Καλησπέρα, μήπως μπορεί να με διαφωτίσει κάποιος που να γνωρίζει ή ακόμα καλύτερα να έχει εμπειρία στο θέμα; Θα ήθελα να στήσω μία ιστοσελίδα στην οποία στοχεύω να αποκτήσω μία καλή επισκεψιμότητα . Ψάχνω εδώ και κάποιες μέρες τώρα να βρω έναν καλό και αξιόπιστο Web Hoster (wordpress builder). 1.Έχει κάποιος να προτείνει κάποια εταιρεία; 2.Με ενδιαφέρει να έχει καλή και άμεση υποστήριξη σε ότι χρειαστώ. 3.Kαλές επιδόσεις τις ιστοσελίδας μου ακόμα και σε ώρες αιχμής. 3.Γνώμη για Google Adsense και παρόμοια του είδους; Ευχαριστώ εκ των προτέρων...

Καλημέρα/Καλησπέρα φόρουμ. Την προηγούμενη φορά στην ανάρτησή μου, είχα δείξει πως κάνουμε sql injection με Windows. Σήμερα θα δούμε πως κάνουμε το ίδιο και σε Linux απλά και εύκολα. Για αρχή, πρέπει να έχουμε επιλέξει τον στόχο μας και αν θυμάστε στην προηγούμενη ανάρτηση είχαμε πει πως καταλαβαίνουμε αν είναι ευπαθής η σελίδα. Αν δεν θυμάστε πηγαίντε πρώτα διαβάστε την προηγούμενη ανάρτηση και μετά ελάτε εδώ. Αφού λοιπόν έχουμε επιλέξει τον στόχο μας, ανοίγουμε το Terminal (Το τερματικό) του Linux μας. ΕΚΕΙ ΓΡΑΦΟΥΜΕ ΤΟΝ ΕΞΗΣ ΚΩΔΙΚΑ sqlmap -u "Ο ΣΤΟΧΟΣ" --dbs Αφού λοιπόν πατήσουμε Enter, αυτό θα προσπαθήσει να ψάξει για την βάση, ή μάλλον τις βάσεις δεδομένων που έχει η ιστοσελίδα. Δείτε παρακάτω ΟΤΑΝ ΤΕΛΕΙΩΣΕΙ ΤΟ SCAN ΘΑ ΜΑΣ ΔΕΙΞΕΙ ΤΑ ΕΞΗΣ Μας εμφανίζει τις βάσεις και προφανώς εμείς κάτι θα πρέπει να τις κάνουμε. Θα πρέπει να γράψουμε έναν κώδικα έτσι ώστε να δώσουμε εντολή για το ΠΟΙΑ βάση να ψάξει και ΤΙ να ψάξει μέσα σε αυτήν. Αναλυτικά γράφεται ο παρακάτω κώδικας sqlmap -u "Ο ΣΤΟΧΟΣ" -D (ΤΟ --DBS ΤΟ ΑΛΛΑΖΟΥΜΕ ΣΕ -D ΔΗΛΑΔΗ -DATABASE) "Η ΒΑΣΗ" --tables (ΤΑ TABLES ΠΟΥ ΘΑ ΜΑΣ ΟΔΗΓΗΣΟΥΝ ΣΤΑ COLUMNS) Αμέσως μετά, θα μας εμφανίσει μία ολόκληρη λίστα από τα Tables. Κάπως έτσι Καλό ε; Δεν τελειώσαμε ακόμα όμως μάγκες μου. Πρέπει να βρούμε και τα Columns τα οποία βρίσκονται μέσα στο Table που θα επιλέξουμε. Για να βρούμε τα Columns, γράφουμε τον παρακάτω κώδικα Ο ΚΩΔΙΚΑΣ ΓΙΑ ΝΑ ΒΡΟΥΜΕ ΤΑ COLUMNS sqlmap -u "Ο ΣΤΟΧΟΣ" -D (ΤΟ --DBS ΤΟ ΑΛΛΑΖΟΥΜΕ ΣΕ -D ΔΗΛΑΔΗ -DATABASE) "Η ΒΑΣΗ" -T (Το table. π.χ Admin) --columns (για να βρουμε τα columns) Όπως καταλάβατε, όταν θέλουμε να δηλώσουμε κάτι, στην προκειμένη περίπτωση την βάση και τα tables, βάζουμε μόνο το πρώτο γράμμα με κεφαλαίο και με μία παυλίτσα (π.