Lengvas būdas pavogti sausainius. Slapukų vagystės metodai Programos, skirtos slapukų vagystei pagal IP

Slapukai - informacija formoje tekstinis failas, kurį naudotojo kompiuteryje saugo svetainė. Yra autentifikavimo duomenys (prisijungimo/slaptažodis, ID, telefono numeris, pašto dėžutės adresas), vartotojo nustatymai, prieigos būsena. Saugomas naršyklės profilyje.

Slapukų įsilaužimas yra žiniatinklio išteklių lankytojo seanso vagystė (arba „užgrobimas“). Privati ​​informacija tampa prieinama ne tik siuntėjui ir gavėjui, bet ir trečiajai šaliai – perėmimą vykdžiusiam asmeniui.

Slapukų įsilaužimo įrankiai ir būdai

Kompiuterių vagys, kaip ir jų kolegos realiame gyvenime, be įgūdžių, miklumo ir žinių, žinoma, turi ir savo įrankius – savotišką pagrindinių raktų ir zondų arsenalą. Pažvelkime į populiariausius triukus, kuriuos naudoja įsilaužėliai, norėdami išgauti slapukus iš interneto vartotojų.

Uostytojai

Specialios programos stebėti ir analizuoti tinklo srautą. Jų pavadinimas kilęs iš anglų kalbos veiksmažodžio „sniff“ (sniff), nes. tiesiogine to žodžio prasme „nuuostyti“ perduodamus paketus tarp mazgų.

Tačiau užpuolikai naudoja uostiklį, kad perimtų seanso duomenis, pranešimus ir kitą konfidencialią informaciją. Jų atakų taikiniai daugiausia yra neapsaugoti tinklai, kuriuose slapukai siunčiami atviroje HTTP sesijoje, tai yra, jie praktiškai nėra užšifruoti. (Viešasis „Wi-Fi“ šiuo atžvilgiu yra labiausiai pažeidžiamas.)

Norėdami įterpti snifferį į interneto kanalą tarp vartotojo mazgo ir žiniatinklio serverio, naudojami šie metodai:

• „klausytis“ tinklo sąsajų (koncentratorių, komutatorių);
• srauto šakojimas ir kopijavimas;
• prisijungimas prie tinklo kanalo tarpo;
• analizė per specialias atakas, kurios nukreipia aukos srautą į uostytoją (MAC-spoofing, IP-spoofing).

Santrumpa XSS reiškia Cross Svetainės scenarijus– scenarijus tarp svetainių. Naudojamas atakuoti svetaines, siekiant pavogti vartotojo duomenis.

XSS principas yra toks:

• užpuolikas įterpia kenkėjišką kodą (specialų užmaskuotą scenarijų) į svetainės tinklalapį, forumą arba pranešimą (pavyzdžiui, susirašinėdamas socialiniame tinkle);
• auka apsilanko užkrėstame puslapyje ir suaktyvėja įdiegtas kodas kompiuteryje (spustelėkite, sekite nuorodą ir pan.);
• savo ruožtu, įvykdytas kenkėjiškas kodas „ištraukia“ iš naršyklės konfidencialius vartotojo duomenis (ypač slapukus) ir siunčia juos į užpuoliko žiniatinklio serverį.

Siekdami „įdiegti“ programinės įrangos XSS mechanizmą, įsilaužėliai naudoja įvairiausias žiniatinklio serverių, internetinių paslaugų ir naršyklių spragas.

Visi XSS pažeidžiamumai skirstomi į du tipus:

• Pasyvus. Ataka pasiekiama tinklalapyje paprašius konkretaus scenarijaus. Kenkėjiškas kodas galima įvesti į įvairias tinklalapio formas (pavyzdžiui, į svetainės paieškos juostą). Labiausiai jautrūs pasyviam XSS yra ištekliai, kurie nefiltruoja HTML žymų, kai gaunami duomenys;
• Aktyvus. Įsikūręs tiesiai serveryje. Ir jie suaktyvinami aukos naršyklėje. Juos sukčiai aktyviai naudoja visuose tinklaraščiuose, pokalbiuose ir naujienų kanaluose.

Piratai kruopščiai „užmaskuoja“ savo XSS scenarijus, kad auka nieko neįtartų. Jie pakeičia failo plėtinį, perduoda kodą kaip vaizdą, skatina juos sekti nuorodą ir pritraukia įdomiu turiniu. Rezultatas: kompiuterio vartotojas, negalėdamas valdyti savo smalsumo, savo ranka (su pelės paspaudimu) siunčia seanso slapukus (su prisijungimo vardu ir slaptažodžiu!) XSS scenarijaus autoriui – kompiuterio piktadarys.

Slapukų pakeitimas

Visi slapukai išsaugomi ir siunčiami į žiniatinklio serverį (iš kurio jie „atkeliavo“) be jokių pakeitimų – jų pradine forma – su tomis pačiomis reikšmėmis, eilutėmis ir kitais duomenimis. Sąmoningas jų parametrų keitimas vadinamas slapukų pakeitimu. Kitaip tariant, keisdamas slapukus užpuolikas apsimeta, kad mąsto apie norus. Pavyzdžiui, atliekant mokėjimą internetinėje parduotuvėje, slapukas pakeičia mokėjimo sumą į apačią – taip „taupoma“ perkant.

Pavogti seanso slapukai socialiniame tinkle iš kažkieno paskyros „įterpiami“ į kitą sesiją ir kitame kompiuteryje. Pavogtų slapukų savininkas gauna pilną prieigą prie aukos paskyros (susirašinėjimo, turinio, puslapio nustatymų), kol ji yra savo puslapyje.

Slapukų „redagavimas“ atliekamas naudojant:

• Įjungta funkcija „Tvarkyti slapukus...“. Opera naršyklė;
• Cookies Manager ir Advanced Cookie Manager priedai, skirti FireFox;
• „IECookiesView“ paslaugų programos (tik Internet Explorer);
• teksto redaktorius kaip AkelPad, Notepad arba Windows Notepad.

Fizinė prieiga prie duomenų

Labai paprasta grandinėįgyvendinimas susideda iš kelių etapų. Bet tai veiksminga tik tuo atveju, jei aukos kompiuteris su atvira sesija, pavyzdžiui, „VKontakte“, paliekamas be priežiūros (ir ilgą laiką!):

1. IN adreso juosta naršyklėje įdiegta javascript funkcija, kuri rodo visus išsaugotus slapukus.
2. Paspaudus „ENTER“, jie visi pasirodo puslapyje.
3. Slapukai nukopijuojami, išsaugomi faile ir perkeliami į „flash drive“.
4. Kitame kompiuteryje slapukai pakeičiami naujoje sesijoje.
5. Suteikiama prieiga prie aukos paskyros.

Paprastai įsilaužėliai naudoja aukščiau nurodytus įrankius (ir kitus) ir kartu (nes daugelio žiniatinklio išteklių apsaugos lygis yra gana aukštas), ir atskirai (kai vartotojai yra pernelyg naivūs).

