??dem. Postaram si? Wam w tym poradniku wyt?umaczy? dlaczego.
Mo?e nie wiecie, nie posiadacie takiej wiedzy, lecz powinni?cie wiedzie?, ?e dane na kt?re si? rejestrujemy s? zapisywane w bazie danych, do kt?rej wgl?d ma administrator strony lub osoby posiadaj?ce nieautoryzowany dost?p.
Wyobra?my sobie nast?puj?c? sytuacj?:
- rejestrujemy si? na forum internetowym o tematyce gier komputerowych w danym celu. Administrator tej?e strony nale?y do grona "Black Hat's" (Czarnych Kapeluszy) i za?o?y? j? jedynie dla w?asnych korzy?ci. Jego celem jest kradzie? skrzynek pocztowych u?ytkownik?w strony. Owy admin wchodzi do bazy danych forum w celu sprawdzenia "zebranych plon?w", przechodzi do kolumny, w kt?rej s? zapisywane za?o?one konta i co widzi?
Mo?ecie sobie pomy?le? "Co z tego, je?eli moje has?o jest zakodowane?" - u?wiadomi? Was, ?e ka?de has?o mo?na odkodowa?.
Jak wygl?daj? odkodowanie wy?ej podane has?a?
Code:
admin -> admin
Lolek -> romanek
cs-zal -> counterstrike
nokia -> nokiac5
No dobra, co dalej? Owy administrator ma zapisane w bazie adresy email u?ytkownik?w, a wi?c na przyk?adzie:
- U?ytkownik "Lolek", posiada takie same has?o do forum i do skrzynki pocztowej, a wi?c w?a?ciciel strony wchodzi na o2 i pr?buj? si? zalogowa? na dane
Code:
Login: lolek
Has?o: romanek
"Wygrzebuje" potrzebne dane do zalogowania i co mo?e z nimi zrobi??
- Wykra?? baz? danych,
- Ma dost?p do FTP, a wi?c mo?e wszystko.. od defacingu do reszty co jest mo?liwe,
- Integrowa? og?lnie w stron?.
Je?eli ma dost?p do konta administratora to w "Tablicy og?osze?" mo?e zrobi? og?oszenie, tj.
Maj?c dost?p do Waszej skrzynki pocztowej - mo?e wszystko. Dost?p do kont bankowych, portali spo?eczno?ciowych, mo?e wykra?? tysi?ce wa?nych informacji, dokument?w itd.
U?wiadomi?em dlaczego nie powinni?cie mie? takiego samego has?a forum-email i jakie wi??? si? z tym konsekwencje.
Teraz przedstawi? Wam jak temu zapobiec:
- Mie? inne has?o na forum, a inne do emaila,
- Korzysta? z innych emaili do for, gier, a innych do tego, aby np. szef z pracy m?g? Wam wys?a? wa?ne dokumenty,
- Posiada? bardzo mocne has?o, aby admin mia? minimalne szanse na odkodowanie tego has?a. Proponuj? generowa? has?o za pomoc? generatora z w??czon? opcj? "znaki interpunkcyjne" i "znaki specjalne"
Mo?ecie by? spokojni o swoje has?a na Tnecie.. vBulletin posiada pot??ne kodowanie co wi??? si? z minimalnym procentem odkodowania has?a.