χ --dbs = -D, --tables = -T, --columns = -C). Αφού βρεί τα columns θα μας τα εμφανίσει κάπως έτσι. ΤΑ COLUMNS Τώρα αφού μας εμφάνισε τα Columns, πάμε να βρούμε το όνομα χρήστη και τον κωδικό του διαχειρηστή της ιστοσελίδας. Στην προκειμένη περίπτωση τα ονόματα είναι «user_name» «password». Γράφουμε λοιπόν τον παρακάτω κώδικα Ο ΚΩΔΙΚΑΣ ΓΙΑ ΝΑ ΕΜΦΑΝΙΣΟΥΜΕ ΤΑ ΑΠΟΤΕΛΕΣΜΑΤΑ sqlmap -u "Ο ΣΤΟΧΟΣ" -D (ΤΟ --DBS ΤΟ ΑΛΛΑΖΟΥΜΕ ΣΕ -D ΔΗΛΑΔΗ -DATABASE) "Η ΒΑΣΗ" -T (Το table. π.χ Admin) -C user_name,password(Τα columns μας) --dump (dump = για να εμφανίσει τα αποτελέσματα) Είμαστε έτοιμοι για να μας βγάλει τα αποτελέσματα που επιλέξαμε, δηλαδή τα ονόματα χρήστη και τους κωδικούς των διαχειρηστών. Δείτε την παρακάτω εικόνα! ΤΑ ΑΠΟΤΕΛΕΣΜΑΤΑ Τέλεια! Τώρα αν γνωρίζουμε το Admin Login από το οποίο συνδέεται ο διαχειρηστής, πάμε και κάνουμε σύνδεση (Δεν φέρω καμία ευθύνη για τις πράξεις σας, καλό θα ήταν να μην το χρησιμοποιήσετε για κακό σκοπό) Ευχαριστώ 🙂

Καλησπέρα Forum. Θα ήθελα να μιλήσουμε λίγο για ένα προγραμματάκι το οποίο εγκατέστησα πριν λίγο καιρό στο Linux και το χρησιμοποιώ αρκετά για εντοπισμό κενών ασφαλείας σε ιστοσελίδες. Το πρόγραμμα αυτό λέγεται Vega. Το Vega σας δίνει την δυνατότητα να κάνετε Scan σε μία ιστοσελίδα και να βρείτε κενά ασφαλείας όπως SQL injection, Cross-Site-Scripting (XSS), Local File Inclusion, μέχρι και να βρείτε κάποιες βασικές πληροφορίες για το συγκεκριμένο Site. Το Vega μπορούμε να το κατεβάσουμε από εδώ ==> https://subgraph.com/vega/download/ Δεν θα πούμε την διαδικασία της εγκατάστασης αλλά στο τέλος της ανάρτησης θα σας βάλω ένα βιντεάκι για το πως μπορείτε να το κατεβάσετε. ############################################# Πάμε να δούμε πως λειτουργεί το πρόγραμμα ############################################# Αφού ανοίξουμε το πρόγραμμα, θα πατήσουμε πάνω αριστερά που σας το έχω κυκλωμένο, έτσι ώστε να εισάγουμε τον στόχο που θέλουμε να σκανάρουμε. ΕΙΚΟΝΑ ΓΙΑ ΤΟ ΠΟΥ ΒΡΙΣΚΕΤΑΙ Όταν το πατήσουμε, θα μας εμφανίσει κάποιες επιλογές. Θα πρέπει να βάλουμε στο TextBox τον στόχο μας. Αμέσως μετά πατάμε NEXT ΒΑΖΟΥΜΕ ΤΟΝ ΣΤΟΧΟ ΠΟΥ ΕΧΟΥΜΕ ΕΠΙΛΕΞΕΙ Βάλαμε τον στόχο μας. Τώρα όταν πατήσουμε NEXT, θα μας βάλει στην διαδικασία να επιλέξουμε για τι είδος κενών ασφαλείας θέλουμε να ψάξει ΕΠΙΛΕΓΟΥΜΕ ΤΟ ΕΙΔΟΣ ΚΕΝΩΝ ΑΣΦΑΛΕΙΑΣ Αφού λοιπόν επιλέξουμε, πατάμε το FINISH. Αν θέλετε να κάνετε και κάτι παραπάνω (π.χ να βάλετε τα cookies) πατάτε NEXT. Και τώρα το αγαπημένο σημείο όλων. Όταν πατήσουμε FINISH, το πρόγραμμα θα αρχίσει να ψάχνει για κενά ασφαλείας που εμείς ορίσαμε. Όταν με το καλό βρει τα κενά, μπορούμε να τα δούμε λεπτομεριακά στην αριστερή στήλη του προγράμματος. ΤΑ ΑΠΟΤΕΛΕΣΜΑΤΑ Παρακάτω μπορείτε να δείτε την διαδικασία της εγκατάστασης του Vega. (ΠΡΟΣΟΧΗ! ΔΕΝ ΦΕΡΩ ΚΑΜΙΑ ΕΥΘΥΝΗ ΓΙΑ ΤΟ ΠΩΣ ΘΑ ΧΡΗΣΙΜΟΠΟΙΗΣΕΤΕ ΤΟ ΠΡΟΓΡΑΜΜΑ)