XSS + uostiklis

1. Sukuriamas XSS scenarijus, nurodantis internetinio snifferio adresą (naminio ar konkrečios paslaugos).
2. Kenkėjiškas kodas išsaugomas su plėtiniu .img (vaizdo formatas).
3. Tada šis failas įkeliamas į svetainės puslapį, pokalbį arba asmeninę žinutę – kur bus įvykdyta ataka.
4. Vartotojo dėmesys atkreipiamas į sukurtus „spąstus“ (čia įsigalioja socialinė inžinerija).
5. Jei spąstai suveikia, uostytojas perima slapukus iš aukos naršyklės.
6. Užpuolikas atidaro uostymo žurnalus ir paima pavogtus slapukus.
7. Tada jis atlieka pakeitimą, kad gautų paskyros savininko teises, naudodamas aukščiau nurodytus įrankius.

Slapukų apsauga nuo įsilaužimo

1. Naudokite šifruotą ryšį (naudodami atitinkamus protokolus ir saugos metodus).
2. Neatsakykite į abejotinas nuorodas, paveikslėlius ar viliojančius pasiūlymus susipažinti su „nauja nemokama programine įranga“. Ypač iš nepažįstamų žmonių.
3. Naudokite tik patikimus žiniatinklio išteklius.
4. Užbaikite įgaliotą seansą spustelėdami mygtuką „Atsijungti“ (ne tik uždarydami skirtuką!). Ypač jei prie paskyros prisijungėte ne iš asmeninio kompiuterio, o, pavyzdžiui, iš kompiuterio interneto kavinėje.
5. Nenaudokite naršyklės funkcijos „Išsaugoti slaptažodį“. Išsaugoti registracijos duomenys žymiai padidina vagystės riziką. Nepatingėkite, negaiškite kelių minučių laiko įvesdami slaptažodį ir prisijungdami kiekvienos sesijos pradžioje.
6. Po naršymo internete – apsilankymo socialiniuose tinkluose, forumuose, pokalbiuose, svetainėse – ištrinkite išsaugotus slapukus ir išvalykite naršyklės talpyklą.
7. Reguliariai atnaujinkite naršykles ir antivirusinę programinę įrangą.
8. Naudokite naršyklės plėtinius, apsaugančius nuo XSS atakų (pvz., NoScript for FF ir Google Chrome).
9. Periodiškai sąskaitose.

O svarbiausia – ilsėdamiesi ar dirbdami internete nepraraskite budrumo ir dėmesio!

Paveikslėlyje parodyta, kad slapuke yra eilutė wordpress_logged_in_263d663a02379b7624b1028a58464038=admin. Ši reikšmė slapuke yra nešifruota ir ją galima lengvai perimti naudojant Achilo įrankį, tačiau daugeliu atvejų Achile galite matyti tik konkretaus įrašo maišą. Prieš siųsdami užklausą į serverį, galite pabandyti šią eilutę pakeisti bet kuria panašia (nors šiuo atveju nėra prasmės) – bandymų skaičius neribojamas. Tada, išsiuntę šią užklausą į serverį mygtuku Siųsti, galite gauti atsakymą iš serverio, skirto administratoriui.

Ankstesniame pavyzdyje galite naudoti tiesioginį vartotojo ID klastojimą. Be to, parametro pavadinimas, pakeičiantis vertę, kuri suteikia papildomos funkcijosįsilaužėlis, gali būti toks: vartotojas (pavyzdžiui, USER=JDOE), bet kokia išraiška su ID eilute (pvz., USER=JDOE arba SESSIONID=BLAHBLAH), administratorius (pavyzdžiui, ADMIN=TRUE), sesija (pvz. , SESIJA=AKTYVUS), krepšelis (pavyzdžiui, KREPŠELIS=PILNAS), taip pat tokius posakius kaip TRUE, FALSE, ACTIVE, NEACTIVE. Paprastai slapukų formatas labai priklauso nuo programos, kuriai jie naudojami. Tačiau šie patarimai, kaip rasti programos trūkumus naudojant slapukus, tinka beveik visiems formatams.

Kliento pusės atsakomosios priemonės prieš slapukų ištraukimą

Apskritai vartotojai turėtų būti atsargūs dėl svetainių, kurios naudoja slapukus autentifikavimui ir slaptiems duomenims saugoti. Taip pat būtina atminti, kad svetainė, kuri autentifikavimui naudoja slapukus, turi palaikyti bent jau SSL protokolą vartotojo vardui ir slaptažodžiui užšifruoti, nes nesant šio protokolo duomenys perduodami nešifruoti, todėl galima juos perimti. naudojant paprasčiausią programinė įranga norėdami peržiūrėti tinklu siunčiamus duomenis.

„Kookaburra Software“ sukūrė įrankį, palengvinantį slapukų naudojimą. Įrankis vadinamas CookiePal ( http://www.kburra.com/cpal.html (žr. www.kburra.com)). Ši programa skirta įspėti vartotoją, kai svetainė bando įrenginyje įdiegti slapuką, o vartotojas gali leisti arba uždrausti šį veiksmą. Panašios slapukų blokavimo funkcijos šiandien pasiekiamos visose naršyklėse.

Kita priežastis, kodėl reikia reguliariai diegti žiniatinklio naršyklės naujinimus, yra ta, kad nuolat nustatomi šių programų saugos trūkumai. Taigi, Bennet Haselton ir Jamie McCarthy sukūrė scenarijų, kuris, spustelėjus nuorodą, nuskaito slapukus iš kliento mašinos. Dėl to visas slapukų turinys, esantis vartotojo kompiuteryje, tampa prieinamas.

Tokį įsilaužimą taip pat galima atlikti naudojant rankeną

Kad tokie dalykai nekeltų grėsmės mūsų asmens duomenims, tai darau pats ir patariu visiems visada atnaujinti programinę įrangą, kuri veikia su HTML kodu ( pašto klientai, medijos leistuvai, naršyklės ir kt.).

Daugelis žmonių nori tiesiog blokuoti slapukus, tačiau daugumoje svetainių reikia naršyti slapukus. Išvada – jei artimiausiu metu atsiras inovatyvi technologija, leidžianti apsieiti be slapukų, programišiai ir administratoriai lengviau atsikvėps, tačiau kol kas slapukai lieka skaniu kąsneliu įsilaužėliui! Tai tiesa, nes geresnės alternatyvos dar nėra.

Serverio atsakomosios priemonės

Pateikdami rekomendacijas, kaip užtikrinti serverio saugumą, ekspertai duoda vieną paprastą patarimą: nenaudokite slapukų mechanizmo, nebent tai yra absoliučiai būtina! Ypatingai atsargiai reikia naudoti slapukus, kurie lieka vartotojo sistemoje pasibaigus bendravimo seansui.

