• Сервис онлайн-записи на собственном Telegram-боте
    Тот, кто работает в сфере услуг, знает — без ведения записи клиентов никуда. Мало того, что нужно видеть свое расписание, но и напоминать клиентам о визитах тоже. Нашли самый бюджетный и оптимальный вариант: сервис VisitTime.
    Для новых пользователей первый месяц бесплатно.
    Чат-бот для мастеров и специалистов, который упрощает ведение записей:
    Сам записывает клиентов и напоминает им о визите;
    Персонализирует скидки, чаевые, кэшбэк и предоплаты;
    Увеличивает доходимость и помогает больше зарабатывать;
    Начать пользоваться сервисом


  • Иллюстрированный самоучитель по защите в Интернет

    Поиск известных изъянов

    Как всегда, особое внимание следует уделять очевидным брешам в системе защиты. Это необходимо в основном потому, что и хакеры обращают на них внимание в первую очередь. Несколько разрушительных изъянов Web существует до сих пор, хотя о них стало широко известно еще несколько лет назад. Отличительной особенностью атак этого типа является то, что многие из них легко обнаружить.

    Сценарии автоматизации, применяемые новичками

    В данный момент как никогда уместна фраза "Пусть друзья будут рядом, а враги – еще ближе". Используемые в основном начинающими взломщиками, сканирующие сценарии (чаще всего написанные известными хакерами) зачастую могут помочь в обнаружении некоторых известных изъянов. Многие средства поиска таких брешей можно найти на Web-узле компании Technotronic (www.technotronic.com).

    Phfscan.c

    Изъян PHF (более подробно описанный ниже) был одной из первых применяемых для взлома брешей в сценариях Web-серверов. Этот изъян позволяет взломщику локально запускать любую команду, как если бы он был пользователем Web-сервера. Часто это приводит к тому, что файл паролей /etc/passwd оказывается загруженным на компьютер взломщика. В выявлении такого изъяна как администратору, так и хакеру, может помочь несколько программ и сценариев. Программа pfhscan.c является одной из наиболее популярных. Перед использованием ее нужно откомпилировать (gcc phfscan.c -о phfscan), подготовить список узлов, которые нужно просканировать (для создания такого списка подойдет утилита gping), назвать файл со сгенерированным списком host.phf и поместить его в один каталог с программой. После запуска двоичного файла (phfscan) программа начнет выдавать предупреждения о найденных уязвимых серверах.

    cgiscan.c

    Cgiscan – это удобная небольшая утилита, созданная в 1998 году Бронком Бастером (Bronc Buster). Она предназначена для сканирования узлов и поиска среди них тех, которые подвержены старым изъянам, таким как PHF, count, cgi, test-cgi, PHP, handler, webdist.cgi, nph-test-cgi и многих других. Программа осуществляет поиск уязвимых сценариев в тех каталогах, где они обычно находятся, и пытается ими воспользоваться. Результат работы утилиты выглядит примерно следующим образом.

    [root@funbox-b ch!4]# cgiscan www.somedomain.com
    New web server hole and info scanner for
    elite kode kiddies coded by Bronc
    Buster of LcF – : iov 1998 updated Jan 1999
    Getting HTTP version
    Version:
    HTTP/1.1 200 OK
    Date: Fri, 16 Jul 1999 05:20:25 GMT
    Server: Apache/1.3.6 (UNIX) secured_by_ Raveri/1. 4. 1
    Last-Modified: Thu, 24 Jun 1999 22:25:11 GMT
    ETag: "17d007-2a9c-3772bC47"
    Accept-Ranges: bytes
    Content-Length: 10908
    Connection: close
    Content-Type: text/html
    Searching for phf:.. No:.E'our.rf..
    Searching for Count.cgi:..Not Found.
    Searching for test-cgi:..Nc:Found..
    Searching for php.cgi:..Nov.Found.
    Searching for handler:..NotFound..
    Searching for webgais:..Not Found..
    Searching for websendmail:..Not Found..
    Searching for webdist.cgi:..Not Found..
    Searching for faxsurvey:..Not Found..
    Searching for htmlscript:..Not Found..
    Searching for pfdisplay:..Not Found..
    Searching for perl.exe:..Not Found..
    Searching for wwwboard.pl:. Not Found..
    Searching for www-sql:..Not Found..
    Searching for service.pwd:..Not Found..
    Searching for users.pwd:..Not Found..
    Searching for aglimpse:..Not Found..
    Searching for man.sh:..Not Found..
    Searching for view-source:..Not Found..
    Searching for campas:..Not Found..
    Searching for nph-test-cgi:..Not Found..
    [gH] – aka gLoBaL hElL – are lame kode kiddies
    

    В Internet можно найти десятки сценариев, предназначенных для сканирования. На узле http://www.hackingexposed.com/ содержатся ссылки на самые популярные Web-узлы, на которых содержится самая разнообразная информация по вопросам безопасности.

    Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.