Tο διαδίκτυο αποτελεί σήμερα απαραίτητο συστατικό της καθημερινής ζωής για τους περισσότερους ανθρώπους. H αξιοποίηση των υπηρεσιών του διαδικτύου για την υποστήριξη των οικονομικών και κοινωνικών δραστηριοτήτων γίνεται κυρίως μέσω των διαδικτυακών εφαρμογών, οι οποίες εξελίσσονται ραγδαία. Όμως, όσο εξαπλώνεται η χρήση των διαδικτυακών εφαρμογών, τόσο περισσότερο γίνονται στόχος επιθέσεων από κακόβουλους χρήστες, οι οποίο προσπαθούν να εκμεταλλευτούν τις αδυναμίες στον κώδικα και τις ρυθμίσεις για την επιτέλεση των σκοπών τους. Επομένως, η ασφάλεια των διαδικτυακών εφαρμογών αποτελεί μια κρίσιμη παράμετρο για την αποδοχή και αξιοποίησή τους. Μια διαδεδομένη πρακτική για την ενίσχυση της ασφάλειας των διαδικτυακών εφαρμογών είναι η πραγματοποίηση δοκιμών διείσδυσης από ειδικούς της ασφάλειας, με τη συγκατάθεση των ιδιοκτητών τους. Οι δοκιμές αποσκοπούν στο να εντοπισθούν τυχόν ευπάθειες και να διαπιστωθεί η ανάγκη λήψης μέτρων προστασίας. Για το σκοπό αυτό, έχουν αναπτυχθεί πολλά και διάφορα εργαλεία για δοκιμές διείσδυσης, τα οποία δεν παρέχουν την ίδια αποτελεσματικότητα και πληρότητα κάλυψης των αναγκών ελέγχου ασφάλειας των εφαρμογών ιστού. Αντικείμενο της παρούσας διπλωματικής εργασίας αποτελεί η έρευνα, η καταγραφή, η ταξινόμηση και η αξιολόγηση των αντιπροσωπευτικών εργαλείων διείσδυσης, κυρίως στη βάση της εφαρμογής τους στο πλαίσιο μιας μεθοδολογίας επίθεσης. Στο πλαίσιο μιας τυποποιημένης διαδικασίας δοκιμών διείσδυσης, σύμφωνα με τη συγκεκριμένη μεθοδολογία επίθεσης, γίνεται προσδιορισμός των ποιοτικών κριτηρίων αξιολόγησης εργαλείων διείσδυσης σε κάθε στάδιο της μεθοδολογίας. Από την οργανωμένη εφαρμογή των εργαλείων δοκιμών διείσδυσης με μια ολοκληρωμένη δοκιμή διείσδυσης σε πραγματικό στόχο, προκύπτουν συμπεράσματα τα οποία αποτυπώνονται σε μια συνολική συγκριτική αξιολόγησή τους. Αξιολόγηση εργαλείων Penetration Testing για Web εφαρμογές - Iatropoulos Ioannis Msc2017.pdf Πηγή: ΨΗΦΙΔΑ - Ψηφιακή Βιβλιοθήκη και Ιδρυματικό Αποθετήριο του Πανεπιστημίου Μακεδονίας