Žinoma, svarbu suprasti, kad slapukai gali būti naudojami siekiant užtikrinti žiniatinklio serverių saugumą vartotojo autentifikavimui. Jei jūsų programai reikia naudoti slapukus, turėtumėte sukonfigūruoti slapukų mechanizmą, kad kiekvienam seansui būtų naudojami skirtingi trumpalaikiai raktai, ir stenkitės į šiuos failus neįtraukti informacijos, kurią įsilaužėliai galėtų panaudoti įsilaužimui (pvz., ADMIN=TRUE). .

Be to, siekiant užtikrinti didesnį saugumą dirbant su sausainiai galite naudoti šifravimą, kad išvengtumėte neskelbtinos informacijos išskleidimo. Žinoma, šifravimas neišsprendžia visų saugumo problemų dirbant su slapukų technologija, tačiau šis metodas padės išvengti elementariausių aukščiau aprašytų įsilaužimų.

„Išmanusis telefonas su įsilaužimo įrankiais? Tokio dalyko nėra“, – būtume jums sakę visai neseniai. Kai kuriuos įprastus įrankius atakoms įgyvendinti buvo galima tik prieš kai kuriuos „Maemo“. Dabar daugelis žinomų įrankių buvo perkelti į „iOS“ ir „Android“, o kai kurie įsilaužimo įrankiai buvo specialiai sukurti mobiliajai aplinkai. Ar išmanusis telefonas gali pakeisti nešiojamąjį kompiuterį atliekant įsiskverbimo testus? Nusprendėme tai patikrinti.

ANDROIDAS

„Android“ yra populiari platforma ne tik paprastiems mirtingiesiems, bet ir tinkamiems žmonėms. Naudingų ][-komunalinių paslaugų skaičius čia tiesiog nepatenka į diagramas. Už tai galime padėkoti UNIX sistemos šaknims – tai labai supaprastino daugelio įrankių perkėlimą į Android. Deja, kai kurių iš jų „Google“ neleidžia. Zaidimu parduotuve, todėl atitinkamą APK turėsite įdiegti rankiniu būdu. Be to, kai kurioms komunalinėms programoms reikalinga maksimali prieiga prie sistemos (pavyzdžiui, iptables ugniasienė), todėl turėtumėte iš anksto pasirūpinti root prieiga. Kiekvienas gamintojas čia naudoja savo technologiją, tačiau rasti reikiamas instrukcijas gana paprasta. Gerą HOWTO rinkinį sukūrė LifeHacker šaltinis (bit.ly/eWgDlu). Tačiau jei čia nerandate modelio, visada į pagalbą ateina XDA-Developers forumas (www.xda-developers.com), kuriame rasite įvairios informacijos praktiškai bet kuriam Android telefono modeliui. Vienaip ar kitaip, kai kurios toliau aprašytos komunalinės paslaugos veiks be root prieigos.

Paketo valdytojas

„BotBrew“ Pradėkime peržiūrą nuo neįprastos paketų tvarkyklės. Kūrėjai tai vadina „komunalinėmis paslaugomis supervartotojams“, ir tai nėra toli nuo tiesos. Įdiegę „BotBrew“, gausite saugyklą, iš kurios galėsite atsisiųsti puiki suma pažįstami įrankiai, sukurti „Android“. Tarp jų: ​​Python ir Ruby interpretatoriai, skirti paleisti daugybę juose įrašytų įrankių, tcpdump sniffer ir Nmap skaitytuvas tinklo analizei, Git ir Subversion darbui su versijų valdymo sistemomis ir daug daugiau.

Tinklo skaitytuvai

PIPS Nepastebimas išmanusis telefonas, kuris, skirtingai nei nešiojamasis kompiuteris, lengvai telpa į kišenę ir niekada nekelia įtarimų, gali būti naudingas tyrinėjant tinklą. Aukščiau jau minėjome, kaip galite įdiegti „Nmap“, tačiau yra ir kita galimybė. PIPS yra prievadas, specialiai pritaikytas Android, nors tai neoficialus prievadas Nmap skaitytuvas. Tai reiškia, kad galite greitai rasti aktyvius įrenginius tinkle, nustatyti jų OS naudodami pirštų atspaudų parinktis, atlikti prievado nuskaitymą – trumpai tariant, padaryti viską, ką gali Nmap. Fing Nepaisant visos jo galios, naudojant Nmap yra dvi problemos. Pirma, nuskaitymo parametrai perduodami paleidimo klavišais, kuriuos turite ne tik žinoti, bet ir mokėti įvesti naudodami nepatogią mobiliąją klaviatūrą. Antra, nuskaitymo rezultatai konsolės išvestyje nėra tokie aiškūs, kaip norėtume. „Fing“ skaitytuvas neturi šių trūkumų, jis labai greitai nuskaito tinklą, paima pirštų atspaudus ir tada aiškiai parodo visų galimų įrenginių sąrašą, suskirstydamas juos pagal tipus (maršrutizatorius, darbalaukis, „iPhone“ ir pan.). Tuo pačiu metu kiekvienam pagrindiniam kompiuteriui galite greitai peržiūrėti atidarytų prievadų sąrašą. Be to, čia pat galite prisijungti, tarkime, prie FTP, naudodami sistemoje įdiegtą FTP klientą - labai patogu. NetAudit Kada mes kalbame apie Analizuojant konkretų pagrindinį kompiuterį, „NetAudit“ programa gali būti nepakeičiama. Jis veikia bet kuriame „Android“ įrenginyje (net ir neįsišaknijusiame) ir leidžia ne tik greitai atpažinti įrenginius tinkle, bet ir ištirti juos naudojant didelę pirštų atspaudų duomenų bazę, kad būtų galima identifikuoti. Operacinė sistema, taip pat žiniatinklio serveryje naudojamos TVS sistemos. Dabar duomenų bazėje yra daugiau nei 3000 skaitmeninių pirštų atspaudų. Tinklo įrankiai Jei, priešingai, jums reikia dirbti žemesniu lygiu ir atidžiai ištirti tinklo veikimą, negalite išsiversti be „Net Tools“. Tai būtina darbe sistemos administratorius paslaugų rinkinys, leidžiantis visiškai diagnozuoti tinklo, prie kurio prijungtas įrenginys, veikimą. Paketą sudaro daugiau nei 15 skirtingų tipų programų, tokių kaip ping, traceroute, arp, dns, netstat, route.

Eismo manipuliavimas

Ryklys šaknims Tcpdump pagrindu sukurtas snifferis sąžiningai registruoja visus duomenis į pcap failą, kurį vėliau galima ištirti naudojant pažįstamas programas, tokias kaip Wireshark arba Network Miner. Kadangi jame nėra įdiegtos MITM atakų galimybės, tai veikiau jūsų srauto analizės įrankis. Pavyzdžiui, tai puikus būdas ištirti, ką perteikia jūsų įrenginyje iš abejotinų saugyklų įdiegtos programos. FaceNiff Jei kalbėsime apie „Android“ skirtas kovines programas, tai viena sensacingiausių yra „FaceNiff“, įgyvendinanti perėmimą ir įterpimą į perimtas žiniatinklio sesijas. Atsisiuntę APK paketą su programa, galite paleisti šį įsilaužimo įrankį beveik bet kuriame „Android“ išmaniajame telefone ir, prisijungę prie belaidžio tinklo, perimti įvairių paslaugų paskyras: „Facebook“, „Twitter“, „VKontakte“ ir tt - daugiau nei dešimt iš viso. Seanso užgrobimas vykdomas naudojant ARP klaidinimo ataką, tačiau ataka galima tik naudojant neapsaugotos jungtys(„FaceNiff“ nežino, kaip įsijungti į SSL srautą). Siekdamas pažaboti scriptdis srautą, autorius apribojo maksimalų seansų skaičių iki trijų – tuomet reikia susisiekti su kūrėju dėl specialaus aktyvinimo kodo. DroidSheep Jei FaceNiff kūrėjas nori pinigų už jo naudojimą, tada DroidSheep yra visiškai nemokama priemonė su ta pačia funkcija. Tiesa, oficialioje svetainėje platinimo rinkinio nerasite (tai yra dėl griežtų Vokietijos įstatymų dėl apsaugos paslaugų), tačiau internete jį galima rasti be jokių problemų. Pagrindinė naudingumo užduotis yra perimti populiarias vartotojų žiniatinklio sesijas socialiniai tinklai, įdiegtas naudojant tą patį ARP Spoofing. Tačiau yra problemų su saugiais ryšiais: kaip ir FaceNiff, DroidSheep kategoriškai atsisako dirbti su HTTPS protokolu. Tinklo apgaulė Ši programa taip pat parodo atvirų belaidžių tinklų nesaugumą, tačiau šiek tiek kitokiu lygiu. Jis nepertraukia vartotojo seansų, bet leidžia HTTP srautui pereiti per save, naudodamas klaidinimo ataką, atlikdamas su juo nurodytas manipuliacijas. Pradedant nuo įprastų išdaigų (visų svetainėje esančių paveikslėlių pakeitimas trolių veidais, visų vaizdų apvertimas arba, tarkim, pakeitimas Google rezultatai) ir baigiant sukčiavimo atakomis, kai vartotojui pateikiami netikri tokių populiarių paslaugų puslapiai kaip facebook.com, linkedin.com, vkontakte.ru ir daugelis kitų. „Anti“ („Android“ tinklo įrankių rinkinys, sukurtas „zImperium LTD“)
Jei paklausite, kuri „Android“ įsilaužimo programa yra galingiausia, „Anti“ tikriausiai neturi konkurentų. Tai tikras įsilaužėlių kombainas. Pagrindinė programos užduotis yra nuskaityti tinklo perimetrą. Toliau į mūšį stoja įvairūs moduliai, kurių pagalba diegiamas visas arsenalas: srauto pasiklausymas, MITM atakų vykdymas, rastų pažeidžiamumų išnaudojimas. Tiesa, yra ir trūkumų. Pirmiausia į akis krenta tai, kad pažeidžiamumų išnaudojimas vykdomas tik iš centrinio programų serverio, esančio internete, ko pasekoje taikiniai, neturintys išorinio IP adreso, gali būti pamiršti.

Eismo tuneliavimas

Totalus vadas Garsus failų tvarkyklė dabar išmaniuosiuose telefonuose! Kaip ir darbalaukio versijoje, čia yra įskiepių sistema, skirta prisijungti prie įvairių tinklo katalogų, taip pat kanoninis dviejų skydelių režimas – ypač patogu planšetiniuose kompiuteriuose. SSH tunelis Gerai, bet kaip galite užtikrinti savo duomenų, perduodamų atviru belaidžiu tinklu, saugumą? Be VPN, kurį „Android“ palaiko iš karto, galite sukurti SSH tunelį. Tam tikslui yra puiki SSH tunelio programa, leidžianti nukreipti pasirinktų programų ar visos sistemos srautą per nuotolinį SSH serverį. ProxyDroid Dažnai reikia siųsti srautą per tarpinį serverį arba SOX, ir tokiu atveju ProxyDroid padės. Tai paprasta: pasirenkate, kurios programos srautą norite perjungti, ir nurodykite tarpinį serverį (palaikoma HTTP/HTTPS/SOCKS4/SOCKS5). Jei reikalingas leidimas, ProxyDroid tai taip pat palaiko. Beje, konfigūraciją galima susieti su konkrečia bevielis tinklas, padaręs skirtingi nustatymai kiekvienam iš jų.

Bevielis tinklas

Wifi Analyzer Integruotas belaidžio tinklo tvarkyklė nėra labai informatyvi. Jei jums reikia greitai gauti išsamų netoliese esančių prieigos taškų vaizdą, „Wifi Analyzer“ programa yra puikus pasirinkimas. Jame bus rodomi ne tik visi šalia esantys prieigos taškai, bet ir kanalas, kuriame jie veikia, jų MAC adresas ir, svarbiausia, naudojamas šifravimo tipas (pamatę geidžiamas raides „WEP“, galime manyti, kad prieiga prie teikiamas saugus tinklas). Be to, programa yra ideali, jei dėl vizualinio signalo stiprumo indikatoriaus reikia rasti, kur fiziškai yra norimas prieigos taškas. „WiFiKill“ Ši programa, kaip teigia jos kūrėjas, gali būti naudinga, kai belaidis tinklas yra pripildytas klientų, kurie naudoja visą kanalą, ir būtent šiuo metu reikalingas geras ryšys ir stabilus ryšys. „WiFiKill“ leidžia atjungti klientus nuo interneto pasirinktinai arba pagal tam tikrą kriterijų (pavyzdžiui, galima pasijuokti iš visų „Yabloko“ narių). Programa tiesiog įvykdo ARP klaidinimo ataką ir nukreipia visus klientus į save. Šis algoritmas yra kvailai tiesiog įgyvendintas iptables pagrindu. Tai greito maisto belaidžių tinklų valdymo pultas :).

Žiniatinklio programų auditas

HTTP užklausų kūrimo priemonė Manipuliuoti HTTP užklausomis iš kompiuterio yra paprastas dalykas, tam yra daugybė paslaugų ir naršyklės papildinių. Išmaniojo telefono atveju viskas yra šiek tiek sudėtingiau. HTTP Query Builder padės išsiųsti pasirinktinę HTTP užklausą su reikalingais parametrais, pavyzdžiui, norimu slapuku arba pakeistu vartotojo agentu. Užklausos rezultatas bus rodomas standartinėje naršyklėje. Maršrutizatorius Brute Force ADS 2 Jei svetainė yra apsaugota slaptažodžiu naudojant pagrindinį prieigos autentifikavimą, tada jos patikimumą galite patikrinti naudodami Router Brute Force ADS 2 įrankį. Iš pradžių įrankis buvo sukurtas brutaliems slaptažodžiams įvesti maršrutizatoriaus administratoriaus skydelyje, tačiau aišku, kad tai gali būti. naudojamas prieš bet kokius kitus panašios apsaugos išteklius. Komunalinė paslauga veikia, bet akivaizdžiai neapdorota. Pavyzdžiui, kūrėjas nenumato brutalios jėgos, o tik brutalią jėgą, naudodamas žodyną. „AnDOSid“. Tikrai girdėjote apie tokią sensacingą žiniatinklio serverių išjungimo programą kaip „Slowloris“. Jo veikimo principas: sukurti ir palaikyti maksimalų jungčių skaičių su nuotolinis žiniatinklio serveris, tokiu būdu neleidžiant prie jo prisijungti naujiems klientams. Taigi, „AnDOSid“ yra „Slowloris“ analogas jūsų „Android“ įrenginyje! Išduosiu paslaptį, pakanka dviejų šimtų jungčių, kad užtikrintų nestabilų kas ketvirtos svetainės, kurioje veikia Apache žiniatinklio serveris, veikimą. Ir visa tai – iš jūsų telefono!

Įvairios komunalinės paslaugos

Užkoduoti Dirbant su daugeliu žiniatinklio programų ir analizuojant jų logiką, gana dažnai susiduriama su duomenimis, perduodamais užkoduota forma, būtent Base64. Kodavimas padės iššifruoti šiuos duomenis ir pamatyti, kas tiksliai juose saugoma. Galbūt, pakeisdami kabutes, užkoduodami jas atgal į Base64 ir pakeisdami jas tiriamos svetainės URL, gausite trokštamą duomenų bazės užklausos klaidą. HexEditor Jei jums reikia šešioliktainio redaktoriaus, jis taip pat yra skirtas Android. Su HexEditor galite redaguoti bet kokius failus, įskaitant sistemos failus, jei padidinsite programos teises į supervartotoją. Puikus pakaitalas standartinis redaktorius tekstus, leidžiančius lengvai rasti norimą tekstą ir jį pakeisti.

Nuotolinis prisijungimas

ConnectBot Kai turėsite prieigą prie nuotolinio pagrindinio kompiuterio, turite turėti galimybę juo naudotis. Ir tam mums reikia klientų. Pradėkime nuo SSH, kur ConnectBot jau yra de facto standartas. Be patogios sąsajos, ji suteikia galimybę organizuoti saugius tunelius per SSH ryšius. „PocketCloud Remote RDP/VNC“. Naudinga programa, leidžianti prisijungti prie nuotolinio darbalaukio per RDP arba VNC paslaugas. Labai džiaugiuosi, kad tai du klientai viename, nereikia naudoti skirtingų RDP ir VNC įrankių. SNMP MIB naršyklė Specialiai parašyta Android naršyklė MIB, su kuriuo galite valdyti tinklo įrenginius naudodami SNMP protokolą. Tai gali būti naudinga kuriant atakos vektorių įvairiuose maršrutizatoriuose, nes standartinė bendruomenės eilutė (kitaip tariant, prieigos slaptažodis), skirta valdyti per SNMP, dar nebuvo atšaukta.

iOS

Ne mažiau populiarus tarp saugumo paslaugų kūrėjų iOS platforma. Bet jei tuo atveju Android teisės root reikėjo tik kai kurioms programoms, tada įrenginiuose iš Apple jailbreak beveik visada reikalaujama. Laimei, net už naujausia programinė įranga„iDevices“ (5.1.1) jau turi „jailbreak“ įrankį. Kartu su visa prieiga jūs taip pat gaunate alternatyvus vadovas Cydia programos, kuriose jau yra daug paslaugų.

Darbas su sistema

Mobilusis terminalas Pirmas dalykas, nuo kurio noriu pradėti, yra terminalo įdiegimas. Dėl akivaizdžių priežasčių jis neįtrauktas į standartinį mobiliosios OS pristatymą, tačiau mums jo reikės norint paleisti konsolės paslaugas, kurias aptarsime toliau. Geriausias terminalo emuliatoriaus įgyvendinimas yra „MobileTerminal“ – jis palaiko kelis terminalus, valdymo gestus (pavyzdžiui, siunčiant „Control-C“) ir apskritai yra įspūdingas savo apgalvotumu. iSSH Kitas, sudėtingesnis būdas gauti prieigą prie įrenginio konsolės yra įdiegti OpenSSH jame (tai daroma per Cydia) ir prisijungti prie jo vietoje per SSH klientą. Jei naudojate tinkamą klientą, pvz., iSSH, kuris turi nuostabų valdymą liečiamas ekranas, tada šis būdas yra dar patogesnis nei per MobileTerminal.

Duomenų perėmimas

Pirni & Pirni Pro Dabar, kai turite prieigą prie konsolės, galite išbandyti komunalines paslaugas. Pradėkime nuo Pirni, kuris įėjo į istoriją kaip visavertis iOS uostytojas. Deja, struktūriškai ribota Wi-Fi modulis, įtaisytas įrenginyje, negali būti perjungtas į laisvą režimą, būtiną normaliam duomenų perėmimui. Taigi duomenims perimti naudojamas klasikinis ARP klastojimas, kurio pagalba visas srautas perduodamas per patį įrenginį. Iš konsolės paleidžiama standartinė programos versija, kurioje, be MITM atakos parametrų, nurodomas PCAP failo pavadinimas, į kurį registruojamas visas srautas. Priemonė turi pažangesnę versiją - Pirni Pro, kuri gali pasigirti grafine sąsaja. Be to, jis gali analizuoti HTTP srautą ir netgi automatiškai iš ten ištraukti įdomius duomenis (pvz., prisijungimo vardus ir slaptažodžius), naudodamas reguliarios išraiškos, kurie nustatyti nustatymuose. Intercepter-NG (konsolės leidimas) Gerai žinomas sniferis Intercepter-NG, apie kurį ne kartą rašėme, neseniai turėjo konsolinę versiją. Kaip sako autorius, didžioji dalis kodo yra parašyta grynu ANSI C, kuris beveik bet kokioje aplinkoje elgiasi taip pat, todėl konsolės versija nuo pat pradžių veikė tiek darbalaukio Windows, Linux ir BSD, tiek mobiliosios platformos, įskaitant iOS ir Android. Konsolės versija jau įgyvendina slaptažodžių, perduodamų įvairiais protokolais, griebimą, momentinių pranešimų siuntimo pranešimų perėmimą (ICQ/Jabber ir daugelis kitų), taip pat failų atkūrimą iš srauto (HTTP/FTP/IMAP/POP3/SMTP/SMB). Tuo pačiu metu yra tinklo nuskaitymo funkcijos ir aukštos kokybės ARP Poison. Dėl teisingas veikimas Pirmiausia turite įdiegti libpcap paketą per Cydia (nepamirškite nustatymuose įjungti kūrimo paketų). Visos paleidimo instrukcijos apsiriboja teisingų teisių nustatymu: chmod +x intercepter_ios. Tada, jei paleisite snifferį be parametrų, atsiras aiški interaktyvi „Itercepter“ sąsaja, leidžianti pradėti bet kokias atakas. Ettercap-NG Sunku patikėti, bet šis sudėtingiausias instrumentas MITM atakoms įgyvendinti jos vis tiek buvo perkeltos į iOS. Po didžiulio darbo krūvio pavyko sukurti visavertį mobilųjį prievadą. Norėdami apsisaugoti nuo priklausomybių šokio su tamburinu savarankiško kompiliavimo metu, geriau įdiegti jau sukurtą paketą naudojant Cydia, pridėjus theworm.altervista.org/cydia (TWRepo saugykla) kaip duomenų šaltinį. Į rinkinį taip pat įtraukta etterlog programa, kuri padeda iš surinkto srauto sąvartyno išgauti įvairią naudingą informaciją (pavyzdžiui, FTP prieigos paskyras).

Belaidžio tinklo analizė

WiFi analizatorius Senovėje iOS versijos amatininkai nutrūko ir galėjo sulaužyti WEP raktą, bet mes patikrinome: programa neveikia naujuose įrenginiuose. Todėl norėdami ištirti „Wi-Fi“, turėsime pasitenkinti tik „Wi-Fi“ skaitytuvais. WiFi analizatorius Analizuoja ir rodo informaciją apie visus galimus 802.11 tinklus, įskaitant informaciją apie SSID, kanalus, tiekėjus, MAC adresus ir šifravimo tipus. Priemonė realiu laiku sukuria vaizdinius grafikus, remdamasi eteryje esančiais duomenimis. Su tokia programa lengva rasti fizinę taško vietą, jei ją staiga pamiršite, ir, pavyzdžiui, pažvelgti į WPS PIN kodą, kuris gali būti naudingas prisijungiant.

Tinklo skaitytuvai

Scany Kokią programą naudoja bet kuris pentesteris bet kurioje pasaulio vietoje, nepaisydamas tikslų ir uždavinių? Tinklo skaitytuvas. Ir iOS atveju tai greičiausiai bus galingiausias Scany įrankių rinkinys. Dėl integruotų paslaugų rinkinio galite greitai gauti išsamų vaizdą tinklo įrenginiai oi, pvz. atviri uostai. Be to, pakete yra tinklo testavimo paslaugų, tokių kaip ping, traceroute, nslookup. Fingas Tačiau daugelis žmonių renkasi Fing. Skaitytuvas turi gana paprastą ir ribotą funkcionalumą, tačiau to visiškai pakanka pirmai pažinčiai su, tarkime, kavinės tinklu :). Rezultatuose rodoma informacija apie galimas paslaugas nuotoliniuose įrenginiuose, MAC adresus ir pagrindinio kompiuterio pavadinimus, prijungtus prie nuskaityto tinklo. Nikto Atrodytų, visi pamiršo Nikto, bet kodėl? Galų gale, jūs galite lengvai įdiegti šį žiniatinklio pažeidžiamumo skaitytuvą, parašytą scenarijų kalba (būtent Perl), per Cydia. Tai reiškia, kad galite lengvai paleisti jį į savo „Jailbroken“ įrenginį iš terminalo. Nikto mielai jums suteiks Papildoma informacija išbandytame žiniatinklio šaltinyje. Be to, savo rankomis galite pridėti savo paieškos parašus į savo žinių duomenų bazę. sqlmap Tai galingas įrankis automatiniam SQL pažeidžiamumui išnaudoti, parašyta Python kalba, o tai reiškia, kad įdiegę interpretatorių galėsite lengvai juo naudotis tiesiai iš savo mobiliojo įrenginio.

Nuotolinio valdymo pultas

SNMP nuskaitymas Daugelis tinklo įrenginių (įskaitant brangius maršrutizatorius) valdomi naudojant SNMP protokolą. Ši programa leidžia nuskaityti potinklius prieinamas paslaugas SNMP su iš anksto žinomomis bendruomenės eilučių reikšmėmis (kitaip tariant, standartiniais slaptažodžiais). Atminkite, kad SNMP paslaugų paieška naudojant standartines bendruomenės eilutes (vieša/privačia), siekiant gauti prieigą prie įrenginio valdymo, yra neatsiejama bet kokio įsiskverbimo testo dalis, kartu identifikuojant patį perimetrą ir paslaugų identifikavimą. iTap mobilusis RDP / iTap mobilusis VNC Dvi to paties gamintojo komunalinės paslaugos skirtos prisijungti prie nuotolinio darbalaukio naudojant RDP ir VNC protokolus. Panašios komunalinės paslaugos Programėlių parduotuvė Jų yra daug, tačiau būtent tai ypač patogu naudoti.

Slaptažodžio grąžinimas

Hidra Legendinė programa, padedanti milijonams įsilaužėlių visame pasaulyje „atsiminti“ savo slaptažodį, buvo perkelta į „iOS“. Dabar galite ieškoti slaptažodžių tokioms paslaugoms kaip HTTP, FTP, TELNET, SSH, SMB, VNC, SMTP, POP3 ir daugelis kitų tiesiai iš savo iPhone. Tiesa, norint veiksmingesnio puolimo, geriau pasirūpinti gerų brutalios jėgos žodynų atsargomis. Praeikite Mulą Visi iš pirmų lūpų žino naudojimo pažeidžiamumą standartiniai slaptažodžiai. Pass Mule yra savotiškas katalogas, kuriame yra visų rūšių standartiniai tinklo įrenginių prisijungimai ir slaptažodžiai. Jie yra patogiai suskirstyti pagal pardavėjo pavadinimą, gaminį ir modelį, todėl rasti reikiamą nebus sunku. Programa skirta sutaupyti laiko ieškant maršrutizatoriaus vadovo, standartinis prisijungimas ir slaptažodį, kurį turite žinoti.

Pažeidžiamumų išnaudojimas

Metasploit
Sunku įsivaizduoti labiau įsilaužimo įrankį nei „Metasploit“, ir tuo baigiama mūsų šiandieninė apžvalga. Metasploit yra įvairių įrankių paketas, kurio pagrindinė užduotis yra išnaudoti pažeidžiamumą programinė įranga. Įsivaizduokite: apie 1000 patikimų, patikrintų ir reikalingų Kasdienybė exploit pentester – tiesiai išmaniajame telefone! Tokio įrankio pagalba tikrai galite įsitvirtinti bet kuriame tinkle. „Metasploit“ leidžia ne tik išnaudoti serverio programų trūkumus – yra prieinami įrankiai ir atakuoti klientų programas (pavyzdžiui, per naršyklės „Autopwn“ modulį, kai į kliento srautą įterpiamas kovinis krovinys). Čia reikia pasakyti, kad mobilioji versija Nėra įrankių rinkinio, bet galite įdiegti standartinį paketą Apple įrenginyje naudodami .

Sveiki, šis trumpas straipsnis, gana netgi Trumpas aprašymas Norėčiau atsiduoti paprastas būdas perimti slapukus wi-fi tinklai. Čia nepasakysiu, kas yra sausainiai ir kam jie reikalingi, jei žmogui įdomu perimti „kepinius“; belaidžiame tinkle, manau, jis turėtų žinoti, kas tai yra ir kodėl jam to reikia. Pasakysiu tik vieną dalyką: naudodami šiuos failus galite gauti prieigą prie kitų žmonių paskyrų įvairiose svetainėse, kuriose naudotojai turi atlikti autentifikavimo procesą (pavyzdžiui, mail.ru, vkontakte.ru ir kt.).

Taigi pradėkime. Pirmiausia reikia rasti patį belaidį tinklą su atvirais interneto prieigos vartais ir pageidautina, kad šis tinklas turėtų gana daug klientų. Pavyzdžiui, tinka bet koks tinklas dideliuose prekybos centruose, oro uostuose, įvairiose kavinėse, kuriose dažniausiai naudojasi žmonės wi-fi prieiga internete, laiškų skaitymui, paskyrų tikrinimui įvairiose pažinčių svetainėse, LJ peržiūrai ir įvairiuose forumuose. Visa tai yra būtent tai, ko mums reikia. Nusprendęs dėl tinklo vietos pasirinkimo, ištyręs tam tikras valandas maksimalus kiekis klientai, pereikime tiesiai prie kovos. Tam mums reikia nešiojamojo kompiuterio su Wi-Fi adapteris, ir tam tikras programų rinkinys. Mano atveju aš naudojau Acer nešiojamas kompiuterisĮdiegta Aspire 3610, D-Link DWL G650 kliento wi-fi kortelė ir BackTrack3 OS.

Aš patariu naudoti šią OS, nes joje jau yra visas programų, kurių jums gali prireikti, rinkinys, o svarbiausias privalumas yra tai, kad jums nereikia įdiegti „Backtrack“ savo kompiuteryje. HDD, galite paleisti šią OS tiesiai iš kompaktinio disko arba „flash drive“.

Dabar pereikime prie reikalingos programinės įrangos. Naudojau „Kismet“ tinklui aptikti, o „WifiZoo“ – slapukų perėmimui. Išsamiai pakalbėsiu apie antrąją programą. „WifiZoo“ yra pasyvus radijo bangų skaitytuvas ir surenka gana daug Naudinga informacija, pvz.: pop3, smtp srautas, http slapukai/authinfo, msn, ftp kredencialai, telnet tinklo srautas, nbt ir kt. Vienintelis šios programos trūkumas yra Channel hopping režimo nebuvimas, WifiZoo tiesiog klauso belaidė sąsaja, ir negali, taip sakant, pereiti iš vieno kanalo į kitą. Tačiau šį trūkumą kompensuoja kita programa „Kismet“, kuri palaiko šį režimą. Norėdami paleisti „WifiZoo“, jums reikės:

• pitonas
• niekšiškas
• Kismet

Taigi paleiskite programą, pirmiausia paleiskite „Kismet“, kad palaikytumėte kanalo perjungimo režimą, tada paleiskite „WifiZoo“ tiesiogiai, prieš jus turėtų pasirodyti šis langas:

Dabar tereikia sėdėti ir laukti, kol ką nors perims, viską, ką programa perima, galima rasti žurnaluose, kurie yra kataloge su programa /logs/. Taip pat galite paleisti GUI sąsają, kuri automatiškai prisijungia prie http adresu 127.0.0.1:8000

Nerašysiu apie visas šios nuostabios programos ypatybes, manau, kad visas kitas galimybes išsiaiškinsite patys, o kadangi Šis momentas Mus domina tik slapukai. Spustelėkite nuorodą, kurioje parašyta slapukai, ir pažiūrėkite, ką sulaikėme:

Slapukų vagystės būdai

Šis įsilaužimo būdas, slapukų vagystė, veikia puikiai ir yra naudojamas daugelio įsilaužėlių. Jei ir jūs norite tai išbandyti, bet nežinote, ką daryti, perskaitykite mūsų rekomendacijas.

Kas yra slapukai?

Tai informacija apie vartotojo apsilankymą konkrečioje svetainėje. Jis saugomas atskirame skyriuje tekstinis dokumentas. Ten galima rasti įvairios informacijos. Įskaitant prisijungimo vardus, slaptažodžius, adresus pašto dėžutės ir telefono numeriai. Štai kodėl įsilaužėliai stengiasi gauti šiuos dokumentus. Norėdami pavogti reikalingas medžiagas, įsilaužėliai griebiasi įvairių metodų.

Slapukų vagystės būdai

XSS pažeidžiamumas

Jį galima rasti ir naudoti bet kurioje svetainėje. Specialistas, radęs pažeidžiamumą, įveda į jį specialų kodą. Priklausomai nuo tikslo, kodai yra parašyti konkrečiam ištekliui. Kai vartotojas apsilanko šiame puslapyje ir jį atnaujina, taikomi visi pakeitimai. Kodas pradeda veikti - jis įterpiamas į aukos kompiuterį ir viską surenka reikalinga informacija iš naršyklės.

Norėdami įvesti kodą, galite naudoti bet kokio tipo pažeidžiamumą - klaidą žiniatinklio šaltinyje, naršyklėje ar kompiuterinėje sistemoje.

Yra 2 XSS atakų tipai:

Pasyvus - nukreipta į puslapio scenarijų. Tokiu atveju reikia ieškoti puslapio elementų spragų. Pavyzdžiui, skirtukas su dialogais, paieškos laukelis, vaizdo įrašų katalogas ir kt.

Aktyvus - turėtumėte jų ieškoti serveryje. Jie ypač dažni įvairiuose forumuose, tinklaraščiuose ir pokalbiuose.

Kaip priversti žmogų taikyti XSS?

Užduotis nėra lengva, nes dažnai norint suaktyvinti kodą reikia paspausti nuorodą su juo. Galite užmaskuoti nuorodą ir išsiųsti ją el. paštu kartu su įdomiu pasiūlymu. Pavyzdžiui, pasiūlykite didelę nuolaidą internetinėje parduotuvėje. Taip pat visa tai galite pritaikyti paveikslėlyje. Vartotojas greičiausiai jį pamatys ir nieko neįtars.

Sniferio montavimas

Tai įgyvendinimas specializuotas programas stebėti srautą kažkieno įrenginyje. Sniferis leidžia perimti perduodamas sesijas su kitų žmonių duomenimis. Tokiu būdu galite gauti visus prisijungimo vardus ir slaptažodžius, adresus, bet kokius svarbi informacija vartotojas perduodamas tinkle. Tokiu atveju atakos dažniausiai vykdomos prieš neapsaugotus HTTP duomenis. Tam puikiai tinka neapsaugotas „Wi-Fi“.

Yra keletas būdų, kaip įdiegti sniferį:

• Kopijuoti srautą;
• Duomenų analizė naudojant eismo atakas;
• Sąsajų klausymasis;
• Sniferio įkišimas į kanalo pertrauką.

Slapukų pakeitimas

Visi duomenys žiniatinklio serveryje saugomi pradine forma. Jei juos pakeisite, tai bus laikoma pakeitimu. Visa gauta medžiaga gali būti naudojama kitame kompiuteryje. Tokiu būdu turėsite visišką prieigą prie vartotojo asmeninių duomenų. Slapukus galite keisti naudodami naršyklės nustatymus, priedus ar specialias programas. Redaguoti taip pat galima bet kuriame standartinis bloknotas kompiuteryje

Slapukų vagystė naudojant virusą

Specialistai pataria nenaudoti slapukų, nebent tam yra specialus poreikis. Jei įmanoma juos išjungti, geriau tai padaryti. Taip yra todėl, kad slapukai yra labai pažeidžiami. Juos dažnai pavagia nusikaltėliai. Iš šių failų galite gauti daug asmeninės konfidencialios informacijos, kuri bus panaudota prieš asmenį. Pavojingiausi failų tipai yra tie, kurie lieka sistemoje jau pasibaigus seansui.

Slapukai dažnai pavagiami naudojant virusų programą. Tai daroma gana paprastai. Bet kuri saugi priemonė yra įterpta su virusu, kuris renka tam tikrą medžiagą kompiuteryje. Viruso programa bus prijungtas prie jo savininko serverio. Programa turi būti sukonfigūruota taip, kad naršyklė naudotų ją kaip tarpinį serverį.

Kai programa pasieks aukos kompiuterį, ji automatiškai pradės rinkti visus saugomus duomenis ir siųsti juos jums.

Virusai yra skirtingi, gali skirtis ir jų funkcijos. Kai kurie leidžia visiškai valdyti naršyklę ir peržiūrėti bet kokią informaciją. Kiti gali pavogti apsaugotas medžiagas. Dar kiti renka tik neapsaugotus duomenis.

Gali kilti sunkumų įvedant viruso programą į kito asmens kompiuterį. Būtina priversti vartotoją jį atsisiųsti ir paleisti. Čia galite nusiųsti jam laišką su nuoroda į programą arba paskelbti programą saugia ir laukti, kol asmuo ją atsisiųs iš jūsų svetainės.

Kaip apsaugoti slapukus nuo vagystės?

Dauguma žiniatinklio išteklių nėra pakankamai apsaugoti. Piratai šiose platformose nesunkiai randa spragų ir klaidų.

Slapukų apsaugos taisyklės:

1. Susiekite kompiuterio ID su dabartine sesija. Tada, kai prisijungiate prie svetainės iš trečiosios šalies įrenginio, bus pradėta nauja sesija, o duomenys iš ankstesnės nebus nuskaityti.
2. Susieti sesiją su naršykle. Veiks tuo pačiu principu kaip ir ankstesnėje pastraipoje.
3. Šifruoti tinklu siunčiamus parametrus. Tada dokumente saugoma informacija nebus suprantama. Tai bus nenaudinga tam, kuris jį perėmė. Ši technika neapsaugos jūsų 100%; kai kurie specialistai gali iššifruoti bet kokias medžiagas.
4. Sukurkite atskirą aplanką identifikatoriams.

Kaip sužinoti kito asmens paskyros slaptažodį naudojant slapukus?

Norėdami gauti kito asmens prisijungimo duomenis, pirmiausia turite patekti į failą, kuriame jie buvo išsaugoti.

Tiems, kurie naudojasi Mozilla Firefox turite eiti į įrankių skirtuką, esantį pagrindiniame meniu. Toliau sistemos nustatymuose rasite skiltį „Apsauga“, kurioje turėtumėte ieškoti visos svarbios informacijos apie paskyras socialiniuose tinkluose. Visi slaptažodžiai yra paslėpti, todėl spustelėkite mygtuką „Rodyti“. Galite iš karto įdiegti apsaugą ir įdėti specialų kodą. Tada niekas, išskyrus jus, šios informacijos negaus.

„Opera“ viešai peržiūrėti galimi tik naudotojų vardai. Tačiau meniu galite rasti slaptažodžių tvarkyklę ir peržiūrėti viską, kas saugoma jūsų kompiuteryje. Visas sąrašas yra vadove. Norėdami gauti prieigą prie slaptažodžių, turite įdiegti papildomą plėtinį.

„Google Chrome“ visas šias medžiagas galite pamatyti išplėstiniuose nustatymuose. Yra skirtukas su visais išsaugotais slapukais.

Deja, standartinis interneto naršyklė„Explorer“ tokių funkcijų neturi. Norėdami sužinoti informaciją apie žiniatinklio platformas, kuriose lankosi kompiuterio savininkas, turite atsisiųsti specialią programą. Jį galite rasti internete nemokamai, jis yra visiškai saugus, tačiau geriau jį atsisiųsti iš patikimų šaltinių. Nepamirškite, kad bet kurią programą turi nuskaityti antivirusinė programa. Tai ypač pasakytina apie tas paslaugas, kurios dirba su slaptažodžiais.

Ši technika tinka tik tiems, kurie turi fizinę prieigą prie aukos kompiuterio. Taip pat galite sužinoti kito asmens slaptažodį, jei asmuo prisijungė prie platformos per jūsų kompiuterį ir išsaugojo savo duomenis.

Programos, skirtos pavogti slapukus

Internete yra daug įsilaužėlių forumų, kuriuose įsilaužėliai bendrauja tarpusavyje. Žmonės ten eina tikėdamiesi gauti nemokama pagalba. Būtent ten galite rasti daugybę įvairių įsilaužimo programų. Norime perspėti, kad neturėtumėte pasitikėti šiomis programomis. Priemonės, skirtos nuotoliniu būdu pavogti slapukus iš kito įrenginio, yra manekenai arba virusinės programos. Jei atsisiųsite šią programinę įrangą į savo kompiuterį, greičiausiai pateksite į sukčių spąstus. Sukčiai skelbia programas nemokamai. Taigi jie platina virusinę programinę įrangą ir valdo kitų žmonių kompiuterius. Apskritai tokios programos yra apgaulė, tai suprasite iš jų sąsajos ir turinio. Jei ketinate naudoti bet kokią programinę įrangą failams išgauti, tegul tai yra sniffers. Žinoma, jomis naudotis nėra taip paprasta. O rasti gerą uostytoją internete nėra lengva. Tačiau tokią programinę įrangą gali įsigyti specialistai, kurie gali jums ją parduoti už pinigus. Atminkite, kad yra daug sukčių, kurių kiekvienas turi savo gudrybių. Turėtumėte pasitikėti tik patikimais įsilaužėliais, kurie turi gerą reputaciją, atsiliepimus ir savo svetainę.

Baigdamas norėčiau pažymėti, kad slapukų vagystė yra tikrai galingas būdas, kurio efektyvumas yra labai didelis. Jei norite nulaužti kažkieno profilį socialiniame tinkle ar momentinių pranešimų programoje, būtinai apsvarstykite šią galimybę. Šis metodas geriausiai veikia, kai galite naudotis aukos kompiuteriu. Daug sunkiau gauti medžiagų iš atstumo, tačiau galite pasinaudoti mūsų patarimais ir pabandyti pritaikyti šį metodą praktiškai.

Skyriuje